image

Pico moet einde aan alle wachtwoorden maken

donderdag 14 augustus 2014, 15:10 door Redactie, 7 reacties

Wachtwoorden als de universele inlogmethode zijn een grote fout en een oneerlijke "deal" die beveiligingsexperts aan normale gebruikers hebben opgedrongen, zo stelt beveiligingsonderzoeker Frank Stajano die al een aantal jaren aan een oplossing werkt die alle wachtwoorden moet laten verdwijnen.

De oplossing van Stajano heet Pico en wordt mede met geld van de European Research Council ontwikkeld. De Pico, die al in 2011 voor het eerst werd gepresenteerd, is een klein apparaatje dat lijkt op een USB-stick en is voorzien van een camera en vingerafdruklezer. Het gebruikt public key cryptografie waarbij gebruikers een privésleutel en publieke sleutel hebben en verder niets hoeven te onthouden.

Toch kunnen ze op een veilige manier op websites inloggen door een code op de website te scannen. Als de website wordt gehackt waar een Pico-gebruiker een account heeft, hoeft hij zijn wachtwoord niet te wijzigen. De aanvaller kan namelijk alleen de publieke sleutel van de Pico-gebruiker stelen en zich zo niet als de gebruiker voordoen, omdat de privésleutel ontbreekt.

Diefstal

De Pico zelf kan natuurlijk wel gestolen worden, maar ook daar heeft Stajano aan gedacht. Door het gebruik van "Pico siblings" werkt de Pico alleen als deze siblings in de buurt zijn. Een Pico sibling is een klein apparaatje ter grootte van een knoop dat in de portemonnee kan worden bewaard of aan een ketting kan worden gedragen. Deze siblings, die de gebruiker eigenlijk altijd bij zich draagt, creëren een soort van "aura", waarbij Pico alleen werkt als er voldoende Pico siblings in de buurt zijn. Om ervoor te zorgen dat de Pico "ontgrendeld" blijft moet ook regelmatig de vinger over de vingerafdrukscanner worden gehaald.

Mocht de Pico worden gestolen of verloren dan kan de gebruiker nog steeds inloggen. Het enige dat hij hoeft te doen is het kopen van een nieuwe Pico. De Pico beschikt namelijk over een dockingstation die naast het opladen van het apparaatje ook back-ups maakt. In het geval van diefstal of verlies hoeft de gebruiker zijn lege Pico op het dockingstation aan te sluiten en kan zo de informatie van zijn vorige Pico terugzetten. Als de dief zowel de Pico als de Pico siblings weet te stelen is het nog steeds mogelijk om de Pico op afstand te vergrendelen.

Een andere eigenschap van de Pico is continue authenticatie. Dit zorgt ervoor dat de computer waarop een Pico-gebruiker is ingelogd automatisch wordt vergrendeld zodra de gebruiker van de computer wegloopt. Zodra de gebruiker weer op zijn plek terug is wordt de computer weer ontgrendeld.

Toekomst

In tegenstelling tot andere token-oplossingen is de Pico niet backwards compatibel met wachtwoorden. Stajano erkent dat het vervangen van wachtwoorden geen eenvoudige opgave is. Hij voorspelt echter dat de situatie met wachtwoorden de komende jaren alleen maar erger zal worden. Zowel voor gebruikers die met steeds meer wachtwoorden te maken krijgen die ze moeten onthouden als voor serviceproviders.

De kosten vanwege beveiligingsincidenten en het ondersteunen van klanten met wachtwoordproblemen zullen namelijk alleen maar stijgen, aldus de onderzoeker in deze video. Hij ziet Pico dan ook als een oplossing voor de lange termijn. "Op een gegeven moment heeft de wereld genoeg van wachtwoorden. En dan staan wij klaar met een gebruiksvriendelijker en veiliger alternatief."

Image

Reacties (7)
14-08-2014, 16:01 door AceHighness
SQRL is een veel betere oplossing die geen extra hardware vereist.
Google it.
14-08-2014, 16:59 door [Account Verwijderd]
Vraag EEN:
Als het docking station, de knoop en de Pico verdwenen zijn?
De vingerafdruk beveiligingen zijn in het verre verleden al gekraakt.

