비밀번호를 보호하는 가장 좋은 방법은 가짜 비밀번호를 생성하는 것일 수 있습니다.

비밀번호 관리자는 다수의 웹 사이트에 임의의 고유 한 비밀번호를 제공하는 좋은 방법입니다. 그러나 대부분의 경우에는 여전히 Achilles의 발 뒤꿈치가 있습니다. 일반적으로 하나의 마스터 비밀번호로 전체 볼트를 잠금 해제합니다.

하지만 연구원 그룹은 잘못된 마스터 비밀번호가 제공되면 미끼 비밀번호 위치를 생성하는 일종의 비밀번호 관리자를 개발했습니다.

NoCrack이라는 실험용 소프트웨어에 대한 논문이 캘리포니아 산호세에서 개최 된 IEEE Symposium on San Jose, California에서 발표 될 예정입니다.

[추가 정보 : Windows PC에서 악성 코드를 제거하는 방법]

NoCrack은 더 많은 시간을 필요로하고 공격자가 유료 흙을 치는지 파악하기 어렵습니다.

"공격자는 실제 금고가 무엇인지 전혀 알지 못합니다."라훌 채터 지 (Rahul Chatterjee) 매디슨의 위스콘신 대학교 (University of Wisconsin)에서 석사 학위를 받았으며이 논문의 공동 저자이기도합니다. "그는 웹 사이트에서 암호를 사용하지 않고 다른 선택 만 남았습니다."

암호 관리자의 문제 중 하나는 모든 암호를 암호화 된 파일에 저장한다는 것입니다. 이 파일은 희생자의 컴퓨터에서 도난 당하면 소위 무차별 공격 (brute force attacks)을받을 수 있습니다.이 공격에는 수십만 개의 암호가 연속적으로 시도됩니다.

잘못된 암호를 입력하면 공격자가 쉽게 그것을 잘못 알고 있습니다. 생성 된 파일은 정크로, Chatterjee는 말했고, 공격자는 온라인 웹 서비스에서 자격 증명을 시험하는 것을 고백 할 필요가 없습니다.

NoCrack은 모든 잘못된 추측, 무제한의 디코이 . 신임장이 정확한지 알아내는 유일한 방법은 온라인으로 시도하는 것입니다.

이러한 접근 방식은 "비용이 많이 들고 느립니다"라고 그는 말했습니다.

대부분의 온라인 서비스는 암호 추측의 횟수를 제한하므로 공격자는 차터 지 (Chatterjee)가 말했다.

NoCrack은이 방법을 시도한 첫 번째 시도가 아니다. 카모 플레 지 (Kamouflage)라는 또 다른 시스템은 비슷하지만 Chatterjee는 그의 팀이 미끼 용 마스터 암호를 생성하는 방법에 약점을 발견했다고 말했다.

카모 플레 기의 미끼 용 암호는 실제 마스터 암호를 기반으로한다. 미끼 암호를 연구하면 실제로 공격자가 실제 암호의 구조를 익히고 진정한 암호를보다 쉽게 ​​발견 할 수 있습니다. NoCrack 팀은 더 나은 유인물 보관소를 만들려고합니다.

NoCrack은 NLE (자연어 인코딩) 알고리즘을 사용합니다.이 알고리즘은 역설적이게도 암호를 해독하려는 사람들이 사용했습니다. NLE 알고리즘은 균일하게 선택된 비트 문자열을 해독하여 자연어 텍스트의 새로운 샘플을 생성합니다.

NLE를 사용하면 가짜에서 실제 금고를 훑어보기위한 단순한 기계 학습 공격에 대해 NCrack을 사용하지 못하는 것으로 나타났습니다 그러나 한 가지 큰 문제가 있습니다 : 사람이 암호를 잘못 입력하면 어떻게됩니까? 이 시나리오에서 가짜 금고가 생성되고 사용자는 자신의 계정에서 잠겨 있습니다.

Chatterjee는 솔루션에 대한 작업을 진행하고 있다고 말했습니다. 한 가지 가능한 해결 방법은 암호를 입력 할 때 표시되는 이미지에 링크 된 마스터 암호의 해시를 만드는 것입니다. 권한이있는 사용자는 잘못된 이미지가 표시되는 시점을 인식해야하지만 공격자는이를 알 수 없습니다. Chatterjee는 NoCrack을 아직 상용화 할 계획이 없다고 전했다. 이 논문은 Joseph Bonneau, Ari Juels 및 Thomas Ristenpart가 공동 저술 한 책입니다.