那样,黑客将不会知道他们是否正确输入了登录详细信息。它还将在安全情况下保护人们。例如,假设犯罪分子偷了某人的电话并意识到他无法访问它。然后,他用枪指着所有者,所有者随后输入了部分正确的详细信息,但其中一些错误。该设备以伪造模式解锁,罪犯随后认为他们可以访问,并决定不开枪,因为他们遵守了自己的意愿。但是罪犯永远不知道他们看到的只是一个假登录。
有人实施过这样的东西吗?对我来说,这似乎是个好主意。
#1 楼
这样,黑客就不会知道他们的登录详细信息是否正确。
如果登录后显示的信息与登录者没有关系应该是针对的,然后大多数黑客会很快认识到登录名可能不是真正的登录名。
但是,为了显示适合用户的信息,可能需要付出很大的努力。还需要专门为每个用户创建它,并显示一些有关该用户的真实信息,因此它看起来不是伪造的,但不会太多,因此不会泄漏任何重要信息。
您不能指望提供商会为您执行此操作,但在许多情况下您可能会尝试自己执行此操作,即添加另一个电子邮件帐户,另一个facebook帐户等。
评论
其实,我知道如何设置。没有伪造的登录名,而是真实但受限的登录名。应用程序和数据将处于打开状态或受限状态,如果您处于胁迫登录状态,则只会看到未标记为受限状态的内容。
–Loren Pechtel
18年6月2日,0:33
@Loren是个好主意。胁迫登录可能包含有限的数据(可能是一些旧文档)和故意损坏的应用程序。例如,伪造的登录名可能有一个看起来真实的网上银行应用程序,但始终崩溃。可能会限制移动数据(“抱歉,您已经使用了本月的所有数据”),然后应用可能会抱怨它们在连接到Internet之前将如何工作。
–罗伯特·哥伦比亚(Robert Columbia)
18年6月2日在2:46
@RobertColumbia策略是众所周知的,您不能使用类似的方法。但是,将烘焙应用程序放在受限列表中-带有胁迫代码,您根本看不到它。只要您将应用程序用于敏感内容,即使知道系统工作原理的人也无法辨别是否是胁迫代码,而是通过扎根手机。如果要使其更加安全,则有两个强制代码-如果使用第二个强制代码,则会删除整个敏感数据集。 (在史努比官方上使用第一个,如果被捕,则使用第二个。)
–Loren Pechtel
18年6月2日在3:30
这并不是很难实现的:请用户自己做。例如,当您创建一个Facebook帐户时,FB会提示您创建“虚拟个人资料”,以防万一您被盗用。我仍然认为黑客会知道它是伪造的,并且由于这是所有用户所熟知的功能,因此它不会产生任何效果。
– Gabdev
18年6月2日在18:46
即使授予了对明显伪造数据的访问权限,也仍然必须处理该数据以确定其是否伪造,这使黑客需要更长的时间才能访问真实数据。
–更清晰
18年6月4日在7:02
#2 楼
您所描述的概念称为“可否认性”,提供这种方法的方法确实已在某些软件中实现,例如VeraCrypt。您建议在网站中实现它的一个问题是对于网站开发人员而言,很难提供足够真实的虚假数据来欺骗攻击者,同时又不泄露有关用户的任何敏感数据。在像VeraCrypt这样的加密软件中,该任务已转移给用户,后者显然可以更好地做到这一点。
评论
我不认为这是合理的可否认性。蜜罐!=合理的可否认性。
–森林
18年6月1日在13:22
@forest:这个问题有点困惑,因为它描述了一个蜜罐,但是用例(将枪支对准手机所有者的犯罪)要求合理的可否认性。这个答案解决了用例。
– Ben Voigt
18年6月1日在14:12
@BenVoigt仍然不是合理的可否认性
–凯文
18年6月1日在17:33
@Kevin:这正是“合理的可否认性”在密码系统中的含义。除了此答案提到的VeraCrypt外,另请参阅LUKS,TrueCrypt。
– Ben Voigt
18年6月1日在18:59
