Onderzoekers hebben een nieuw idee bedacht om de veiligheid van gehashte wachtwoorden te verbeteren en succesvolle hacks eerder te detecteren. 'Honeywords' zijn verzonnen door RSA-onderzoeker Ari Juels en Ronald Rivest, de R in de RSA-cryptografie en tegenwoordig cryptografieprofessor aan het Massachusetts Institute of Technology (MIT).

Om de wachtwoorden van gebruikers te beschermen kunnen websites ervoor kiezen om er een hash van te maken. Hierbij wordt het wachtwoord gecodeerd opgeslagen. Een aanvaller die de website hackt en toegang tot de database krijgt, heeft zo alleen de gecodeerde versie in handen. Er zijn echter verschillende manieren om het wachtwoord te achterhalen dat bij de gecodeerde versie hoort.

Database
De onderzoekers willen via honeywords valse wachtwoorden aan elk gebruikersaccount in de database toevoegen. Een aanvaller die een bestand met gehashte wachtwoorden steelt kan niet vertellen of het om een wachtwoord of een honeyword gaat. Het wachtwoordsysteem slaat het wachtwoord van de gebruiker willekeurig tussen de honeywords op.

Het wachtwoord en de honeywords worden sweetwords genoemd. Het wachtwoord van de gebruikers wordt binnen de 'sweetwords lijst' op een willekeurige positie geplaatst, die door de honeychecker wordt gecontroleerd. Dit is een aparte authenticatieserver die het verschil tussen het wachtwoord van de gebruiker en het honeyword herkent.

Zodra er op het account van de gebruiker met een sweetword wordt ingelogd, stuurt het wachtwoordsysteem de positie van het sweetword in de lijst naar de honeycheck. Die verifieert of het echte wachtwoord is opgegeven.

Zodra de aanvaller met het honeyword wil inloggen, als hij hier de hash van heeft gekraakt, gaat er een alarm af. Honeywords moeten dan ook dienen als een bescherming tegen gestolen wachtwoordbestanden. Voor gebruikers verandert er niets, aangezien zij niets van de honeywords zullen merken.

Honeychecker
In het geval een aanvaller zowel de wachtwoordendatabase hackt als de honeycheck-server compromitteert en vervolgens de hashes kraakt, kan hij het wachtwoord van de gebruiker achterhalen. De onderzoekers merken op dat het wachtwoordsysteem niet slechter af is als er geen honeywords werden gebruikt.

Het zou echter lastiger moeten zijn om de honeychecker te hacken, aangezien dit een apart systeem is. Het gebruik van honeywords is geheel gratis en de onderzoekers moedigen dan ook zoveel mogelijk websites aan om het te gebruiken.