Ik ben de tel kwijt van al die onkraakbare beveiligingen die in de loop van de jaren voorbij zijn gekomen.
En waar je nu NIETS meer van hoort of ziet.
14-08-2014, 17:00 door Anoniem
Wachtwoord zal nooit helemaal vervangen worden....
Mogelijk dat veel mensen in toekomst ooit iets anders gaan gebruiken, maar het helemaal vervangen gaat niet gebeuren.

Heel leuk, maar wachtwoorden kan je het beste geheim houden zonder dat iemand er achter komt. (zit in je hoofd, onder druk zou je zelfs niet kunnen geven.)
Hardware tokens en andere oplossingen met QR codes etc, mensen die jouw hardware of telefoon in handen krijgen, krijgen de optie om dan ook in te loggen.
Of met Biometric hetzelfde, je vinger of oog moet je alleen nog maar voor iets staan.

Hardware token + die knoop in bezit, dan kan je dus inloggen...
Ik houd liever mijn wachtwoord....

Enige wat zou werken is combinaties gebruiken met wachtwoord.
14-08-2014, 17:07 door Hans_US
Door AceHighness: SQRL is een veel betere oplossing die geen extra hardware vereist.
Google it.

Pico, SQRL, .....of een andere oplossing: het werkt alleen als het voldoet aan:
afdoende acceptatie in het internet domein: Als grote spelers (banken, google, yahoo, amazon, bol.com,...) hier geen gebruik van maken dan komt het nooit goed van de grond.
gemakkelijk te gebruiken: de oplossing moet simpel genoeg zijn dat men het daadwerkelijk gebruikt.
betrouwbaar: denk aan centrale opslag (lastpass) en de locatie ervan (EU/US/....)
open: zonder een open standaard zal er weinig vertrouwen zijn dat dit DE oplossing.
juiste prijs: ik denk dat men best wil betalen voor een veilige oplosing.

Het probleem dat ik zie met SQRL is dat ik nu mijn telefoon moet vertrouwen. Persoonlijk zou ik voor sommige sites (zoals banken) liever ook een hardwarematige sleutel gebruiken.
14-08-2014, 19:46 door Anoniem
Biometrie is, net als conventionele methode's, niet 100% betrouwbaar en levert ook nog eens extra risico's op tav privacy, ID-diefstal, etc tov diezelfde conventionele methodes.

Waar worden de meeste gegevens gelekt / gekaapt / gehackt? Bij personen of via websites?
Wat levert dit dan op? Ah ja, wacht, omzet voor de fabrikant en werk voor de beheerder ;)

Met een degelijke hash & salt is zelfs een 4-cijferige pincode (vrijwel) niet te kraken zonder brute-force, dáár valt winst te behalen voor gebruikers! Dat en 2-factor authentication, probleem opgelost IMHO.
14-08-2014, 20:12 door Anoniem
Maakt het er naar mijn menig alleen nog maar omslachtiger op dan het al is, nu moet je ook nog altijd een hele collectie aan vermomde siblings met je meeslepen als je ergens buitenhuis op een website wil inloggen. En dat moet vast allemaal op batterijen werken (die weer leeg kunnen gaan) of als het met RFID werkt zuigt het de accu van het masterdevice leeg. Hoe dan ook zal het bijdragen aan een enorme toename aan elektrosmog, terwijl de ether nu al propvol is.

Zoals al aangegeven een wachtwoord kun je alleen achterhalen als iemand daar zelf bewust aan meewerkt, door het af te geven. Vingerafdrukken laten we overal achter en zijn niet moeilijk om af te nemen en in te scannen.

Als je dan toch erg vergeetachtig bent lijkt me een wachtwoordmanager (analoog/digitaal/standalone) toch een vele simpelere oplossing.
15-08-2014, 12:00 door Vandy - Bijgewerkt: 15-08-2014, 12:00
Vele jaren geleden hadden we bepaalde software op het werk waarvoor een "dongle" moest worden ingeplugd in de 25-pins seriële port van de computer. Aan de hand van de dongle werd eerst bepaald of je een geldige licentie had, en vervolgens welke privileges je had als gebruiker.

Een slim figuur bij ons ontdekte echter, dat de software simpelweg zocht naar welke pins een signaal gaven, en afhankelijk daarvan de privileges verstrekte. De licentie zelf stond kennelijk wel hard coded op de dongle en was niet (althans, door ons) te vervalsen, maar met een paar kleine modificaties kon iedereen wel als admin inloggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.