Migliorare la Sicurezza delle Password con le Honeywords
Scopri come le honeywords possono migliorare la sicurezza delle password e proteggere gli account degli utenti.
― 6 leggere min
Nell'era digitale di oggi, ci affidiamo molto alle password per la sicurezza. Tuttavia, il furto di database di password è un problema comune. Quando questi database vengono compromessi, gli hacker possono facilmente accedere agli account degli utenti. Un approccio per affrontare questo problema è attraverso un concetto noto come honeywords. Le honeywords sono password di inganno, progettate per avvisare un fornitore di servizi quando qualcuno cerca di accedere utilizzando una di esse. Se un utente tenta di accedere con una di queste password di inganno, significa che il database delle password è stato violato.
Il Problema con il Riutilizzo delle Password
Un problema significativo nasce quando gli utenti riutilizzano password su diverse piattaforme. Ad esempio, se la password di una persona per un sito web è nota a causa di una violazione dei dati, gli hacker possono usarla per provare ad accedere anche all'account di quella stessa persona su altri siti. Questa tattica è conosciuta come credential stuffing, ed è molto efficace a causa dell'alta probabilità che gli utenti abbiano la stessa password su più siti. Perciò, i sistemi di honeyword devono affrontare le sfide poste dal riutilizzo delle password.
Generazione di Honeyword
Una generazione efficace delle honeyword è fondamentale per il successo di questa misura di sicurezza. Affinché le honeywords funzionino bene, devono essere create in modo che sia difficile distinguerle dalle vere password. Inoltre, non dovrebbero rendere facile per gli attaccanti indovinare quali siano le vere se non hanno accesso alla password effettiva.
Ci sono due categorie principali di generazione di honeyword: password scelte dall'utente e password generate algoritmicamente. Le password scelte dagli utenti sono quelle create da singoli individui, mentre le password generate algoritmicamente sono create utilizzando software o strumenti specifici, come i gestori di password.
Sfide con le Password Scelte dagli Utenti
Quando gli utenti creano le proprie password, sorgono diverse sfide. Prima di tutto, molte persone scelgono password deboli o facilmente indovinabili, il che può rendere le honeyword meno efficaci. Se un algoritmo di generazione di honeyword produce password che sono chiaramente diverse dalla password effettivamente scelta da una persona, diventa facile per gli attaccanti capire quale sia valida.
In secondo luogo, se il metodo di generazione delle honeyword non è ben progettato, potrebbe portare a tassi elevati di falsi negativi. Questo significa che nei casi in cui si verifica una violazione, il sistema potrebbe non riuscire a identificarla perché le honeyword sono facilmente distinguibili dalla vera password.
Analisi delle Tecniche di Generazione delle Honeyword
Quando si valutano i metodi attuali di generazione delle honeyword, i ricercatori hanno scoperto che molti non trovano un buon equilibrio tra la riduzione dei Falsi Positivi (quando un tentativo di accesso legittimo viene scambiato per una violazione) e i falsi negativi (quando una violazione passa inosservata). Questo è particolarmente problematico per le password scelte dagli utenti, poiché gli attaccanti possono sfruttare la loro conoscenza delle password comuni, rendendo più facile per loro eludere le difese delle honeyword.
Password Generate Algoritmicamente
D'altro canto, le password generate algoritmicamente presentano un insieme diverso di sfide. Queste password sono tipicamente create da gestori di password che seguono linee guida specifiche. Anche se questi strumenti possono creare password forti, sono anche relativamente prevedibili se un attaccante comprende l'algoritmo sottostante.
In questi scenari, un metodo di generazione delle honeyword deve anche considerare l'algoritmo effettivo usato per generare le password. Se il generatore di honeyword utilizza lo stesso algoritmo, ha una maggiore possibilità di produrre password di inganno che si integrano bene con le password legittime. Tuttavia, se l'attaccante conosce il generatore o può dedurlo, questo approccio potrebbe non funzionare.
Uno Sguardo Dettagliato agli Algoritmi di Honeyword
Algoritmi Indipendenti dalla Password
Questi metodi generano honeywords senza basarsi sulla password reale. Utilizzano un modello basato su dati precedentemente raccolti. Sebbene siano convenienti, spesso incontrano difficoltà perché non prendono in considerazione i modelli o le caratteristiche specifiche delle password degli utenti individuali. Questo porta a honeywords che possono essere facilmente identificate dagli attaccanti.
Algoritmi Dipendenti dalla Password
Questi metodi, d'altra parte, prendono in considerazione la password legittima quando generano honeywords. Questo approccio può dare risultati migliori perché le honeywords generate possono essere progettate per assomigliare molto alla password reale. Tuttavia, affrontano ancora sfide, in particolare se la password è generata utilizzando un algoritmo che non è ben compreso dal sistema di generazione delle honeyword.
Comprendere i Falsi Positivi e i Falsi Negativi
I falsi positivi sono problematici per i siti web perché possono portare a allarmi e indagini non necessarie. Se un utente legittimo attiva accidentalmente un allarme di violazione inserendo una honeyword, può causare frustrazione e confusione. D'altro canto, un falso negativo potrebbe consentire a un attaccante di guadagnare accesso senza essere rilevato.
Trovare un equilibrio tra questi due risultati è essenziale per sistemi di honeyword efficaci. È qui che molti algoritmi esistenti falliscono. Generano o honeywords troppo simili o troppo diverse dalla password reale, portando a un rischio maggiore di un tipo di errore rispetto all'altro.
