Verhaaltjes om 100 wachtwoorden te onthouden
Wetenschappers hebben een manier bedacht waardoor gebruikers aan de hand van korte verhaaltjes van één regel 100 of meer wachtwoorden kunnen onthouden. De verhaaltjes, die regelmatig moeten worden herhaald, vormen de basis voor wachtwoordfragmenten, die willekeurig zijn te combineren.
Daardoor is het mogelijk om voor meerdere accounts unieke en sterke wachtwoorden te verzinnen. Om de zinnen te kunnen herinneren worden die aan foto's gekoppeld, wat het onthouden moet vereenvoudigen. De wetenschappers erkennen dat het "natuurlijk herhalen van wachtwoorden" iets meer werk van de gebruiker vereist dan bestaande wachtwoordmethodes.
"Maar als je negen verhalen kunt onthouden, kan ons systeem voor 126 accounts verschillende wachtwoorden genereren", zegt Jeremiah Blocki van de Carnegie Mellon Universiteit. Door meer verhalen te onthouden kunnen gebruikers nog veel meer wachtwoorden verzinnen of hun wachtwoorden nog veiliger maken.
De nieuwe methode moet een probleem oplossen waar veel internetgebruikers mee te maken hebben. Zelfs doorsnee gebruikers verzamelen in de loop van de tijd zoveel wachtwoorden, dat ze lastig of onmogelijk te onthouden zijn. Daardoor gebruiken mensen voor veel accounts hetzelfde wachtwoord, wat een beveiligingsrisico is.
Applicatie
Om de verhaalmethode toe te passen ontwikkelden de wetenschappers een applicatie die het geheugen van de gebruiker ondersteunt. Uiteindelijk moet er een mobiele versie van de applicatie verschijnen. De gebruiker moet hierbij een foto van een persoon en een foto van een suggestieve scene kiezen. De computer kiest vervolgens willekeurig een foto van een object en een foto van een actie. Met die twee foto's kan de gebruiker een "Person-Action-Object" (POA)- verhaal verzinnen. Het moet een levendig en ongewoon verhaal zijn, zo stellen de wetenschappers.
Bijvoorbeeld een foto van Bill Clinton, een piranha en iemand die een kus geeft zou het POA-verhaal "Bill Clinton kust een piranha" kunnen opleveren. Vervolgens zou de gebruiker de eerste letter van elk woord, of de eerste drie letters van de eerste twee woorden, kunnen nemen, die dan als onderdeel van een wachtwoord dienen. Voor elk account kent de applicatie verschillende fotocombinaties toe.
Tijdens het inloggen toont de applicatie de foto als geheugensteun. Zelfs als de gebruiker zijn wachtwoord vergeet, kan hij die door naar de foto's te kijken en het bijbehorende verhaal te herinneren weer samenstellen. Het maakt daarbij niet uit dat de foto's openbaar en onbeschermd zijn, aangezien het bijbehorende verhaal alleen bij de gebruiker bekend is, alsmede de manier waarop ze tot een wachtwoord worden omgezet. En zelfs als een aanvaller één wachtwoord achterhaald, zouden alle andere wachtwoorden nog steeds veilig zijn.
Beperkingen
Blocki gebruikt voor extra bescherming inmiddels zelf 43 verhaaltjes. "Het vervelendste van het systeem is niet het onthouden van de verhaaltjes, maar de wachtwoordbeperkingen die sommige websites hebben", aldus de wetenschapper. Sommige websites vereisen dat gebruikers cijfers of hoofdletters gebruiken, of laten een beperkt aantal karakters toe. In die gevallen schrijft Blocki op een papiertje om bijvoorbeeld een "1" aan het wachtwoord toe te voegen. "De veiligheid is inherent aan de wachtwoorden en het opschrijven heeft daar geen invloed op."
Iedere foto die je zelf neemt met de foto camera heeft een aparte MD5, dus lekker makkelijk.
Voor op bijv. GMail gebruik je een foto van jezelf, en voor een forum een foto van je huisdier enz. enz.
Op je eigen device kun je mapjes maken van de verschillende diensten met daarin je foto.
Simpel en makkelijk, weg probleem lange wachtwoorden en bijna niet te kraken. (tenzij een hacker je foto heeft)
De server controleerd de MD5 (met salt) en voila.
Zou toch moeten kunnen of zie ik iets over het hoofd?
Iedere foto die je zelf neemt met de foto camera heeft een aparte MD5, dus lekker makkelijk.
Voor op bijv. GMail gebruik je een foto van jezelf, en voor een forum een foto van je huisdier enz. enz.
Op je eigen device kun je mapjes maken van de verschillende diensten met daarin je foto.
Simpel en makkelijk, weg probleem lange wachtwoorden en bijna niet te kraken. (tenzij een hacker je foto heeft)
De server controleerd de MD5 (met salt) en voila.
Zou toch moeten kunnen of zie ik iets over het hoofd?
Zelfs met salt is dit relatief eenvoudig te kraken.
Iedere foto die je zelf neemt met de foto camera heeft een aparte MD5, dus lekker makkelijk.
Voor op bijv. GMail gebruik je een foto van jezelf, en voor een forum een foto van je huisdier enz. enz.
Op je eigen device kun je mapjes maken van de verschillende diensten met daarin je foto.
