Wachtwoorden zijn geen acceptabel beveiligingsmechanisme meer en moeten dringend vervangen worden, aldus beveiligingsonderzoeker Frank Stajano. Volgens Stajano is het voor gebruikers ondoenlijk om sterke wachtwoorden te maken en die ook nog eens te onthouden. "Gebruikers hebben het helemaal gehad met wachtwoorden", laat de onderzoeker weten. Als oplossing kwam hij met de Pico, een draagbaar apparaat dat wachtwoorden vervangt. Het gaat er bij de Pico niet om wat de gebruiker weet, maar wat hij heeft.
Voor de ontwikkeling van de Pico staan verschillende kernpunten centraal. Gebruikers moesten geen geheim kunnen onthouden, maar als het apparaat stuk zou gaan, zou de gebruiker nog steeds toegang moeten hebben. Daarnaast zou een aanvaller die het apparaat steelt zich niet als de gebruiker moeten kunnen voordoen.
Prothese
Stajano beschrijft zijn ontwerp als een geheugenprothese, dat voorzien is van verschillende knoppen. Het heeft daarnaast een klein scherm en een camera, voor het ontvangen van visuele codes. Daarnaast communiceert de Pico via een radio-interface. Elke applicatie waar de Pico mee werkt heeft een eigen publiek-privé sleutelpaar. De Pico stuurt een versleutelde boodschap naar de publieke sleutel van de applicatie, om zo luistervinken te omzeilen.
Het bericht van de Pico bevat een gegenereerde publieke sleutel, die de applicatie weer via de radio-interface kan gebruiken. De Pico onthoudt de publieke sleutel van de applicatie als er voor het eerst wordt ingelogd. Daarmee zou het apparaat phishing- en Man-in-the-middle-aanvallen te slim af zijn.
Oplossing
Om te voorkomen dat een aanvaller die het apparaat bemachtigt ook als het slachtoffer kan inloggen, vergrendelt de Pico zichzelf. Zo is het geheugen volledig versleuteld. Vooralsnog gaat het om een concept dat Stajano heeft uitgewerkt. "Het is niet langer redelijk dat beveiligingsdeskundigen gebruikers vragen om hun wachtwoorden te herinneren, omdat er teveel zijn en omdat wachtwoorden die sterk genoeg zijn, te lastig voor het menselijke brein zijn. Pico is mogelijk het eerste voorstel voor een authenticatieoplossing voor gebruikers die wachtwoorden in z'n geheel zou elimineren."
Deze posting is gelocked. Reageren is niet meer mogelijk.