@Kevin在低温系统方面,合理的可否认性实质上意味着,当我被迫提供对通过密码/加密保护的内容的访问时,一旦我提供了该访问权限(提供我的帐户凭据,请输入密码/解密密钥),我就可以宣称我已授予我保护的内容的访问权限,而对手则无法合理地证明并非如此。我可以合理地否认真实数据仍然隐藏在另一个密钥/凭证的后面,并且实际上我已经提供了对真实数据(或所有可用数据)的访问权限。
– iheanyi
18年6月1日在20:00
#3 楼
因为黑客不会攻击登录表单,缺点是您假设黑客通过针对远程服务的强行凭证来入侵帐户。但这仍然是徒劳的。
任何具有良好安全性的网站(没有良好安全性的网站也不会关心您的想法)将限制在一定时间内可以进行多少次失败的登录尝试每个IP地址的时间范围,通常是每6小时5次失败尝试。如果安全性要强一些,则在多次尝试失败之后,帐户可能还需要所有者进行操作,并且/或者可能会通知所有者尝试登录失败或者甚至来自新设备的所有登录。
因此,尽管对纯数据(例如在漏洞中暴露的密码哈希)进行蛮力攻击可能是可行的,但对于具有一点点安全性的任何服务来说,它们却几乎是不可行的。
对于攻击者来说,因此,更容易进行网络钓鱼,或者更好的是自己建立一个真正的免费服务并假设密码重用而工作:
评论
是的这就是为什么在所有其他密码之上,无论您使用哪种密码系统,您的电子邮件密码都应该始终是唯一的。
– JeffUK
18年6月4日在11:27
并且永远意味着即使没有使用2001年起不起眼的phpBB论坛的帐户,也不能算是一个android应用程序,即使您使用了5分钟,它也会要求输入用户名/密码。或一个古老的洪流拖拉机。特别是对于Android应用程序,当应用程序可以请求所有设备帐户的邮件,然后使用所使用的密码进行检查时。
–拖放
18年6月5日在14:10
#4 楼
我也从未听说过任何实现此目的的服务或设备。如果存在攻击者并迫使您登录,这种情况极少发生。他们更有可能带上您的1000美元iPhone并开始运行。
但是,如果“攻击者”是机场安全检查站的保安/ TSA人员,则发生这种情况非常合理。特别是如果您在国外。 (几年前就此问题进行过非凡的Defcon讨论。)
网站
在网站上实施此操作可能没有多大意义。如果您(管理员)确定试图访问某个帐户的某人是黑客,请阻止他们/锁定该帐户。问题已解决。
如果攻击者尝试访问多个帐户,并且能够在第一次或第二次尝试中“成功”登录到多个帐户,他们可能会知道有些可疑。
电话
虽然手机不允许假登录(?),但是您可以将其设置为在n次未正确输入密码后锁定。
攻击者/ TSA代理告诉您解锁手机。您故意在第一次尝试中输入了错误的密码。
“哦,糟糕,密码错误...”
您在第二次尝试中再次输入了错误的密码。
”对不起,我的手出汗了当我紧张的时候...“
第三次尝试输入密码错误。现在手机已锁定30分钟!
如果您向攻击者背诵密码并将密码输入到手机中,那么这当然将不起作用。而且我认为大多数电话锁定只能持续30分钟(?),在此期间,攻击者/ TSA代理将尽最大努力“说服”您在后台记住密码。
笔记本电脑
您的建议相对容易在笔记本电脑上实现...
创建2个或更多用户个人资料。
您以自己的名字命名的第一个配置文件(名字和姓氏)。您将自己的图片设置为个人资料图片。这将是您的“假”帐户。将密码设置为简单易记的名称。在帐户中添加一些“个人资料”(音乐,宠物图片,“工作”文件等)。
第二个帐户中,您会给您一个普通的家庭成员姓名(“业余爱好”,“孩子们”,“蜂蜜”等)。保留默认的个人资料图片。设置一个强密码。这将是在笔记本电脑上具有管理员权限的帐户,以及您将用于重要/机密工作的帐户。
现在设想一种情况,在这种情况下您被迫登录...
您正在大洋洲的一个机场内,即将飞往欧亚大陆。机场安检人员阻止您通过航站楼。
安全:“请把您的护照和笔记本电脑交给我们!”
