Brit bedenkt simpele wachtwoordoplossing
De Brit Martin Wren-Hilton heeft een eenvoudige manier bedacht om de hele reeks wachtwoorden die tegenwoordig onthouden moeten worden, te vermijden. De reacties op deze goedkope uitvinding zijn redelijk positief, zo schrijft de BBC donderdag. Het gaat om een kaart, ter grootte van een creditcard, waarop een aantal woorden en getallenreeksen staan. De computer waarop wordt inlogd, herkent de persoon aan het wachtwoord. Daarna vraagt de computer naar het nummer dat bij een bepaald woord op die kaart hoort.
Als een hacker de kaart in handen krijgt, kan die er nog niet veel mee omdat de kaart verbonden is met het wachtwoord van de persoon. Bovendien zijn de kaarten uniek, aldus de bedenker van de kaart. Er zijn diverse manieren om wachtwoorden te beschermen met dure technische oplossingen zoals smart cards, maar die methoden zijn volgens Wren-Hilton vooral geschikt voor mensen die tijdens hun werk met zeer vertrouwelijke zaken te maken hebben.
De manier van identificatie is niet nieuw. Vooral banken gebruiken regelmatig dergelijke methoden om online bankhandelingen van klanten te beveiligen. "Maar voor een grote groep mensen van wie de handelingen niet streng beveiligd hoeven te worden, voldoet het", denkt een beveiligingsexpert van het Engelse bedrijf RSA. (NU.nl)
Pierpanda.
Bruteforcing blijft een optie.
Het vragen naar het woord waarbij een code hoort wisselt per aanmeld poging, dus brute forcen zal niet echt gaan.
Het vragen naar het woord waarbij een code hoort wisselt per aanmeld poging, dus brute forcen zal niet echt gaan.
Allereerst: jammer dat er geen link bij staat naar extra informatie, NU.nl heeft voor zover ik kan zien geen extra informatie.
Wat volgens mij een nadeel is van dit systeem is dat er nu maar een machine waarop de gebruiker een account heeft hoeft te worden gekraakt om alle systemen te kunnen binnendringen, op dit moment heeft de gebruiker voor elk systeem (als het goed is) een ander wachtwoord.
Dit aangezien:
Elke systeem hetzelfe initiele wachtwoord gebruikt.
En elk systeem alle codes moet hebben die op de credit card staan, eventueel kan je de woorden gehashed opslaan, maar aangezien het normale woorden zijn (tenminste dit blijkt uit de text) is brute-forcen hiervoor een eenvoudige oplossing.
Mochten de woorden inderdaad gehasht zijn dan is de oplossing om enkele verschillende in-log pogingen te bekijken en dus enkele nummers+woord combinaties te verzamelen. In de volgende stap tegen een ander systeem kunnen dan net zolang authenticatie pogingen worden gestart, todat er een nummer bijzit waarvan het woord bekend is, gezien het formaat van een credit-card en het dus ernstig gelimiteerde aantal mogelijkheden lijkt dit een werkbare oplossing.
Allereerst: jammer dat er geen link bij staat naar extra informatie, NU.nl heeft voor zover ik kan zien geen extra informatie.
Ok gevonden op Nu.nl, bij oudere data:
http://nu.nl/document?n=57354
Met daarin een link naar de bbc:
http://news.bbc.co.uk/hi/english/sci/tech/newsid_2006000/2006940.stm
Blijkens dat artikel gaat het inderdaad slechts om normale woorden (bruteforce aanval op de hashes, als die er zijn) en gaat het inderdaad slechts om enkele mogelijkheden namelijk 20.
Oftewel, 4 authenticatie-sessies bekijken en vervolgens heb je 20% kans (ongeveer) per authenticatie poging om op een ander systeem binnen te dringen.
Een oud idee in een nieuw jasje. Maar als het helpt de beveiliging op een hoger plan te brengen, dan kan men dit een goed idee noemen. De Postbank heeft jaren geleden ook een soortgelijke kaart uitgebracht om PIN-codes te onthouden. Diefstal van een dergelijke kaart is zinloos, aangezien de PIN gerelateerd is aan een zelfgekozen wachtwoord. Zonder dit wachtwoord is de PIN niet te achterhalen.
Pierpanda.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
