image

Onderzoekers ontwikkelen nieuw soort wachtwoordmeter

woensdag 10 mei 2017, 14:13 door Redactie, 8 reacties

Tal van websites maken gebruik van een wachtwoordmeter om gebruikers te laten zien hoe zwak of sterk hun wachtwoord is, maar onderzoekers van de Carnegie Mellon University en de University of Chicago hebben nu een nieuw soort wachtwoordmeter ontwikkeld die veel beter zou moeten werken.

"In plaats van een meter die zegt 'Je wachtwoord is slecht', dachten we dat het handiger was als de meter vertelde waarom het slecht is en wat er beter kan worden gedaan", zegt onderzoeker Nicolas Christin van de Carnegie Mellon University. De wachtwoordmeter maakt gebruik van een kunstmatig neuraal netwerk. Het netwerk "leert" door miljoen bestaande wachtwoorden te scannen en trends te vinden. Als de meter een eigenschap in een wachtwoord ontdekt dat aanvallers kunnen raden geeft het gebruikers een waarschuwing.

"De manier waarop aanvallers wachtwoorden raden is door patronen in grote datasets van gestolen wachtwoorden te analyseren", zegt onderzoeker Blase Ur van de University of Chicago. "Als je bijvoorbeeld de letter E door een 3 in je wachtwoord verandert zal dat een aanvaller niet foppen. De meter zal uitleggen hoe vaak deze vervanging voorkomt en je advies geven wat je dan wel kunt doen." Deze feedback wordt in realtime gegeven, bij elke letter die de gebruiker invoert.

De onderzoekers lieten 4500 mensen de wachtwoordmeter testen bij het maken van een wachtwoord. Het onderzoek naar de meter en het gebruik ervan wordt vandaag tijdens de CHI 2017-conferentie gepresenteerd. Volgens Ur zorgt de nieuwe meter ervoor dat gebruikers sterkere wachtwoorden kiezen die net zo goed te onthouden zijn als wachtwoorden die zonder de feedback worden gemaakt. Een demonstratie van de wachtwoordmeter staat inmiddels online. De code van de Password Meter is via GitHub open source gemaakt.

Image

Reacties (8)
10-05-2017, 15:20 door User2048
Ik ben benieuwd hoeveel mensen echte username-password combinaties invullen in de Password Meter. En wat de onderzoekers dan met die informatie gaan doen.
10-05-2017, 16:07 door Anoniem
WachtwoordMeter

Opgelet: de kracht van een wachtwoordmeter zit hem uiteindelijk in de gebruikte fontgrootte.
10-05-2017, 17:22 door slar
Door User2048: Ik ben benieuwd hoeveel mensen echte username-password combinaties invullen in de Password Meter. En wat de onderzoekers dan met die informatie gaan doen.
Je hoeft geen Einstein te zijn om te verifieren dat de demo geen data terug stuurt naar de server.
10-05-2017, 22:59 door Anoniem
Door slar:
Door User2048: Ik ben benieuwd hoeveel mensen echte username-password combinaties invullen in de Password Meter. En wat de onderzoekers dan met die informatie gaan doen.
Je hoeft geen Einstein te zijn om te verifieren dat de demo geen data terug stuurt naar de server.

Een echte Einstein kijkt even in de source :)
10-05-2017, 23:06 door Anoniem
Door slar: Je hoeft geen Einstein te zijn om te verifieren dat de demo geen data terug stuurt naar de server.
Oh ja, en hoe vergelijken ze dan de ingevoerde wachtwoorden met hun database van 1 miljoen wachtwoorden? Downloaden ze die 1 miljoen wachtwoorden dan naar de lokale PC?
11-05-2017, 08:59 door Anoniem
Probeer dit maar eens... Hop@ miJ nW w! het gehiem zit in de spaties...
11-05-2017, 09:03 door Jodelie
Ik maak gebruik van de gezondverstandmeter, dat is net iets meer dan 100 cm.
11-05-2017, 09:31 door Anoniem
Door Anoniem:
Door slar: Je hoeft geen Einstein te zijn om te verifieren dat de demo geen data terug stuurt naar de server.
Oh ja, en hoe vergelijken ze dan de ingevoerde wachtwoorden met hun database van 1 miljoen wachtwoorden? Downloaden ze die 1 miljoen wachtwoorden dan naar de lokale PC?

Hoe is dit een welles-nietes discussie geworden? Je kan toch gewoon een lokale proxy er tussen zetten en precies zien wat er wel en niet naar hun server gaat?

Heb ik voor de grap even voor jullie gedaan: Zodra je de pagina laadt worden een paar textbestanden ook geladen, met namen als 'passwords-compressed' en 'englishwords-compressed'. Dus ja, ze downloaden dan inderdaad de wachtwoorden naar de lokale pc.

Als je vervolgens in het venstertje begint te typen en hij feedback geeft over de sterkte van je wachtwoord zie je de volgende requests naar de server: NIKS. NAKKES. NADA.

Dus de aluhoedjes kunnen weer af. Bedankt voor uw aandacht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.