您将笔记本电脑和护照交给他们。他们打开笔记本电脑,然后尝试登录到您自己命名的帐户。看到他们需要密码后,他们会要求您告诉他们密码。
您:“密码是开放海域。没有空格。”
机场安全部门输入密码,并成功输入您的假帐户。 br />闲逛了几分钟,没有找到他们感兴趣的任何东西,他们注销并尝试登录到您的真实帐户。
安全性:“这是谁的帐户?密码是什么?”
/>您:“那是我孩子的帐户。密码是123dogs。”
他们输入密码,但无法登录。
安全性:“该密码有误!告诉我们正确的密码!“
您感到惊讶,要求他们给您笔记本电脑,以便您尝试登录。他们递给您笔记本电脑,然后您开始输入假密码。
您:“那些该死的孩子,我告诉他们不要更改密码!很抱歉,他们只应使用该帐户来保存自己的愚蠢密码。电子游戏!“
机场安全部门相互协商,然后让您继续前进。您可以安全地返回欧亚大陆,而不会损害笔记本电脑上的机密信息。
评论
大洋洲的机场安全设施甚至可以让您飞往欧亚大陆吗?我以为大洋洲一直与欧亚大陆交战。
–罗伯特·哥伦比亚(Robert Columbia)
18年6月2日在2:50
人们一直在设计越来越聪明的技术手段,以克服在边境/机场检查中解锁电话/笔记本电脑/数据载体的潜在要求,但我不认为这有什么帮助。您可能会完全拒绝提供密码。您可能最终会被拘留或被拒绝入境,但是这也有可能在故意试图锁定手机和玩哑巴时无济于事。真正的解决方案是避免将任何敏感材料带入边界。
–放松
18年6月2日在9:30
VeraCrypt是实现它的程序的一个示例-您可以设置备用密码,该密码将仅发现虚假的数据部分
– Sebi
18年6月2日在13:18
在现实生活中,他们更有可能没收设备,而是没收设备并将其交给法医分析人员,拘留您,并将您永久列入“可能的恐怖分子”名单。或更糟。
– Matija Nalis
18年6月3日在19:49
@RobertColumbia“我认为大洋洲一直与欧亚大陆交战”。在大洋洲与欧亚大陆达成和约之前,他们将一直与东亚战争。
– TripeHound
18年6月4日在9:16
#5 楼
这并不是您所想的确切上下文,但是实际上有系统实现了此想法。我曾经在(有些敏感)设施工作,每个员工都有两个禁用警报系统的代码:常规代码和胁迫代码。如果您使用胁迫代码,则系统将被禁用,以免使您处于危险之中,但是监视中心将发出无声警报。我在Wikipedia上读到,这在美国也被认为用于银行ATM,但最终被排除在外。另一个相似的概念是“蜜罐”。实际上,其中一些可能会在受到攻击时接受任何凭据或提供伪数据,以便能够记录攻击者下一步做什么或利用这种情况(例如,捕获蠕虫的有效负载)。
为何它在消费产品,在线服务等中不那么普遍。在收益之间(这是一种特殊的攻击可能性,它是否能够有效地阻止犯罪分子或只是促使他们略微改变他们的技术)之间只是权衡取舍;并且成本(用于开发,维护和认证的更复杂的系统-这也意味着增加的攻击面,可以使攻击者获得实际的进入点,带宽和运营成本,以将虚拟数据提供给不断攻击在线服务的所有僵尸网络,并努力创建可信的伪数据来欺骗更复杂的攻击。<br />
#6 楼
这在网络世界中被称为“欺骗技术”,其中解决方案通过“模仿”您的真实资产的交钥匙诱饵(陷阱)来欺骗网络敌人(攻击者)。可以毫不费力地部署成百上千个陷阱,创建用于网络攻击的虚拟雷场,并通过可采取行动的情报立即提醒您任何恶意活动。陷阱将携带登录详细信息,虚拟数据,虚拟系统等,通过像实际系统一样的信息来欺骗攻击者。欺骗技术是网络安全防御的新兴类别。欺骗技术产品可以实时实时检测,分析和防御零日攻击(
,以前不知道攻击类型/过程)和高级攻击。它们是自动化的,准确的,并且可以洞悉内部网络中的恶意活动,而其他类型的网络防御可能看不到这些恶意活动。欺骗技术通过寻求欺骗攻击者,对其进行检测然后加以击败,从而使企业能够恢复到主动状态。
您可以在下面的链接中找到一些解决方案提供商:
