image

Student ontwikkelt app om via vingerafdruk op sites in te loggen

vrijdag 4 maart 2016, 07:48 door Redactie, 11 reacties

Een 19-jarige informaticastudent van de Universiteit van Harvard heeft een app ontwikkeld waarmee gebruikers op allerlei websites via alleen hun vingerafdruk kunnen inloggen. ClearPass, zoals de app heet, maakt gebruik van de vingerafdrukscanner die op steeds meer smartphones aanwezig is.

Eerst moet een gebruiker zijn of haar vingerafdruk laten scannen, waarmee de app vervolgens een qr-code genereert. Deze code moet de gebruiker voor de webcam van de computer houden waarna erop de website, als die ClearPass ondersteunt, kan worden ingelogd. Volgens ontwikkelaar Nicholas Boucher kunnen webmasters ondersteuning van ClearPass eenvoudig aan hun websites toevoegen. Twee extra regels code zou volstaan.

De app zorgt ervoor dat vingerafdrukken niet op de ClearPass-server worden opgeslagen. In plaats daarvan gebruikt de app een hashingalgoritme dat de vingerafdruk gebruikt voor het genereren van een code. Als extra beveiligingsmaatregel is de qr-code slechts vijf minuten beschikbaar. "Wat ClearPass uniek maakt is dat het aanmaken van een gebruikersnaam optioneel is. Het laat je jezelf authenticeren, terwijl je volledig anoniem blijft", stelt Bouchard.

ClearPass kan ook worden aangepast voor andere biometrische gegevens, zoals gezichtskenmerken of stemidentificatie. De app zou zelfs de hartslagsensor van de smartphone kunnen gebruiken en bijvoorbeeld de gebruiker uitloggen als hij of zij een verhoogde hartslag heeft. ClearPass wist onlangs een hackathon van de Universiteit van Cambridge te winnen. "We vonden dat het concept van het inloggen met een gebruikersnaam en wachtwoord behoorlijk gedateerd is. Als beschaving zouden we dit toch achter ons moeten kunnen laten", aldus de student.

Reacties (11)
04-03-2016, 08:12 door [Account Verwijderd]
[Verwijderd]
04-03-2016, 09:05 door Anoniem
"ClearPass" is al de naam van Aruba Networks NAC manager: http://www.arubanetworks.com/products/security/network-access-control/ dus de naam zal wel snel aangepast moeten worden...
04-03-2016, 09:38 door Anoniem
Er bestaat al een dergelijke app, namelijk: 1U.
04-03-2016, 10:14 door Anoniem
Lijkt op SQRL: https://www.grc.com/sqrl/sqrl.htm
04-03-2016, 12:34 door Briolet - Bijgewerkt: 04-03-2016, 12:34
Deze code moet de gebruiker voor de webcam van de computer houden…
…laat je jezelf authenticeren, terwijl je volledig anoniem blijft.

De de website beheerders kunnen ook in je kamer kijken bij het authenticeren, omdat de webcam altijd meer dan de QR code zal tonen. Ik vraag me af wie daar op zit te wachten.

En hoe kun je anoniem blijven als je met je vingerafdruk authenticeert? Of moet je ergens een set rubber vingers kopen en die op je scanner leggen. Geheid dat dan meerdere mensen die zelfde rubber vingers kopen.
04-03-2016, 13:16 door Anoniem
"We vonden dat het concept van het inloggen met een gebruikersnaam en wachtwoord behoorlijk gedateerd is. Als beschaving zouden we dit toch achter ons moeten kunnen laten", aldus de student.

Geef deze student een kroon.

De de website beheerders kunnen ook in je kamer kijken bij het authenticeren, omdat de webcam altijd meer dan de QR code zal tonen.

Heel de term 'webcam' komt niet naar voren in het artikel. Waar haal je dit vandaag?

