研究人員認(rèn)為，通過添加大量假信息或“蜜碼”到密碼數(shù)據(jù)庫，他們可以更好地檢測攻擊。當(dāng)攻擊者入侵企業(yè)網(wǎng)絡(luò)時，他們的第一個目標(biāo)通常都是密碼文件。通過竊取密碼文件，并使用暴力破解技術(shù)來破解低強(qiáng)度密碼，攻擊者可以獲取很多合法登錄信息來更輕松地攻擊企業(yè)網(wǎng)絡(luò)。

美國麻省理工學(xué)院的IT密碼學(xué)家Ron Rivest(RSA中的“R”)以及RSA實驗室計算機(jī)科學(xué)家Ari Juels在五月初發(fā)表的文章中稱，通過添加假的哈?；?ldquo;蜜碼”到密碼文件，可以幫助檢測上述攻擊。因為攻擊者不知道哪些哈希值是真的，當(dāng)他們試圖使用包含假哈希值的密碼文件時，他們將可能被檢測到。

安全研究人員一直強(qiáng)調(diào)應(yīng)該使用高強(qiáng)度密碼。在去年，LinkedIn丟失了650萬用戶密碼，雅虎的40萬個用戶密碼從其服務(wù)器流失，而LivingSocial對可能已被攻擊者訪問過的7000萬密碼進(jìn)行了重置。雖然企業(yè)會定期加密密碼來防止密碼被攻擊者輕易地獲得，但仍然有很多用戶使用低強(qiáng)度密碼，可能被暴力猜測攻擊所破譯。

一些管理員使用簡單密碼設(shè)置了假賬戶，來檢測攻擊者是否已經(jīng)成功破解被盜文件的密碼。然而，研究人員警告稱，這種方法可能被攻擊者識破，他們可能知道如何確定哪些賬戶是合法的，哪些是假的。

研究人員建議，對于每個密碼應(yīng)該相應(yīng)產(chǎn)生20個蜜碼，這樣就有超過95%的機(jī)會來檢測到攻擊者是否在暴力破解密碼文件中的密碼。這種檢測通過安全備用服務(wù)器“honeychecker”來執(zhí)行，攻擊者能夠竊取密碼文件意味著他們有可能訪問了攻擊計算機(jī)上的任何程序。

“在計算機(jī)系統(tǒng)中，并沒有地方可以安全地保存額外的秘密信息，”Rivest和Juels寫道，“而honeychecker是一個單獨的硬化計算機(jī)系統(tǒng)，可以存儲上述秘密信息。”

安全顧問Per Thorsheim表示，雖然該建議有可取之處，但也存在一些問題。添加“蜜碼”和發(fā)送登錄嘗試結(jié)果到第二個服務(wù)器將需要重寫現(xiàn)有的軟件。此外，“蜜碼”的選擇也要反映個人用戶設(shè)置密碼的習(xí)慣，才可能不被攻擊者識破。然而，使用與用戶密碼類似的密碼也可能會導(dǎo)致更多的誤報。

“蜜碼越能夠反映每個用戶的密碼設(shè)置習(xí)慣，誘使攻擊者進(jìn)入陷阱的幾率就越高，”Thorsheim表示，“從本質(zhì)上講，你可能被誤報信息所淹沒，你將需要判斷警報信息是由輸入錯誤密碼的用戶造成的還是攻擊者造成的。”