Student ontwikkelt app om via vingerafdruk op sites in te loggen
Een 19-jarige informaticastudent van de Universiteit van Harvard heeft een app ontwikkeld waarmee gebruikers op allerlei websites via alleen hun vingerafdruk kunnen inloggen. ClearPass, zoals de app heet, maakt gebruik van de vingerafdrukscanner die op steeds meer smartphones aanwezig is.
Eerst moet een gebruiker zijn of haar vingerafdruk laten scannen, waarmee de app vervolgens een qr-code genereert. Deze code moet de gebruiker voor de webcam van de computer houden waarna erop de website, als die ClearPass ondersteunt, kan worden ingelogd. Volgens ontwikkelaar Nicholas Boucher kunnen webmasters ondersteuning van ClearPass eenvoudig aan hun websites toevoegen. Twee extra regels code zou volstaan.
De app zorgt ervoor dat vingerafdrukken niet op de ClearPass-server worden opgeslagen. In plaats daarvan gebruikt de app een hashingalgoritme dat de vingerafdruk gebruikt voor het genereren van een code. Als extra beveiligingsmaatregel is de qr-code slechts vijf minuten beschikbaar. "Wat ClearPass uniek maakt is dat het aanmaken van een gebruikersnaam optioneel is. Het laat je jezelf authenticeren, terwijl je volledig anoniem blijft", stelt Bouchard.
ClearPass kan ook worden aangepast voor andere biometrische gegevens, zoals gezichtskenmerken of stemidentificatie. De app zou zelfs de hartslagsensor van de smartphone kunnen gebruiken en bijvoorbeeld de gebruiker uitloggen als hij of zij een verhoogde hartslag heeft. ClearPass wist onlangs een hackathon van de Universiteit van Cambridge te winnen. "We vonden dat het concept van het inloggen met een gebruikersnaam en wachtwoord behoorlijk gedateerd is. Als beschaving zouden we dit toch achter ons moeten kunnen laten", aldus de student.
…laat je jezelf authenticeren, terwijl je volledig anoniem blijft.
De de website beheerders kunnen ook in je kamer kijken bij het authenticeren, omdat de webcam altijd meer dan de QR code zal tonen. Ik vraag me af wie daar op zit te wachten.
En hoe kun je anoniem blijven als je met je vingerafdruk authenticeert? Of moet je ergens een set rubber vingers kopen en die op je scanner leggen. Geheid dat dan meerdere mensen die zelfde rubber vingers kopen.
Geef deze student een kroon.
Heel de term 'webcam' komt niet naar voren in het artikel. Waar haal je dit vandaag?
Heel de term 'webcam' komt niet naar voren in het artikel. Waar haal je dit vandaag?
Users hold the code in front of a computer’s web cam to log in to a ClearPass-enabled website.
Als je zoekt op webcam in het originele artikel komt jet het niet tegen, je moet wel lezen .... ;)
Geef deze student een kroon.
Heel de term 'webcam' komt niet naar voren in het artikel. Waar haal je dit vandaag?
Ja ik denk dat de InfoSec zit te wachten op wachtwoorden die je overal achterlaat.
Auth keys + wachtwoord + je kan altijd een password manager gebruiken want wachtwoorden die mensen bedenken zijn veel slechter dan een gegenereerd wachtwoord van meer dan 20 tekens.
Of zou je willen dat je vinger er word afgehakt omdat ze iets van je willen, en dat maakt niet uit wie dat is.
Of omdat ze in je computer of telefoon willen kijken dan kan je niet zeggen dat je t wachtwoord niet weet of niet zou kunnen vertellen, nee want je draagt het de heledag bij je.
En wie zegt waar jou vingerafdruk terecht komt?
Ik zou mijn ssh keys kunnen verliezen, maar daar kan niemand inkomen zonder een extra wachtwoord te hebben.
Dit geeft mij tijd om een andere key te maken en die te gebruiken ( natuurlijk is dit anders dan bv een bank account dat msischien alleen op een wachtwoord moet teren of 2 factor authenticatie. )
Kortom er zitten meer nadelen aan dan eigenlijk voordelen.
Ik kan niet wachten op een gehackte database met vingerafdrukken. Daar kun je gewoon op wachten.
Immers je kan QR-code op smartphonebeeldscherm moeilijk voor de camera van diezelfde smartphone houden...
Je houdt smartphone met QR-code dus kennelijk voor de webcam van de PC waarop je wilt inloggen.
Maar dan is het ook denkbaar dat beide apparaten een deel van de authenticatie voor hun rekening nemen.
Bovendien is er sprake van een "security token" die de houdbaarheid van de QR-code tot 5 minuten beperkt:
"As soon as it is used, the security token in the code is obliterated, making it useless for future login attempts."
Misschien heb je dus niets aan een gekopieerde vingerafdruk, en heb je ook iemands persoonlijke
smartphone erbij nodig. Verder is een extra usernaam optioneel. (die zal men eventueel ook nog nodig hebben)
Goeroehoedjes
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
