Onderzoeker verklaart wachtwoorden dood
Wachtwoorden zijn geen acceptabel beveiligingsmechanisme meer en moeten dringend vervangen worden, aldus beveiligingsonderzoeker Frank Stajano. Volgens Stajano is het voor gebruikers ondoenlijk om sterke wachtwoorden te maken en die ook nog eens te onthouden. "Gebruikers hebben het helemaal gehad met wachtwoorden", laat de onderzoeker weten. Als oplossing kwam hij met de Pico, een draagbaar apparaat dat wachtwoorden vervangt. Het gaat er bij de Pico niet om wat de gebruiker weet, maar wat hij heeft.
Voor de ontwikkeling van de Pico staan verschillende kernpunten centraal. Gebruikers moesten geen geheim kunnen onthouden, maar als het apparaat stuk zou gaan, zou de gebruiker nog steeds toegang moeten hebben. Daarnaast zou een aanvaller die het apparaat steelt zich niet als de gebruiker moeten kunnen voordoen.
Prothese
Stajano beschrijft zijn ontwerp als een geheugenprothese, dat voorzien is van verschillende knoppen. Het heeft daarnaast een klein scherm en een camera, voor het ontvangen van visuele codes. Daarnaast communiceert de Pico via een radio-interface. Elke applicatie waar de Pico mee werkt heeft een eigen publiek-privé sleutelpaar. De Pico stuurt een versleutelde boodschap naar de publieke sleutel van de applicatie, om zo luistervinken te omzeilen.
Het bericht van de Pico bevat een gegenereerde publieke sleutel, die de applicatie weer via de radio-interface kan gebruiken. De Pico onthoudt de publieke sleutel van de applicatie als er voor het eerst wordt ingelogd. Daarmee zou het apparaat phishing- en Man-in-the-middle-aanvallen te slim af zijn.
Oplossing
Om te voorkomen dat een aanvaller die het apparaat bemachtigt ook als het slachtoffer kan inloggen, vergrendelt de Pico zichzelf. Zo is het geheugen volledig versleuteld. Vooralsnog gaat het om een concept dat Stajano heeft uitgewerkt. "Het is niet langer redelijk dat beveiligingsdeskundigen gebruikers vragen om hun wachtwoorden te herinneren, omdat er teveel zijn en omdat wachtwoorden die sterk genoeg zijn, te lastig voor het menselijke brein zijn. Pico is mogelijk het eerste voorstel voor een authenticatieoplossing voor gebruikers die wachtwoorden in z'n geheel zou elimineren."
En hoe voorkom je dat de encryptie gekraakt wordt?
Deze oplossing komt mij over als te comlex, en dus te kwetsbaar voor hacks.
Dan kun je net zo goed een token gebruiken die beveiligd is door een code. Dan voorkom je de radio-interface alleen al.
Ik zie het al voor me:
8.00 uur 's-ochtends. Medewerkers komen binnen en willen rond dezelfde tijd gaan inloggen.... Of is dit een rfid oplossing?
Back to the drawing board.
Dit lost trouwens het eigenlijke probleem niet op. n.l. dat medewerkers geen wachtwoorden kunnen onthouden.
Misschien is in de tussentijd een cursus geheugentraining effectiever?
lastig item, want je wordt geacht geen wachtwoord meer te hoeven onthouden dan/
2. Wat ik heb.
3. Wat/wie ik ben.
Denk niet dat het zin heeft om de een met de ander te gaan vervangen, zoals google nu ook dubbele authenticatie toepast lijkt me een stuk handiger.
Echt geinteresseerd ben je ook weer niet hé?
Rechtstreeks van de bron: "so the key to unlock the Pico is instead recovered by n-out-of-n secret sharing, with
shares held by other small radio-enabled devices usually worn by the user such as special versions of glasses, watch, belt, pen, cellphone, wallet, keyring and so forth—the Picosisters."
Tja en zo staat het zelfs in de bron tekst; "The Pico talks to the app over radio by sending an encrypted message to the app’s public key, thus defeating eavesdroppers."
Om eerlijk te zijn vind ik het een bagger slecht idee. Ten aanzien van authenticatie gaat het om Something you have, you know and you are. Bij dit concept betreft het 2 keer 'something you have', de Pico en de Picosister.
lastig item, want je wordt geacht geen wachtwoord meer te hoeven onthouden dan/
Lees eerst even de PDF door voordat je begint te blaten.
Geheel mee eens; daarnaast vinden de meeste aanvallen op wachtwoorden plaats via bijvoorbeeld keyloggers vandaag de dag, en niet via brute force / dictionary password hacking. Bij keylogging maakt complexiteit van een wachtwoord helemaal niets uit.
"Het best gebruik je gewoon een wachtwoord dat net zo lang is als een bladzijde uit een goed dik boek."
Volstrekt irrelevant indien er sprake is van diefstal van het wachtwoord d.m.v. keylogging. In discussie's over sterke wachtwoorden lijkt men hier dikwijls aan voorbij te gaan. Beter is het om multi-factor authenticatie te gebruiken met een token dat one-time passwords genereert. Bij dergelijke authenticatie heeft een aanvaller relatief weinig aan keylogging.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