Ik vraag me af wie daar op zit te wachten.
Niet heel veel mensen behalve de hele InfoSec branche die klaar is met wachtwoorden vanwege de hoge kosten en lage security doordat gebruikers gek woorden van 1892471987 verschillende wachtwoorden.
04-03-2016, 14:27 door [Account Verwijderd]
[Verwijderd]
04-03-2016, 16:57 door Anoniem
Door Anoniem: De de website beheerders kunnen ook in je kamer kijken bij het authenticeren, omdat de webcam altijd meer dan de QR code zal tonen.
Heel de term 'webcam' komt niet naar voren in het artikel. Waar haal je dit vandaag?

Users hold the code in front of a computer’s web cam to log in to a ClearPass-enabled website.

Als je zoekt op webcam in het originele artikel komt jet het niet tegen, je moet wel lezen .... ;)
04-03-2016, 17:35 door Anoniem
Door Anoniem:
"We vonden dat het concept van het inloggen met een gebruikersnaam en wachtwoord behoorlijk gedateerd is. Als beschaving zouden we dit toch achter ons moeten kunnen laten", aldus de student.

Geef deze student een kroon.

De de website beheerders kunnen ook in je kamer kijken bij het authenticeren, omdat de webcam altijd meer dan de QR code zal tonen.

Heel de term 'webcam' komt niet naar voren in het artikel. Waar haal je dit vandaag?

Ik vraag me af wie daar op zit te wachten.
Niet heel veel mensen behalve de hele InfoSec branche die klaar is met wachtwoorden vanwege de hoge kosten en lage security doordat gebruikers gek woorden van 1892471987 verschillende wachtwoorden.

Ja ik denk dat de InfoSec zit te wachten op wachtwoorden die je overal achterlaat.
Auth keys + wachtwoord + je kan altijd een password manager gebruiken want wachtwoorden die mensen bedenken zijn veel slechter dan een gegenereerd wachtwoord van meer dan 20 tekens.

Of zou je willen dat je vinger er word afgehakt omdat ze iets van je willen, en dat maakt niet uit wie dat is.
Of omdat ze in je computer of telefoon willen kijken dan kan je niet zeggen dat je t wachtwoord niet weet of niet zou kunnen vertellen, nee want je draagt het de heledag bij je.

En wie zegt waar jou vingerafdruk terecht komt?
Ik zou mijn ssh keys kunnen verliezen, maar daar kan niemand inkomen zonder een extra wachtwoord te hebben.
Dit geeft mij tijd om een andere key te maken en die te gebruiken ( natuurlijk is dit anders dan bv een bank account dat msischien alleen op een wachtwoord moet teren of 2 factor authenticatie. )

Kortom er zitten meer nadelen aan dan eigenlijk voordelen.
04-03-2016, 18:22 door [Account Verwijderd]
Pffft, daar gaaaaaaaaaan we weer. Biometrie is geen oplossing voor het "wachtwoordprobleem", het is het introduceren van nieuwe problemen. Dat weet toch iedereen die iets van beveiliging weet. Dit is net zo een suffe discussie als die over stemcomputers, Dat blijft ook maar doorzeuren, want "het is niet meer van deze tijd". Kul argument natuurlijk.
Ik kan niet wachten op een gehackte database met vingerafdrukken. Daar kun je gewoon op wachten.
05-03-2016, 18:05 door Anoniem
Interessant... Maar betreft dit in wezen geen 2-factor authenticatie?
Immers je kan QR-code op smartphonebeeldscherm moeilijk voor de camera van diezelfde smartphone houden...
Je houdt smartphone met QR-code dus kennelijk voor de webcam van de PC waarop je wilt inloggen.

Maar dan is het ook denkbaar dat beide apparaten een deel van de authenticatie voor hun rekening nemen.
Bovendien is er sprake van een "security token" die de houdbaarheid van de QR-code tot 5 minuten beperkt:
"As soon as it is used, the security token in the code is obliterated, making it useless for future login attempts."

Misschien heb je dus niets aan een gekopieerde vingerafdruk, en heb je ook iemands persoonlijke
smartphone erbij nodig. Verder is een extra usernaam optioneel. (die zal men eventueel ook nog nodig hebben)

Goeroehoedjes
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.