数据库防范新招用蜜罐加密返回可以假乱真的结果

近年来，几近每隔几周就有"某某公司的服务器被黑客入侵"之类的大事冒出来。比如去年11月，Adobe公司的安全漏洞就造成了多达1.5亿用户可能遭到影响。有鉴于此，两名安全研究人员便想到了一个方法——尝试用这些数据转储(data dumps)来阻挠下一个攻击者。据《麻省理工学院技术评论》报导，这个聪明的新方法，被称作"蜜罐加密"(Honey Encryption)。

有了"蜜罐加密"(Honey Encryption)，当黑客尝试揭秘一个安全数据库的时候，就会不知道自己是不是猜对了加密密钥。而在通常的情况下，如果攻击者猜错了一个，就会得到一片乱码作为反馈。

但是Honey Encryption却引入了更戏谑的方式——当攻击者猜错了以后，系统会返回一个虚假的、但是看起来像真的数据库——只是部份基于旧有安全漏洞的部份数据库转储。

安全研究人员Ari Juels和Thomas Ristenpart联手开发了Honey Encryption。他们认为，"在保证计算机基础安全方面，诱捕和欺骗工具暂未经过充分开发"。

眼下，Juels用Honey Encryption为密码管理创建了一个虚假密码生成器。而为了打造这个虚假密码生成器，Juels用到了收藏自此前其它服务的旧有安全漏洞的Password Managers。

固然，虽然Password Managers对创建复杂和独特的密码相当有用，但是，现实中的人们通常不会采取太复杂的密码——由于他们自己还要常常输入呢(这也是弱密码横行、黑客总能得逞的主要原因)。

[编译自：BGR , 来源：MIT Technology Review]

小儿哮喘医院排名

广州中研白癜风医院热门文章

长沙中研白癜风医院医院动态

南京烧伤专科医院