Nieuws
image

Onderzoekers bedenken alternatief voor wachtwoorden

vrijdag 25 december 2015, 08:15 door Redactie, 11 reacties

Onderzoekers van de Universiteit van Plymouth hebben een alternatief voor wachtwoorden bedacht dat eenvoudiger voor gebruikers zou zijn om te onthouden dan wachtwoorden en minder kostbaar voor organisaties zou zijn om te implementeren dan hardwarematige oplossingen, zoals tokens.

Het 'GOTPass-systeem' combineert vergrendelcodes, bekend van smartphones, en afbeeldingen. Om van het systeem gebruik te maken moeten gebruikers eerst een gebruikersnaam kiezen, hierna een vergrendelpatroon tekenen en daarna verschillende afbeeldingen kiezen. In totaal krijgen de gebruikers vier thema's met elk 30 afbeeldingen te zien. Van elk thema moet één afbeelding worden gekozen.

Als gebruikers vervolgens op hun account willen inloggen moeten ze hun gebruikersnaam geven en vervolgens het vergrendelpatroon tekenen. Hierna volgt er een scherm met 16 afbeeldingen, waarvan twee eerder geselecteerde afbeeldingen. Om het niet al te eenvoudig te maken voor een aanvaller om de afbeeldingen te raden zijn er zes afbeeldingen die op de twee gekozen afbeeldingen lijken en acht willekeurige afbeeldingen. Zodra gebruikers de twee juiste afbeeldingen kiezen verschijnt er een achtcijferige code die moet worden ingevoerd om de laatste inlogstap af te ronden en daadwerkelijk in te loggen.

Uit tests blijkt dat het systeem eenvoudig voor gebruikers is om te herinneren en lastig voor aanvallers om te kraken. Van de 690 hackpogingen waren er 23 succesvol, een slagingspercentage van 3,3%. "Een veilig online systeem is lastig te hacken en we hebben aangetoond dat door een combinatie van afbeeldingen en eenmalige wachtwoorden dit kan worden bereikt. Dit biedt ook een goedkoop alternatief voor bestaande en kostbare token-gebaseerde multifactorsystemen", zegt Maria Papadaki, leider van het onderzoek. De onderzoekers zijn nu van plan om de bruikbaarheid en langetermijneffectiviteit van het GOTPass-systeem te onderzoeken.

Reacties (11)
25-12-2015, 09:06 door Anoniem
Pfff, alleen de uitleg lezen is al vermoeiend. Laat dus maar, veel te omslachtig.
25-12-2015, 09:34 door Anoniem
690/23=30 (3,3%)

Dus gemiddeld 30x proberen en je hebt het wachtwoord
Omzeild !
Een 3cyver combinatieslot is al veiliger (0,1%)

:-)
25-12-2015, 10:17 door potshot
3,3 % is gigantisch.
25-12-2015, 10:18 door Anoniem
Het lijkt me dat door 6 vergelijkbare afbeeldingen te geven je informatie lekt over welke afbeeldingen de juiste zijn. Als je dit vaak genoeg kunt proberen kun je dus de afbeeldingen achterhalen.
25-12-2015, 10:23 door Anoniem
Hoe onthoud je die combinaties allemaal als je op honderden websites en machines een account hebt?
25-12-2015, 11:03 door [Account Verwijderd]
[Verwijderd]
25-12-2015, 11:42 door Anoniem
Het idee voor een alternatief op een wachtwoord is goed. We moeten het echter niet te complex gaan insteken want dan gaat het vroeg of laat toch weer mis.

3,3% is in mijn ogen ook gewoonweg onacceptabel en daardoor niet bruikbaar in de praktijk
25-12-2015, 12:12 door Anoniem
3,3% is gigantisch ja, maar ik snap ook niet helemaal het moeilijker maken door 6 afbeeldingen te geven die er op lijken. Dat betekend in mijn logica dat de 8 die er niet op lijken dus afvallen en je nog maar uit 8 plaatjes hoeft te gokken.
25-12-2015, 17:27 door Anoniem
Om het goed te kunnen beoordelen, moet je wel even weten om wat voor soort attacks het gaat.
Bijv. schoudersurfen is bij normale pincode of wachtwoord volgens mij vele malen groter dan 3,3%,
en dan zou deze nieuwe methode wel een vooruitgang zijn. Plus je hoeft geen cijfers te onthouden.

Als ik het bericht en de link goed doorlees houdt deze nieuwe manier van inloggen in:
stap 1. gebruikersnaam intikken
stap 2. Het juiste patroontje tekenen door 4x4 hokjes
stap 3. De 2 juiste plaatjes kiezen uit 16 afbeeldingen, waarvan zes plaatjes nogal veel op die 2 plaatjes lijken.
stap 4. 8-cijferige code intikken die in beeld is gekomen, en afhankelijk is van de twee gekozen plaatjes

Alle vier stappen moeten correct worden uitgevoerd, van stap 1 t/m stap 4.
Meestal is het zo dat een apparaat na 3 foute inlogpogingen blokkeert.

Misschien dat dit dan inderdaad ietsje veiliger is en wat gemakkelijker te onthouden voor de gebruiker.
En het is natuurlijk niet verboden om ook nog af en toe je wachtwoord te wijzigen.
Maar ik hou zelf wel in de gaten of er iemand meekoekeloert en neem ik maatregelen om dit zoveel mogelijk te voorkomen. En of het nu echt zoveel makkelijker is...???
Misschien wordt dat pas duidelijk als je het hele analyse rapport gedeeltelijk of volledig opvraagt voor enkele tientjes...
(pfffff.... dat laatste is in mijn ogen wél volslagen waanzin)
26-12-2015, 04:36 door Anoniem
Een vingerafdrukscanner kost tegenwoordig toch ook bijna niets meer.
Gewoon standaard op elke laptop kost het helemaal geen bal meer.
Zijn we meteen van al die onzin af.
Ik word gewoon ziek van al dat inloggen.
Als ik op deze site had moeten inloggen had ik niet eens gereageerd.
26-12-2015, 17:18 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure