یمی از محققین موفق شده اند سیستمی را توسعه دهند که دستیابی هکرها به گذر واژه های قابل استفاده از پایگاه داده ی لو رفته را خیلی سخت تر و روند آسیب های ناشی از رخنه های اطلاعاتی را کند می کند.
به گزارش پایگاه اطلاع رسانی پایداری ملی به نقل از تک ورلد، Mohammed H. Almeshekahدانشجوی دکترای دانشگاه Purdue در این باره گفت: این سیستم که ErsatzPasswords نام دارد، با هدف خلاصی از شر هکرهایی که از روش های مختلف برای رمزشکنی گذرواژه ها استفاده می کنند، طراحی شده است. اگرچه هکرها هنوز هم قادراند فایل ها را در جستجوی گذر واژه ها رمزشکنی کنند، اما این بار به لطف فناوری ErsatzPasswords، گذر واژه هایی که آنان به دنبال یافتن شان هستند در اصل گذرواژه هایی جعلی یا طعمه هستند.
گذرواژه ها عموماً در زمان ذخیره شدن از سوی سازمان ها با استفاده از یک الگوریتم و خروجی آن که hash نام دارد رمزنگاری می شوند. hash ها در مقایسه با گذر واژه های متنی ساده، برای ذخیره سازی امن تر هستند.
از آن جا که فهمیدن گذرواژه های متنی ساده امری غیر ممکن نیست، هکرها با استفاده از روش brute-force ، که در واقع ایجاد لیستی از گذرواژه ها ی احتمالی و محاسبه ی hash آنها است، به دنبال یافتن گذرواژه اصلی هستند که البته یک کار محاسباتی فشرده توأم با صرف وقت بسیار را می طلبد.
برای رهایی از معایب این چنینی، هکرها از برنامه هایی مثل John the Ripper استفاده می کنند که می تواند فهرست های طولانی از گذرواژه های بدست آمده از رخنه های اطلاعاتی مختلف که hash شان از قبل محاسبه شده است را در اختیار شان قرار دهد. از آن جا که بسیاری از کاربران از گذرواژه های پیچیده استفاده نمی کنند، به کارگیری این برنامه به نحو چشم گیری سرعت کار هکرها را بالا می برد.
زمانی که برای سرویسی در سیستم لینوکس گذر واژه ی جدیدی تعیین می شود، قبل از آن که رمزنگاری و hash مربرط به آن ذخیره شود، مقدار تصادفی که salt نامیده می شود به آن اضافه می گردد.
فناوری ErsatzPasswords موجب می شود تا یک مرحله ی دیگری هم به غیر از salt بر روی گذر واژه قبل از رمزنگاری شدن اعمال شود، به نحوی که گذر واژه از طریق تابع وابسته به سخت افزار مثل آن چیزی که توسط ماژول امنیتی سخت افزار ایجاد شده است ، اجرا شود. در نتیجه ی افزوده شدن این مرحله، بازگشت گذر واژه به متن ساده بدون دسترسی به ماژول غیر ممکن می شود.
ErsatzPasswords یک بیت کنترل را بر روی salt اعمال می کند که به گذرواژه اضافه می شود. در این صورت آنچه که از ماژول امنیتی سخت افزار خارج می شود مشابه گذرواژه است البته گذرواژه ی تقلبی نه اصلی.
نتیجه این که اگر هکرها شروع به انطباق دادن گذرواژه با لیستی از Hashها نمایند، همه ی گذرواژه ها موثر نخواهند بود. هکرها لزوماً از این مسئله آگاه نخواهند شد مگر آنکه از آنها برای دسترسی به سرویسی اقدام کنند.
ErsatzPasswords نه تنها این قابلیت را دارد که به گونه ای طراحی شود که جعلی بودن یا نبودن گذر واژه را به admin خبر دهد، بلکه می تواند به گونه ای پیکربندی شود که به صورت خودکار، یک حساب جعلی را در زمان وارد کردن گذرواژه ی جعلی ایجاد و با این کار امکان آگاهی از هدف هکرها در سیستم برای admin فراهم کند.
گذشته از سهولت در راه اندازی و نصب ErsatzPasswords بر روی سرور، این برنامه به صورت رایگان در دسترس کاربران قرار دارد و قرار است تحت مجوز منبع باز Apache به بازار عرضه شود.