gedaan met internetbankieren als ge gezopen hebt dus

Dit vind ik niet handig. Voor het internetbankiergegevens heb ik een aantal
cijfers letters en vreemde tekens waar totaal geen logica inzit. Dit heb ik
ook als password.
Ik weet deze gegevens nog steeds niet uit me hoofd en ben dus erg sloom
met intypen. (nee de gegevens staan niet achterop me monitor, maar op
een papiertje onder me toetsenbord ;-p). Stel dat ik na 9 keer zo'n profiel
en na 20 keer inloggen weet ik eindelijk me gegevens uit me hoofd (traag
van begrip he). De volgende kan ik wel de gegevens 'snel' invoeren. De
tooltje denkt dan dat ik iemand anders ben omdat ik altijd me wachtwoord
langzaam invoerde en geeft mij geen toegang.
Dit is een leuk tootlje als je als gebruiker je logingegevens uit je hoofd
weet. maar hoe zit het met de mensen die net gaan beginnen met
internetbankieren. Dit verplicht ze min of meer om een eenvoudig
wachtwoord te gebvruiken wat ze goed kunnen onthouden.

Ja of als je een paar biertjes in je mik hebt en wat minder
toetsvast :)

Ok, ff keylogger aanpassen zodat hij ook het tempo van het
typen registreerd.
Niet bepaald een afdoende beveiligingsmaatregel dus... :-)

Ik denk dat dit idee de "de wassen-security-neus van het
jaar" gaat worden.

Ik heb dit vorig jaar op school getest ivm een project over
biometrie en ik ben er achter gekomen dat ik bijna het
zelfde type als mijn projectgenoot :p
Wij keken toen naar de relatieve sneheid, keydown/keyup
verschillen tussen de verschillende letters en totale snelheid.

Opvallend dat er niet bij staat in hoeveel gevallen het
systeem ook een onbevoegd persoon positief herkend.... Het
is niet al te moeilijk om personen aan typ gedrag te
herkennen, maar juist zeer moeilijk om een verschil te
herkennen. Ik vertrouw dus maar niet op de resultaten van
dit bericht als het al zo kort door de bocht gaat om
betrouwbaarheid rond beveiliging aan te tonen.

Die hebben een probleem als ze gaan patenteren of dat al
hebben gedaan:
Ik heb in 1992 sourcecode gepubliceerd op het bulletinboard
van Powerbasic (nog vroeger TurboBasic van Borland) dat
precies dit deed: tijd tussen de aanslagen meten als authenticatie. Een bevriende collega van Powerbasic uit die tijd bevestigt dit.... en ik heb de sourcecode nog: op5.25 inch. Mijn gepubliceerde sourcecode is altijd free for all en ook zo bedoeld, dit is prior knowledge en ik kan het bewijzen.
[EDIT]
Het werkt erg goed, omdat iedereen zijn paswoord in een bepaald ritme typed. Ik kwam er echter achter, dat er een [e]aanzienlijke [/e]correlatie is met welke toetsen je raakt. Dat betekent, dat voor de gemiddelde gebruiker het eenvoudig is het paswoord te achterhalen met deze methode! Het introduceert dus eerder een risico dan dat het er een oplost.
De "fingerprint" is er weldegelijk, maar de achterliggende gedachte klopt niet. Daarom heb ik het idee toen al losgelaten als niet levensvatbaar voor serieuze oplossingen. Zal kijken of ik mijn analyses ook nog heb. Kom er op terug, vind dit wel grappig:-) Voor de goede verstaander, het was dus een "timing keylogger" maar dan onder dos. Nog later kwam ik erachter dat dit principe nog veel eerder werd ontdekt: morsecode operators werden door collega's op gehoor herkend!
[/EDIT]

Maandelijks, of voor de paranoia, wekelijks je paswoord
veranderen wordt ook weer een feest natuurlijk. Negen keer
je paswoord herhalen.

Dit systeem is net zo zwak als alle andere biometrische
ellende.
Als de database waarin de fingerprint wordt opgeslagen
gecompromitteerd raakt, dan kun je de hele fingerprint
"nooit" meer gebruiken.
Vergelijk een vingerafdruk, als men in staat is de koppeling
te maken tussen de vingerafdruk (of
typesnelheidsfingerprint) en het achter gelegen certificaat
of wat dan ook, dan kan iemand anders dit zo modificeren.
Het is een kwestie van tijd voordat dit gebeurd omdat op
termijn de AIVD of politie gezien het overheidsbeleid zéker
een keer in die database wil neuzen.

Dit hele probleem heb je met wachtwoorden, die je naar eigen
keuze mooi ingewikkeld kunt maken, niet. Wachtwoord
gecompromitteerd? Maak je gewoon een nieuwe.

M.i. is daarom de combinatie van een wachtwoord eventueel
met een token nog altijd het beste.
KISS....

Lekker handig als je met een gebroken hand zit.

Ik ben ook voorstander van de wachtwoord-token combi.

Ik heb het genoegen gehad met dit systeem te mogen spelen op
CeBit. Men laat je een vaste zin typen, die altijd hetzelfde
is, en kijkt dan naar je specifieke typ eigenschappen. Zelfs
na 30 minuten proberen kwam ik niet in de buurt van het
precentage dat nodig was om de pc te unlocken, en dat
terwijl ik 10 keer heb mogen kijken hoe de geautoriseerde
gebruiker het zinnetje intypte.

Het is misschien niet in super veilig voor extreem
gevoellige projecten, maar je wachtwoord vergeten is er in
ieder geval niet meer bij. Op zich best een aardig systeem
voor omgevingen met een low/medium security level.

Stel dat het zou werken (met klemtoon op stel), waarom zou
je dan nog je wachtwoord willen veranderen? Dat hoeft dan
toch niet meer?