如果需要向大量網(wǎng)站提供隨機(jī)、獨(dú)立的密碼，密碼管理軟件是個(gè)不錯(cuò)的選擇。但這種方法的致命弱點(diǎn)在于，只需要一個(gè)主密碼就可以開(kāi)啟整個(gè)密碼庫(kù)。

[[135422]]

然而，一組研究人員已經(jīng)開(kāi)發(fā)出了一種密碼管理軟件，如果用戶(hù)輸入了錯(cuò)誤的主密碼，它會(huì)顯示一個(gè)誘餌密碼庫(kù)。

這一軟件名為NoCrack，其設(shè)計(jì)目的是讓黑客發(fā)現(xiàn)自己攻擊失敗時(shí)更加困難、耗費(fèi)更多的時(shí)間。

作為攻擊者，你不知道哪個(gè)密碼庫(kù)才是真的。攻擊者沒(méi)有其它選擇，只有在網(wǎng)站上對(duì)密碼進(jìn)行試錯(cuò)。”

密碼管理軟件的一大問(wèn)題是，這類(lèi)軟件會(huì)把所有密碼存在一個(gè)加密文件里。如果攻擊者從受害者的電腦上偷走這個(gè)文件，就可以使用它進(jìn)行暴力破解攻擊。在暴力破解攻擊中，攻擊者會(huì)連續(xù)嘗試成千上百的密碼。

如果鍵入了錯(cuò)誤的密碼，攻擊者很容易發(fā)現(xiàn)它是錯(cuò)的。生成的文件是垃圾，因此攻擊者不會(huì)通過(guò)在線網(wǎng)站服務(wù)對(duì)密碼進(jìn)行試錯(cuò)。對(duì)每一次錯(cuò)誤的嘗試，NoCrack都會(huì)生成一份看上去合理的密碼庫(kù)，誘餌的上限是無(wú)窮無(wú)盡的。確認(rèn)這些登錄信息是否正確的唯一方式就是在網(wǎng)站上一個(gè)一個(gè)地試。

這種方法“昂貴且緩慢”。

由于大多數(shù)在線服務(wù)都會(huì)限制猜測(cè)密碼的次數(shù)，攻擊者不會(huì)得到很多發(fā)現(xiàn)真相的機(jī)會(huì)。

NoCrack并不是第一個(gè)在此領(lǐng)域作出嘗試的軟件。另一個(gè)被稱(chēng)為Kamouflage的軟件與其類(lèi)似。不過(guò)，NoCrack的設(shè)計(jì)者表示Kamouflage在生成主密鑰誘餌方面存在缺陷。

Kamouflage的誘餌主密鑰是基于真實(shí)版本生成的。通過(guò)研究誘餌主密鑰，攻擊者可以了解到真實(shí)的主密鑰的結(jié)構(gòu)，進(jìn)而發(fā)現(xiàn)它們。NoCrack團(tuán)隊(duì)在這方面做得更好。

NoCrack使用了自然語(yǔ)言編碼(NLE)算法，具有諷刺意味的是，該方法也被用在密碼破解應(yīng)用上。根據(jù)論文中的描述，NLE算法會(huì)對(duì)比特串進(jìn)行編碼，得出自然語(yǔ)言中的文本，即使輸入相同，每次得到的輸出也會(huì)不同。

研究者發(fā)現(xiàn)，如果攻擊者使用基于簡(jiǎn)單機(jī)器學(xué)習(xí)的工具，試圖從誘餌密鑰中猜出真實(shí)密鑰，NLE會(huì)阻止這種類(lèi)型的攻擊。

不過(guò)還有一個(gè)巨大的問(wèn)題：如果用戶(hù)錯(cuò)拼了密碼怎么辦?在這種情景下，軟件也會(huì)生成一份誘餌密鑰庫(kù)，用戶(hù)沒(méi)辦法訪問(wèn)自己的賬戶(hù)。

NoCrack團(tuán)隊(duì)表示正在研究解決方案。一個(gè)可行的策略是：創(chuàng)建主密鑰的哈希值，并將其鏈接到一張輸入密碼時(shí)會(huì)顯示的圖片上。合法用戶(hù)在碰到錯(cuò)誤圖片時(shí)會(huì)意識(shí)到問(wèn)題，攻擊者則不會(huì)。另一個(gè)策略是，如果密碼只是稍微偏離正確版本，就對(duì)它進(jìn)行自動(dòng)矯正。

NoCrack還沒(méi)有商業(yè)化計(jì)劃。

原文地址：http://www.aqniu.com/tools/7867.html