Typesnelheid als authenticatie voor internetbankieren
De snelheid waarmee mensen hun wachtwoord typen kan als extra authenticatiemiddel voor online diensten gebruikt worden. Een Amerikaans bedrijf werkt aan een extra beveiligingslaag voor wachtwoorden om identiteitsdiefstal te voorkomen. Door "bio-security" moeten gebruikers, als die bijvoorbeeld willen internetbankieren, wel met dezelfde snelheid hun gebruikersnaam en wachtwoord invoeren.
De technologie kijkt welke toetsen worden ingedrukt, en de tijd tussen de volgende toetsaanslag, en maakt gebruik van het feit dat de meeste gebruikers een manier van typen ontwikkelen die consistent en karakteristiek is, met name voor veel gebruikte woorden zoals gebruikersnaam en wachtwoord.
Om de software te kunnen gebruiken moet een gebruiker zich eerst registreren en negen keer zijn of haar gegevens invoeren voordat een profiel wordt gegenereerd. Daarna zou de software de toetsaanslagen van de gebruiker in 99% van de gevallen herkennen.
"In een klimaat van identiteitsdiefstal en steeds groter wordende behoefte aan databescherming, is er behoefte aan een flexibelere en betere manier om personen te authenticeren" zegt Jared Pfost van BioPassword. Het systeem kost 34.000 dollar om te installeren, en daarna een dollar per gebruiker per jaar.
cijfers letters en vreemde tekens waar totaal geen logica inzit. Dit heb ik
ook als password.
Ik weet deze gegevens nog steeds niet uit me hoofd en ben dus erg sloom
met intypen. (nee de gegevens staan niet achterop me monitor, maar op
een papiertje onder me toetsenbord ;-p). Stel dat ik na 9 keer zo'n profiel
en na 20 keer inloggen weet ik eindelijk me gegevens uit me hoofd (traag
van begrip he). De volgende kan ik wel de gegevens 'snel' invoeren. De
tooltje denkt dan dat ik iemand anders ben omdat ik altijd me wachtwoord
langzaam invoerde en geeft mij geen toegang.
Dit is een leuk tootlje als je als gebruiker je logingegevens uit je hoofd
weet. maar hoe zit het met de mensen die net gaan beginnen met
internetbankieren. Dit verplicht ze min of meer om een eenvoudig
wachtwoord te gebvruiken wat ze goed kunnen onthouden.
toetsvast :)
typen registreerd.
Niet bepaald een afdoende beveiligingsmaatregel dus... :-)
jaar" gaat worden.
biometrie en ik ben er achter gekomen dat ik bijna het
zelfde type als mijn projectgenoot :p
Wij keken toen naar de relatieve sneheid, keydown/keyup
verschillen tussen de verschillende letters en totale snelheid.
systeem ook een onbevoegd persoon positief herkend.... Het
is niet al te moeilijk om personen aan typ gedrag te
herkennen, maar juist zeer moeilijk om een verschil te
herkennen. Ik vertrouw dus maar niet op de resultaten van
dit bericht als het al zo kort door de bocht gaat om
betrouwbaarheid rond beveiliging aan te tonen.
hebben gedaan:
Ik heb in 1992 sourcecode gepubliceerd op het bulletinboard
van Powerbasic (nog vroeger TurboBasic van Borland) dat
precies dit deed: tijd tussen de aanslagen meten als authenticatie. Een bevriende collega van Powerbasic uit die tijd bevestigt dit.... en ik heb de sourcecode nog: op5.25 inch. Mijn gepubliceerde sourcecode is altijd free for all en ook zo bedoeld, dit is prior knowledge en ik kan het bewijzen.
[EDIT]
Het werkt erg goed, omdat iedereen zijn paswoord in een bepaald ritme typed. Ik kwam er echter achter, dat er een [e]aanzienlijke [/e]correlatie is met welke toetsen je raakt. Dat betekent, dat voor de gemiddelde gebruiker het eenvoudig is het paswoord te achterhalen met deze methode! Het introduceert dus eerder een risico dan dat het er een oplost.
De "fingerprint" is er weldegelijk, maar de achterliggende gedachte klopt niet. Daarom heb ik het idee toen al losgelaten als niet levensvatbaar voor serieuze oplossingen. Zal kijken of ik mijn analyses ook nog heb. Kom er op terug, vind dit wel grappig:-) Voor de goede verstaander, het was dus een "timing keylogger" maar dan onder dos. Nog later kwam ik erachter dat dit principe nog veel eerder werd ontdekt: morsecode operators werden door collega's op gehoor herkend!
[/EDIT]
veranderen wordt ook weer een feest natuurlijk. Negen keer
je paswoord herhalen.
ellende.
Als de database waarin de fingerprint wordt opgeslagen
gecompromitteerd raakt, dan kun je de hele fingerprint
"nooit" meer gebruiken.
Vergelijk een vingerafdruk, als men in staat is de koppeling
te maken tussen de vingerafdruk (of
typesnelheidsfingerprint) en het achter gelegen certificaat
of wat dan ook, dan kan iemand anders dit zo modificeren.
Het is een kwestie van tijd voordat dit gebeurd omdat op
termijn de AIVD of politie gezien het overheidsbeleid zéker
een keer in die database wil neuzen.
Dit hele probleem heb je met wachtwoorden, die je naar eigen
keuze mooi ingewikkeld kunt maken, niet. Wachtwoord
gecompromitteerd? Maak je gewoon een nieuwe.
M.i. is daarom de combinatie van een wachtwoord eventueel
met een token nog altijd het beste.
KISS....
Ik ben ook voorstander van de wachtwoord-token combi.
CeBit. Men laat je een vaste zin typen, die altijd hetzelfde
is, en kijkt dan naar je specifieke typ eigenschappen. Zelfs
na 30 minuten proberen kwam ik niet in de buurt van het
precentage dat nodig was om de pc te unlocken, en dat
terwijl ik 10 keer heb mogen kijken hoe de geautoriseerde
gebruiker het zinnetje intypte.
Het is misschien niet in super veilig voor extreem
gevoellige projecten, maar je wachtwoord vergeten is er in
ieder geval niet meer bij. Op zich best een aardig systeem
voor omgevingen met een low/medium security level.
Maandelijks, of voor de paranoia, wekelijks je paswoord
veranderen wordt ook weer een feest natuurlijk. Negen keer
je paswoord herhalen.
Stel dat het zou werken (met klemtoon op stel), waarom zou
je dan nog je wachtwoord willen veranderen? Dat hoeft dan
toch niet meer?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.