https://www.firecompass.com/blog/top-5-emerging-deception-technology-vendors-at-rsa-conference-2017/
评论
来自NIC.CZ的Turris也很有趣turris.cz/en
– Nemo
18年6月4日在20:45
#7 楼
过去已经做到了这一点,相当成功,但是在很大程度上取决于系统是什么。收费访问网站有时会自动检测帐户何时从太多IP地址或其他可疑模式登录,并将这些用户重定向到该网站的版本,这种情况并不罕见。主要是指向其他网站的广告和会员链接。如果做得好,共享被盗的登录凭据可能会成为收入中心。
还有一些网站可以根据IP地址或其他条件将用户定向到不同的版本;最简单的版本是定向广告。
对于外壳程序访问,可以将登录名直接引导到仅拥有一小块磁盘和专门配置的二进制文件的chroot监狱,它不一定与常规系统相同。
#8 楼
首先,在这种情况下,我不会将攻击者称为黑客。黑客正试图逃避网站提供的安全性,在您遇到的情况下,攻击者不在乎您的服务有多安全,他在乎用户受到威胁的程度有多容易,以及之后可能如何对身体进行处理。 >其次,已经完成了更改您的访问权限的替代凭据,但是,如果它所做的不仅仅只是限制了对事实的了解,那么这将是一项繁重的工作,而且实用性很有限。
它之所以用途有限的原因是,因为您的用户知道它,因此您必须假定所有攻击者也都知道它。假设您对ATM卡进行了此操作,以使其余额不足一百美元,以限制损失。攻击者要么要求两者(在这种情况下,受害者最多有50%的机会不损失更多),要么只是要求其产生更多的损失-“如果我没有得到至少200你已经死了”。
并非完全没有用,但仅对付无知的攻击者有效。依靠攻击者不知道的东西被称为通过默默无闻的安全性,也就是“他们知道了”。
#9 楼
如前所述,对于网络和远程攻击,appart由于难以创建伪造的用户内容而存在问题,它的问题是:您怎么知道这是一个被泄露的登录名?我的意思是,如果您假设存在某种可疑的活动(例如蛮力攻击),则可以阻止该IP的登录,并可能暂时阻止该帐户的登录(直到真正的所有者以某种方式验证其身份)
唯一有用的情况是强制登录,这是另一个故事,也是一个切肉刀的主意。这是我想象的社交网络实现:
用户使用伪数据创建一个帐户,并将其设置为他的伪帐户。
进行登录,例如jelous gf或bf勒索您登录,然后输入虚拟密码就可以了!您已登录到自己创建的漂亮虚拟帐户。
但也不是完美的解决方案。攻击者可能会知道您,并且,例如,如果这是您的疯狂前任,她可能只是与您检查聊天记录,并且知道您刚刚登录了虚假帐户。
这是特别相关的,因为它将是您所使用平台的公共众所周知的功能,因此任何强迫您进行检查的人都可以查看您是否愿意。
对于银行或其他网站,这是个好主意。
#10 楼
问题是您的用户必须了解它,因此您必须假定所有攻击者也都知道它。#11 楼
对我来说,这听起来像是您在邀请攻击者与您共舞。“嘿,攻击者,您想入侵我的网站吗?这是一个供您使用的假登录网站!”
您当然不想邀请攻击者跳舞与您合作,因为他可能会觉得这很有趣且具有挑战性,这将使他有更多动机去尝试入侵您的网站。
评论
这个答案就是喜剧金! 😂
–最佳
18年6月5日在8:37
评论
1)为什么设备/站点所有者需要做任何事情。用户为什么不能自己设置呢? 2)如果知道设备/站点会这样做,那么攻击者是否会尝试验证他们是否具有真正的访问权限? 3)您的方法无法幸免于克切夫的原则。网站如何知道用户是黑客,而不是实际用户?这是指非中国用户从中国登录或类似情况的情况吗?
如果我只是输错密码怎么办?我不想登录到假模式。我想知道我输入的密码不正确。
罪犯多久要求受害者在枪口下登录他们的帐户?这听起来像是极端情况,只会在一般情况下造成不必要的混乱。与被阻止(尚未发生)相比,我输入密码(一天几次)的可能性更大。
这是一个蜜罐