Strategie di Miglioramento
Per migliorare l'efficacia dei sistemi di honeyword, dovrebbero essere sviluppati nuovi metodi che si concentrino sia sulla riduzione dei falsi positivi sia dei falsi negativi. Una potenziale strategia è quella di utilizzare una lista nera di password comuni quando si selezionano le honeywords. Questo può aiutare a prevenire l'uso di password facilmente indovinabili come inganni. Tuttavia, questo approccio ha limiti, specialmente quando si tratta di strategie di honeyword dipendenti dalla password.
Un'altra strategia prevede l'uso di un ampio pool di potenziali honeywords da cui selezionare, il che renderebbe il processo di generazione più robusto. Tuttavia, trovare un modo per creare questo grande pool garantendo che le honeywords rimangano abbastanza simili alle password reali è una sfida complessa.
Il Ruolo dei Gestori di Password
I gestori di password possono essere molto utili per creare password forti e uniche per gli utenti. Tuttavia, possono anche contribuire al problema del riutilizzo delle password se gli utenti non fanno attenzione. Sebbene questi strumenti possano generare password complesse, devono incoraggiare gli utenti a evitare di riutilizzarle su diversi siti.
Impatti del Comportamento degli Utenti
Nonostante i benefici dei gestori di password, i sondaggi mostrano che molti utenti continuano a riutilizzare password su varie piattaforme. Questo evidenzia la necessità di un'educazione continua riguardo la sicurezza delle password. Gli utenti dovrebbero essere ricordati dei rischi associati all'utilizzo della stessa password su più siti.
Futuri Sviluppi
Guardando avanti, i ricercatori e gli sviluppatori devono esplorare nuove tecniche di generazione delle honeyword. Queste dovrebbero tenere conto sia del comportamento degli utenti che della tecnologia sottostante utilizzata nella creazione delle password. Man mano che le minacce informatiche evolvono, devono evolversi anche le strategie per combatterle.
Conclusione
Le honeywords offrono un approccio prezioso per la sicurezza delle password, ma ci sono ancora molte sfide da superare. Bilanciare falsi positivi e falsi negativi è fondamentale per creare sistemi efficaci. Migliorando i metodi di generazione delle honeyword e incoraggiando pratiche migliori sulle password, possiamo migliorare significativamente la sicurezza degli account degli utenti. L'obiettivo è creare un ambiente digitale più sicuro dove i dati degli utenti siano protetti e le violazioni siano prontamente identificate.
Titolo: The Impact of Exposed Passwords on Honeyword Efficacy
Estratto: Honeywords are decoy passwords that can be added to a credential database; if a login attempt uses a honeyword, this indicates that the site's credential database has been leaked. In this paper we explore the basic requirements for honeywords to be effective, in a threat model where the attacker knows passwords for the same users at other sites. First, we show that for user-chosen (vs. algorithmically generated, i.e., by a password manager) passwords, existing honeyword-generation algorithms do not simultaneously achieve false-positive and false-negative rates near their ideals of $\approx 0$ and $\approx \frac{1}{1+n}$, respectively, in this threat model, where $n$ is the number of honeywords per account. Second, we show that for users leveraging algorithmically generated passwords, state-of-the-art methods for honeyword generation will produce honeywords that are not sufficiently deceptive, yielding many false negatives. Instead, we find that only a honeyword-generation algorithm that uses the \textit{same} password generator as the user can provide deceptive honeywords in this case. However, when the defender's ability to infer the generator from the (one) account password is less accurate than the attacker's ability to infer the generator from potentially many, this deception can again wane. Taken together, our results provide a cautionary note for the state of honeyword research and pose new challenges to the field.
Autori: Zonghao Huang, Lujo Bauer, Michael K. Reiter
Ultimo aggiornamento: 2024-03-05 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2309.10323
Fonte PDF: https://arxiv.org/pdf/2309.10323
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://www.michaelshell.org/
- https://www.michaelshell.org/tex/ieeetran/
- https://www.ctan.org/tex-archive/macros/latex/contrib/IEEEtran/
- https://www.ieee.org/
- https://www.latex-project.org/
- https://www.michaelshell.org/tex/testflow/
- https://tex.stackexchange.com/questions/7953/how-to-expand-texs-main-memory-size-pgfplots-memory-overload
- https://www.ctan.org/tex-archive/macros/latex/contrib/oberdiek/
- https://www.ctan.org/tex-archive/macros/latex/contrib/cite/
- https://www.ctan.org/tex-archive/macros/latex/required/graphics/
- https://www.ctan.org/tex-archive/info/
- https://www.tug.org/applications/pdftex
- https://www.ctan.org/tex-archive/macros/latex/required/amslatex/math/
- https://www.ctan.org/tex-archive/macros/latex/contrib/algorithms/
- https://algorithms.berlios.de/index.html
- https://www.ctan.org/tex-archive/macros/latex/contrib/algorithmicx/
- https://www.ctan.org/tex-archive/macros/latex/required/tools/
- https://www.ctan.org/tex-archive/macros/latex/contrib/mdwtools/
- https://www.ctan.org/tex-archive/macros/latex/contrib/eqparbox/
- https://www.ctan.org/tex-archive/obsolete/macros/latex/contrib/subfigure/
- https://www.ctan.org/tex-archive/macros/latex/contrib/subfig/
- https://www.ctan.org/tex-archive/macros/latex/contrib/caption/
- https://www.ctan.org/tex-archive/macros/latex/base/
- https://www.ctan.org/tex-archive/macros/latex/contrib/sttools/
- https://www.ctan.org/tex-archive/macros/latex/contrib/misc/
- https://www.michaelshell.org/contact.html
- https://dx.doi.org/10.14722/ndss.2024.23xxx
- https://fasttext.cc/docs/en/python-module.html