image

Onderzoeker verklaart wachtwoorden dood

dinsdag 29 maart 2011, 11:10 door Redactie, 12 reacties

Wachtwoorden zijn geen acceptabel beveiligingsmechanisme meer en moeten dringend vervangen worden, aldus beveiligingsonderzoeker Frank Stajano. Volgens Stajano is het voor gebruikers ondoenlijk om sterke wachtwoorden te maken en die ook nog eens te onthouden. "Gebruikers hebben het helemaal gehad met wachtwoorden", laat de onderzoeker weten. Als oplossing kwam hij met de Pico, een draagbaar apparaat dat wachtwoorden vervangt. Het gaat er bij de Pico niet om wat de gebruiker weet, maar wat hij heeft.

Voor de ontwikkeling van de Pico staan verschillende kernpunten centraal. Gebruikers moesten geen geheim kunnen onthouden, maar als het apparaat stuk zou gaan, zou de gebruiker nog steeds toegang moeten hebben. Daarnaast zou een aanvaller die het apparaat steelt zich niet als de gebruiker moeten kunnen voordoen.

Prothese
Stajano beschrijft zijn ontwerp als een geheugenprothese, dat voorzien is van verschillende knoppen. Het heeft daarnaast een klein scherm en een camera, voor het ontvangen van visuele codes. Daarnaast communiceert de Pico via een radio-interface. Elke applicatie waar de Pico mee werkt heeft een eigen publiek-privé sleutelpaar. De Pico stuurt een versleutelde boodschap naar de publieke sleutel van de applicatie, om zo luistervinken te omzeilen.

Het bericht van de Pico bevat een gegenereerde publieke sleutel, die de applicatie weer via de radio-interface kan gebruiken. De Pico onthoudt de publieke sleutel van de applicatie als er voor het eerst wordt ingelogd. Daarmee zou het apparaat phishing- en Man-in-the-middle-aanvallen te slim af zijn.

Oplossing
Om te voorkomen dat een aanvaller die het apparaat bemachtigt ook als het slachtoffer kan inloggen, vergrendelt de Pico zichzelf. Zo is het geheugen volledig versleuteld. Vooralsnog gaat het om een concept dat Stajano heeft uitgewerkt. "Het is niet langer redelijk dat beveiligingsdeskundigen gebruikers vragen om hun wachtwoorden te herinneren, omdat er teveel zijn en omdat wachtwoorden die sterk genoeg zijn, te lastig voor het menselijke brein zijn. Pico is mogelijk het eerste voorstel voor een authenticatieoplossing voor gebruikers die wachtwoorden in z'n geheel zou elimineren."

Reacties (12)
29-03-2011, 11:49 door Anoniem
Is dit een nieuwsartikel of een advertentie?!?
29-03-2011, 12:18 door Anoniem
En om de Pico te ontgrendelen heb je misschien zoiets als een wachtwoord nodig? Die de betreffende gebruiker moet onthouden.
En hoe voorkom je dat de encryptie gekraakt wordt?

Deze oplossing komt mij over als te comlex, en dus te kwetsbaar voor hacks.
Dan kun je net zo goed een token gebruiken die beveiligd is door een code. Dan voorkom je de radio-interface alleen al.

Ik zie het al voor me:
8.00 uur 's-ochtends. Medewerkers komen binnen en willen rond dezelfde tijd gaan inloggen.... Of is dit een rfid oplossing?