Simpel en makkelijk, weg probleem lange wachtwoorden en bijna niet te kraken. (tenzij een hacker je foto heeft)
De server controleerd de MD5 (met salt) en voila.
Zou toch moeten kunnen of zie ik iets over het hoofd?
Zelfs met salt is dit relatief eenvoudig te kraken.
Hmmm laat ik het dan even anders formuleren.
Stel bij GMail staat nu een vakje > Selecteer je foto (verwijst naar een mapje op je pc, of een url op internet)
Dan kun je dus geen waarde invoegen.
Een hacker zal dus op de server zien moeten te komen, en een MD5 sleutel is een lange reeks aan cijfers en letters
zoals bijvoorbeeld deze > 5886F3C3F2D4701CAF9A9FFA9B8AFEAC
Bovenstaande MD5 is moeilijker te raden als een wachtwoord als bijvoorbeeld: 12345abc
Dan kun je ook ingeven om na twee foute foto pogingen de inlog te blokkeren voor een uurtje of zo.
Maar als je enkel met een foto kunt inloggen en geen waarde aan cijfers en letters dan moet het toch veilig zijn?
Ik denk dat jij een rainbow table bruteforce voor ogen hebt, en die heeft dan te maken met het toegang kunnen krijgen
tot de database toch? Maar als die voldoende goed is beveiligd dan heeft een rainbow table bruteforce toch ook geen
zin lijkt me zo.
Of begrijp ik iets niet goed?
2) De notatie van je wachtwoord zou niets uit moeten maken. Of het nu hexadecimaal, decimaal of binair is, 128 bits is 128 bits. Je zou hooguit kunnen zeggen dat MD5 kwetsbaarheden bevat waardoor bepaalde uitkomsten van de functie vaker voorkomen als anderen. Maar dat is vast niet het punt wat je wilt maken :-)
Dat is nu juist de essentie van het verhaal dat je de wachtwoorden kunt "onthouden" door deze uit een verhaaltje te halen.
2) De notatie van je wachtwoord zou niets uit moeten maken. Of het nu hexadecimaal, decimaal of binair is, 128 bits is 128 bits. Je zou hooguit kunnen zeggen dat MD5 kwetsbaarheden bevat waardoor bepaalde uitkomsten van de functie vaker voorkomen als anderen. Maar dat is vast niet het punt wat je wilt maken :-)
Tja we gaan nu wel afwijken van het verhaal, want het gaat zich niet om de veiligheid van de PC waar het op staat, maar om de manier van te kunnen inloggen. Maar OK, er is genoeg software voorhanden om ook je mapjes met inhoud mee te versleutelen net zoals het programma's geeft die je wachtwoorden kan onthouden als bijvoorbeeld Keepass en LastPass.
Omdat er altijd mensen zijn die nog steeds geen sterke wachtwoorden gebruiken, leek me dit een betere en simpele manier.
Op internet staan milarden foto's dus de kans dat net iemand de foto gebruikt die jij dan gebruik lijkt me dan ook te verwaarlozen. Verder kun je natuurlijk ook je eigen foto gaan nemen. Stel ik neem een foto van mijn huis en ga die gebruiken voor mee in te loggen, en mijn buurman denkt hmmm ik maak ook even een foto van zijn huis en krijg dan toegang tot zijn mailbox. Helaas gaat dat niet op want de MD5 klopt voor geen meter. Geen enkele foto is gelijk, enkel
een copie dan. Iedere gsm of smartphone kan wel een foto-tje maken. Iedere foto die je neemt heeft trouwens een andere MD5 (of SH1 of Tiger hash) dus dat lijkt me dan ook veilig genoeg.
Maar laten we even niet ingaan op hoe veilig je PC wel niet is, (of server) want alles is te kraken.
Zoals misschien iedere server is te kraken, is ook iedere pc wel te kraken, en tevens is iedereen zelf verantwoordelijk voor de beveiliging van zijn PC. Maar met een software programma laat ook dit zich beveiligen.
Trouwens er zijn ook mensen die gewoon ergens een tekst file met de naam: wachtwoorden.txt of .doc.
Dus vandaar dat ik dat onderwerp links wil laten liggen, want het gaat tenslotte om de manier van kunnen inloggen op een andere manier.
Ik snap best dat mijn manier het niet gaat halen omdat ik niet de juiste personen ken die er iets mee doen, maar wel leuk
om er eens over na te denken. En indien dit geniaal zou zijn, zijn er misschien weer mensen die dit oppikken den denken
ja daar zit iets in.
Dus veilig zat of..........................?
Zoals misschien iedere server is te kraken, is ook iedere pc wel te kraken, en tevens is iedereen zelf verantwoordelijk voor de beveiliging van zijn PC. Maar met een software programma laat ook dit zich beveiligen.
Kip-en-ei probleem een beetje. Waar wil je tegen beveiligen? Tegen welke soort aanvaller?
Maar je hebt het over inloggen bij gmail zie ik nu. Op Windows 8 kan je namelijk door een swipe op een foto inloggen herinner ik mij vaag.
Een gevaar met .txt/.doc bestandjes is overigens indexatie door het zoek systeem van Windows. Los van restjes in clusters na defragmentatie van je harde schijf of het niet secure wipen van zulke bestanden. Maar ik dwaal af.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
