Les chercheurs en cryptographie Ari Juels et Ronald Rivest ont mis au point une idée intéressante visant à détecter les attaques sur les bases de données d'applications web. Cette méthode est basée sur le stockage de faux mots de passe qui serviront d'appât et de sonnette d'alarme en cas de tentative d'utilisation de ceux-ci.
L'idée consiste à stocker ce qu'ils ont surnommé des "honeywords" pour chaque utilisateur enregistré dans la base de données à côté de leur mot de passe réel. Un pirate qui a eu accès à la base de données serait incapables de distinguer les honeywords qui seraient également stockés sous forme d'un hash, des mots de passe réels.
Si les pirates ont alors pu cracker les hash dumpés, ils pourraient les utiliser pour essayer de se connecter à l'application web associée. Si une telle tentative a été faite en utilisant l'un des honeywords, l'application web devrait savoir que l'accès est malveillant. Dans ce cas, l'application peut soit bloquer le compte soit déclencher une alarme silencieuse et rediriger le pirate vers un honeypot par exemple.
On pourrait aller un peu plus loin et mettre un trigger sur la colonne contenant les honeywords et lever une alerte en cas de dump.
Bien sûr, l'idée ne fonctionne que si le serveur où sont stockés les hashs ne contiennent pas également des informations sur les mots de passe réels des utilisateurs. Les chercheurs proposent donc un système sécuritaire séparé/transverse qui dirait lequel des mots de passe potentiels a été utilisé au cours de tentatives de connexion via un canal chiffré. Cet "honeychecker" ne stockerait aucun mot de passe réel ou honeyword mais enregistrerait les informations de connexion de chaque utilisateur.