有研究人员已经研发出了一套系统，黑客再也不能从系统中轻易的获取到敏感数据，同时还可以减少对数据的破坏。

来自印第安纳普渡大学的一位名叫Mohammed H.Almeshekah的博士生说到：“我们将系统取名为ErsatzPasswords，它的功能就是防止黑客通过各种方法去破解密码。

Almeshekah称：“虽然那些黑客仍然能够破解那些加密文件，但是他们所得到的密码是假密码或是误导的密码。“

各种机构通常以加密的形式存储不同的密码。这些密码使用了一种算法来进行加密，然后系统存储的是该算法所输出的数据——我们称之为哈希值。

我们认为，存储哈希值要比直接存储明文密码要更加的安全。从哈希值中破解出明文密码的难度会非常大，但也并不是不可能。

为了从哈希值中破解出明文密码，黑客们可以使用暴力破解技术，该技术涉及到一个包含有大量密码列表，并且系统会计算这些词的哈希值并进行交叉对比。这是一个非常耗时的计算密集型工作。

为减少计算所耗的时间，黑客们会使用类似于John the Ripper的软件工具，这些软件能够从不同的泄漏数据中映射出大量的密码，并且映射出来的值是已经计算出来了的哈希值。这些密码列表每天都会增长，但由于很多用户并不会选择非常复杂的密码，那么这样就会显著地提升黑客的破解效率了。

当计算机为Linux系统的服务生成一个新的密码时，系统会在对其进行加密之前，将一个salt随机值添加到密码中，然后再对其进行加密并转换为哈希值进行存储。

Almeshekah说到：“ErsatzPasswords增加了一个步骤。即在密码被加密之前，会有一个基于硬件的模块对其进行处理，比如一个由硬件安全组件生成的模块。“

他还说到：“这个步骤会为密码添加一个特征值，这样就可以在不访问那个模块的情况下，以精确的明文形式对数据进行存储。”

Almeshekah说到：“ErsatzPasswords会对生成的salt值进行一些处理，即将其添加到密码中，这样从硬件安全模块中输出的值会非常类似于一个密码，尽管这是一个假密码。”

这样的结果就是，如果一个黑客开始检测列表上密码的哈希值是否正确时，那么列表上所有的密码都不会生效。而且黑客并不知道这个事实，直到这名黑客尝试使用这些密码去访问一个服务器时才有可能发现这些密码都是假的。

Almeshekah说到：“尽管ErsatzPasswords能够在有虚假密码输入系统的时候警告管理员，但在设计之初，Web服务通常会在用户链接发送大量错误的数据时切断其与数据库的链接。而且系统还可以在输入虚假密码的时候自动创建一个虚假账号，这样管理员就可以查看到底是谁在尝试对服务器进行攻击。“

最棒的地方在服务器端，因为仅仅只有一个密码文件需要进行存储。Almeshekah说到：“即便是我们想要验证一个真实的密码，我们也不需要不同的文件。”

Almeshekah还说：“研究人员使用了一个名为YubiHSM的非常便宜的Yubico硬件安全模块,它价值约500美元。对于大多数的用户来说，当用户追求更高性能的时候才会需要一个更加先进的硬件安全模块，但它将会花费1000美元甚至更多。”

他说：“但是，在服务器端安装ErsatzPasswords是非常简单的，程序的代码可以在GitHub上获取。它是免费的，而且是在获得了Apache开源许可的情况下发布的。”

本文对这个系统进行了介绍，将会在12月美国洛杉矶召开的2015年度计算机安全应用会议进行审计。

这份研究报告是由Christopher N. Gutierrez, Mikhail J. Atallah 和Eugene H. Spafford，以及所有普渡大学的信息保障和安全组织合著的。

(责任编辑：安博涛)