Back to the drawing board.
Dit lost trouwens het eigenlijke probleem niet op. n.l. dat medewerkers geen wachtwoorden kunnen onthouden.
Misschien is in de tussentijd een cursus geheugentraining effectiever?
29-03-2011, 13:09 door [Account Verwijderd]
[Verwijderd]
29-03-2011, 14:16 door Zeurkool
Het best gebruik je gewoon een wachtwoord dat net zo lang is als een bladzijde uit een goed dik boek. Maar ja, dat kan niet altijd
29-03-2011, 18:19 door spatieman
hetding moet wachtwoorden vervangen, maar als die op lock gaat, heb je een wachtwoord nodig.
lastig item, want je wordt geacht geen wachtwoord meer te hoeven onthouden dan/
29-03-2011, 19:45 door sjonniev
Leuk, een sleutelpaar. Zit er ook een certificaat bij, van Comodo toevallig?
29-03-2011, 20:21 door Anoniem
Meneer Stajano heeft de NFC PKI card opnieuw uitgevonden ?
29-03-2011, 20:24 door Anoniem
mee eens wachtwoord alleen is zeker niet meer genoeg,ik denk dat er een combi moet komen dus: en wachtwoord,en dan vingerafdruk,irisafdruk/scan en/of stem-identificatie,ook voor smartphones moet dit de norm gaan worden.Dit verkleint de kans op problemen maar 100% veiligheid zul je nooit kunen bereiken.De hackers&crackers helpen in feite het internet om zeep.Waarom zou je nog internetten als je steeds hoofdpijn krijgt van je pc (on)veiligheid? Als je niet eens veilig meer kunt betalen en shoppen op internet.Ik heb begrepen dat als iemand fysiek de hand kan leggen op jouw pc,ook al staat deze op vergrendeld of zelfs uit men toch toegang heeft tot de pc.Dus er moet een soort beveiligde koffer komen voor laptops zodat men deze niet meer fysiek kan klooien.Zo'n slot op je pc zodat hij niet gejat wordt is dus niet meer voldoende.
29-03-2011, 20:26 door KwukDuck
1. Wat ik weet.
2. Wat ik heb.
3. Wat/wie ik ben.

Denk niet dat het zin heeft om de een met de ander te gaan vervangen, zoals google nu ook dubbele authenticatie toepast lijkt me een stuk handiger.
30-03-2011, 00:57 door Anoniem
Om eerlijk te zijn vind ik het een bagger slecht idee. Ten aanzien van authenticatie gaat het om Something you have, you know (and you are). Bij dit concept betreft het 2 keer 'something you have', de Pico en de Picosister. Dit gaat het niet worden.

Door Anoniem: En om de Pico te ontgrendelen heb je misschien zoiets als een wachtwoord nodig? Die de betreffende gebruiker moet onthouden.

Echt geinteresseerd ben je ook weer niet hé?

Rechtstreeks van de bron: "so the key to unlock the Pico is instead recovered by n-out-of-n secret sharing, with
shares held by other small radio-enabled devices usually worn by the user such as special versions of glasses, watch, belt, pen, cellphone, wallet, keyring and so forth—the Picosisters."

Door Hugo:
De Pico stuurt een versleutelde boodschap naar de publieke sleutel van de applicatie...
Dit is een beetje van het niveau "een server is een grote computer..."

Tja en zo staat het zelfs in de bron tekst; "The Pico talks to the app over radio by sending an encrypted message to the app’s public key, thus defeating eavesdroppers."

Om eerlijk te zijn vind ik het een bagger slecht idee. Ten aanzien van authenticatie gaat het om Something you have, you know and you are. Bij dit concept betreft het 2 keer 'something you have', de Pico en de Picosister.
30-03-2011, 00:59 door Anoniem
Door spatieman: hetding moet wachtwoorden vervangen, maar als die op lock gaat, heb je een wachtwoord nodig.
lastig item, want je wordt geacht geen wachtwoord meer te hoeven onthouden dan/

Lees eerst even de PDF door voordat je begint te blaten.
30-03-2011, 09:47 door Anoniem
"Volgens Stajano is het voor gebruikers ondoenlijk om sterke wachtwoorden te maken en die ook nog eens te onthouden."

Geheel mee eens; daarnaast vinden de meeste aanvallen op wachtwoorden plaats via bijvoorbeeld keyloggers vandaag de dag, en niet via brute force / dictionary password hacking. Bij keylogging maakt complexiteit van een wachtwoord helemaal niets uit.

"Het best gebruik je gewoon een wachtwoord dat net zo lang is als een bladzijde uit een goed dik boek."

Volstrekt irrelevant indien er sprake is van diefstal van het wachtwoord d.m.v. keylogging. In discussie's over sterke wachtwoorden lijkt men hier dikwijls aan voorbij te gaan. Beter is het om multi-factor authenticatie te gebruiken met een token dat one-time passwords genereert. Bij dergelijke authenticatie heeft een aanvaller relatief weinig aan keylogging.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.