Onderzoekers bedenken reeks afbeeldingen als wachtwoord
Onderzoekers hebben een nieuw wachtwoordalternatief voor smartphones bedacht waarbij er een reeks afbeeldingen in plaats van een wachtwoord of ontgrendelpatroon moet worden gekozen. Volgens de onderzoekers is deze methode beter bestand tegen "veeg" aanvallen en makkelijker te onthouden.
Alle moderne telefoons bieden een inlogmethode, maar veel gebruikers maken hier geen gebruik van. Alfanumerieke wachtwoorden bieden een redelijk goede beveiliging, alleen hebben als nadeel dat ze niet gebruiksvriendelijk zijn, aldus de onderzoekers. Een ontgrendelpatroon is een stuk gebruiksvriendelijker en laat gebruikers sneller inloggen. Deze inlogmethode is echter kwetsbaar voor "veeg" aanvallen. De vegen van het ontgrendelpatroon kunnen namelijk zichtbaar zijn op het beeldscherm.
De onderzoekers zochten daarom naar een oplossing die gebruiksvriendelijk en eenvoudig te onthouden is. Het resultaat is "SemanticLock" waarbij het wachtwoord uit een reeks afbeeldingen bestaat (pdf). De afbeeldingen kunnen bijvoorbeeld een te herinneren verhaal vormen. SemanticLock biedt daarnaast bij een beperkt aantal afbeeldingen meer mogelijkheden dan een pincode of ontgrendelpatroon.
Als naar het gebruik van SemanticLock wordt gekeken blijkt dat een ontgrendelpatroon een iets snellere inlogmethode is, maar niet veel verschilt van het kiezen van de verschillende afbeeldingen. Wanneer het gaat om het onthouden van het wachtwoord is SemanticLock volgens de onderzoekers superieur. 70 procent van de deelnemers aan de test vergat zijn of haar ontgrendelpatroon, terwijl 50 procent het pin-wachtwoord niet onthield. Slechts 10 procent was echter zijn SemanticLock vergeten. De onderzoekers willen nu de techniek verder verbeteren en uitgebreider gaan testen.
De websites die dat niet ondersteunen vertelt genoeg over hun beveiliging :)
De websites die dat niet ondersteunen vertelt genoeg over hun beveiliging :)
Grapjas. De sites die dat wel 'ondersteunen' converteren het waarschijnlijk naar nul-karakters. Lekker veilig wachtwoord krijg je dan, met al die nul-karakters erin.
De websites die dat niet ondersteunen vertelt genoeg over hun beveiliging :)
Kan best dat allerlei websites het doen, maar ik zie geen reden om het te doen behalve micro-management uit stomheid. Je moet er namelijk meer werk voor doen dan simpelweg een 8-bit-clean kanaal van invoerveld naar hashalgorithme openzetten.
hxxps://blog.codinghorror.com/the-dramatic-password-reveal/
Vroeg me altijd af of ik die moest kunnen onthouden, of die enige correlatie met mijn wachtwoord hadden.
De websites die dat niet ondersteunen vertelt genoeg over hun beveiliging :)
Ik zou ZO graag willen dat je een tijdje aan de support desk mag zitten van sites die jouw design keuze volgen.
Dat is enorm leerzaam.
Het probleem waar je dan mee gaat kennismaken zijn (verschillende) keyboard mappings, afhankelijkheden van locales en eventueel niet te onderscheiden glyphs met een andere UTF-8 code .
Mensen loggen (soms) in met verschillende devices of instellingen - deskop/tablet , en bij kantoorgebruikers soms via de laptop en soms via een thin client omgeving .
In zo'n geval is het totaal niet zo zeker dat als je 'hetzelfde' intikt, de website dezelfde hexcodes ontvangt om te hashen.
De security types blijven geloven in de ******* om het password te hiden, en dat is een ramp als je niet eens zeker weet of je speciale karakters overkomen .
Kan best dat allerlei websites het doen, maar ik zie geen reden om het te doen behalve micro-management uit stomheid. Je moet er namelijk meer werk voor doen dan simpelweg een 8-bit-clean kanaal van invoerveld naar hashalgorithme openzetten.
Je moet werken aan een wat bredere ervaring. Je zit er voor de gebruiker.
Je blik beperkten tot "ik hash wat ik aan hexcodes binnenkrijg en that's it" straft juist de gebruiker die nu eens z'n best doet om wat speciale karakters te gebruiken .
Nou, na een paar password resets leren ze dat wel weer af.
Als ontwerper is de correcte aanpak om problematische invoer in wachtwoorden niet toe te staan, niet om er nulletjes van te maken. Dat laatste is een gat in je beveiliging, dat eerste niet.
In zo'n geval is het totaal niet zo zeker dat als je 'hetzelfde' intikt, de website dezelfde hexcodes ontvangt om te hashen.
Wat we overigens ook al gezien hebben met gebruikersnamen, bij spotify.
Je blik beperkten tot "ik hash wat ik aan hexcodes binnenkrijg en that's it" straft juist de gebruiker die nu eens z'n best doet om wat speciale karakters te gebruiken .
Of je moet ervoor kiezen te filteren. Dan hou je over dat je wachtwoorden alleen in US-ASCII moet aannemen. En geen controletekens of wat ook.
De websites die dat niet ondersteunen vertelt genoeg over hun beveiliging :)
Dat 'doe' je niet, het is een gevolg van het niet ondersteund worden van die speciale invoer in onderliggende lagen. Dan kan je zomaar eindigen met nul-karakters.
Het is beter om je te beperken tot een karakterset die je gegarandeerd op alle platformen goed binnenkrijgt. En invoer die niet voldoet duidelijk afwijzen. Anders krijg je van die sites waar je een complex wachtwoord invoert (wat geaccepteerd lijkt te worden), echter je later niet kan inloggen. Want het wachtwoord is stilletjes afgekapt of niet ondersteunde karakters zijn stilletjes verwijderd of naar nul-karakters geconverteerd. Het devies is altijd KISS (Keep It Simple Stupid).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
