image

Brit bedenkt simpele wachtwoordoplossing

maandag 3 juni 2002, 20:13 door Redactie, 6 reacties

De Brit Martin Wren-Hilton heeft een eenvoudige manier bedacht om de hele reeks wachtwoorden die tegenwoordig onthouden moeten worden, te vermijden. De reacties op deze goedkope uitvinding zijn redelijk positief, zo schrijft de BBC donderdag. Het gaat om een kaart, ter grootte van een creditcard, waarop een aantal woorden en getallenreeksen staan. De computer waarop wordt inlogd, herkent de persoon aan het wachtwoord. Daarna vraagt de computer naar het nummer dat bij een bepaald woord op die kaart hoort.
Als een hacker de kaart in handen krijgt, kan die er nog niet veel mee omdat de kaart verbonden is met het wachtwoord van de persoon. Bovendien zijn de kaarten uniek, aldus de bedenker van de kaart. Er zijn diverse manieren om wachtwoorden te beschermen met dure technische oplossingen zoals smart cards, maar die methoden zijn volgens Wren-Hilton vooral geschikt voor mensen die tijdens hun werk met zeer vertrouwelijke zaken te maken hebben.
De manier van identificatie is niet nieuw. Vooral banken gebruiken regelmatig dergelijke methoden om online bankhandelingen van klanten te beveiligen. "Maar voor een grote groep mensen van wie de handelingen niet streng beveiligd hoeven te worden, voldoet het", denkt een beveiligingsexpert van het Engelse bedrijf RSA. (NU.nl)

Reacties (6)
03-06-2002, 22:09 door pierpanda
Een oud idee in een nieuw jasje. Maar als het helpt de beveiliging op een hoger plan te brengen, dan kan men dit een goed idee noemen. De Postbank heeft jaren geleden ook een soortgelijke kaart uitgebracht om PIN-codes te onthouden. Diefstal van een dergelijke kaart is zinloos, aangezien de PIN gerelateerd is aan een zelfgekozen wachtwoord. Zonder dit wachtwoord is de PIN niet te achterhalen.


Pierpanda.
03-06-2002, 22:24 door Anoniem
Bruteforcing blijft een optie.
04-06-2002, 08:50 door H.H.J.Masselink
Originally posted by Unregistered
Bruteforcing blijft een optie.

Het vragen naar het woord waarbij een code hoort wisselt per aanmeld poging, dus brute forcen zal niet echt gaan.
04-06-2002, 12:28 door Anoniem
Originally posted by H.H.J.Masselink


Het vragen naar het woord waarbij een code hoort wisselt per aanmeld poging, dus brute forcen zal niet echt gaan.


Allereerst: jammer dat er geen link bij staat naar extra informatie, NU.nl heeft voor zover ik kan zien geen extra informatie.

Wat volgens mij een nadeel is van dit systeem is dat er nu maar een machine waarop de gebruiker een account heeft hoeft te worden gekraakt om alle systemen te kunnen binnendringen, op dit moment heeft de gebruiker voor elk systeem (als het goed is) een ander wachtwoord.

Dit aangezien:

Elke systeem hetzelfe initiele wachtwoord gebruikt.

En elk systeem alle codes moet hebben die op de credit card staan, eventueel kan je de woorden gehashed opslaan, maar aangezien het normale woorden zijn (tenminste dit blijkt uit de text) is brute-forcen hiervoor een eenvoudige oplossing.


Mochten de woorden inderdaad gehasht zijn dan is de oplossing om enkele verschillende in-log pogingen te bekijken en dus enkele nummers+woord combinaties te verzamelen. In de volgende stap tegen een ander systeem kunnen dan net zolang authenticatie pogingen worden gestart, todat er een nummer bijzit waarvan het woord bekend is, gezien het formaat van een credit-card en het dus ernstig gelimiteerde aantal mogelijkheden lijkt dit een werkbare oplossing.
04-06-2002, 12:35 door Anoniem
Originally posted by Unregistered



Allereerst: jammer dat er geen link bij staat naar extra informatie, NU.nl heeft voor zover ik kan zien geen extra informatie.


Ok gevonden op Nu.nl, bij oudere data:
http://nu.nl/document?n=57354

Met daarin een link naar de bbc:
http://news.bbc.co.uk/hi/english/sci/tech/newsid_2006000/2006940.stm

Blijkens dat artikel gaat het inderdaad slechts om normale woorden (bruteforce aanval op de hashes, als die er zijn) en gaat het inderdaad slechts om enkele mogelijkheden namelijk 20.

Oftewel, 4 authenticatie-sessies bekijken en vervolgens heb je 20% kans (ongeveer) per authenticatie poging om op een ander systeem binnen te dringen.
04-06-2002, 19:05 door Anoniem
Originally posted by pierpanda
Een oud idee in een nieuw jasje. Maar als het helpt de beveiliging op een hoger plan te brengen, dan kan men dit een goed idee noemen. De Postbank heeft jaren geleden ook een soortgelijke kaart uitgebracht om PIN-codes te onthouden. Diefstal van een dergelijke kaart is zinloos, aangezien de PIN gerelateerd is aan een zelfgekozen wachtwoord. Zonder dit wachtwoord is de PIN niet te achterhalen.


Pierpanda.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.