“Honey Encryption” será capaz de saturar a los hackers con resultados falsos

0

El ciéntifico jefe de la compañía RSA, Ari Juels, está trabajando en una perspectiva novedosa en relación al cifrado, que podría complicar gravemente las tareas subversivas de los ciber-criminales.

Este nuevo sistema de cifrado, llamado “Honey Encription” (se le ha dado un nombre similar a HoneyPot, o trampa contra hackers) no se basa en complicar aún más el algoritmo de cifrado, sino en el hecho de que, cada vez que un atacante intente descifrar los datos o adivinar la contraseña, el sistema devolverá datos realistas al mismo, haciendo que el atacante dude sobre el resultado.

Cada desencriptado parecerá entonces plausible“, comenta Juels. “El atacante no tiene forma de distinguir, a priori, cual es el correcto“. Por eso, deberá testear uno por uno los resultados para llegar al que necesita -una tarea que puede ser titánica y puede no merecer la pena realizar-.

Esta aproximación y el sistema en cuestión se basan en un estudio que Juels llevó a cabo con Thomas Ristenpart, un profesor asistente de la Universidad de Wisconsin, en el que pusieron sobre la mesa la idea de las “honeywords” -falsas contraseñas- siendo asociadas con cuentas de usuario, junto a la correcta.

Un adversario que sustrae un archivo que contraseñas “hasheadas” e invierte la función de hash, no puede afirmar si ha encontrado una contraseña o una honeyword. El intento de uso de una contraseña falsa (honeyword) para realizar un login haría saltar las alarmas“, explicaron.

Juels cree que la Honey Encryption podría ser de gran ayuda para servicios de administración de contraseñas, cuyos usuarios ponen toda su seguridad eletrcónica bajo el amparo de una única contraseña maestra.

Según informaciones del MIT, actualmente se está trabajando en crear un generador de contraseñas falsas que podría producir este tipo de resultados.

Dado el enorme número de credenciales de inicio de sesión robadas y filtradas en los últimos años, junto a un menor porcentaje de filtrado de contenedores de administración de contraseñas, el hecho de crear resultados falsos está al alcance de la mano.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR