image

Gezichtsherkenning getest als alternatief voor wachtwoorden

woensdag 25 juni 2014, 11:50 door Redactie, 13 reacties

Onderzoekers hebben een nieuw alternatief voor wachtwoorden bedacht, waarbij de psychologie van gezichtsherkenning wordt ingezet. In plaats van een wachtwoord of pincode te gebruiken moeten mensen bij het nieuw bedachte Facelock-systeem een foto selecteren van iemand die ze kennen.

Mensen blijken namelijk bekende gezichten eenvoudig op foto's te kunnen herkennen, ook als die zich in verschillende omgevingen bevinden. Facelock maakt hier gebruik van door allerlei foto's met gezichten te tonen. De gebruiker kan vervolgens eenvoudig het gezicht eruit halen van de persoon die hij kent. Voor een vreemde is dit zeer lastig, aangezien hij die connectie mist en het allemaal foto's van onbekenden zijn.

Test

Tijdens een test van Facelock bleek dat gebruikers met een nauwkeurigheid van 97,5% de foto's van bekenden konden selecteren. Een jaar later was er nog een succesratio va 86,1%. Aanvallers die op het account willen inloggen en niet met de persoon op de foto's bekend zijn scoren, doordat ze moeten raden, veel lager. In deze gevallen zou er slechts een succesratio van minder dan 1% worden gehaald.

Bij een tweede test werd gekeken hoe het systeem tegen schoudersurfers gebruikt kan worden, die over de schouder meekijken om de foto die als wachtwoord dient te herkennen. De onderzoekers gebruikten hiervoor verschillende foto's van dezelfde persoon. Wederom blijkt door het voor een aanvaller, zelfs als die een eerste keer over de schouder kon meekijken, lastig om hetzelfde gezicht in verschillende omgevingen te herkennen. Tijdens deze test scoorden de aanvallers een succesratio van 1,9%.

Reacties (13)
25-06-2014, 11:54 door _R0N_ - Bijgewerkt: 25-06-2014, 11:56
[Verwijderd]
25-06-2014, 11:56 door User2048
Ik dacht even dat de webcam gebruikt zou worden voor het herkennen van de persoon die voor het scherm zit en wil inloggen. Maar het gaat dus om het herkennen van foto's door de gebruiker zelf.
25-06-2014, 12:33 door Anoniem
Bij dit soort technieken moet ik altijd denken aan de vervelende tell-a-friend/contactlijstkapers die we jaren terug op een heleboel websites tegenkwamen. Het grote probleem is dat ik probeer om mijn gegevens te beheren, en tegelijk geven mijn 'vrienden' en contacten via de achterdeur alle weg omdat ze een prijs kunnen winnen, foto's willen taggen, of anders van een bepaalde dienst geen gebruik mogen maken.
25-06-2014, 12:40 door Anoniem
Leuk onderzoekgespeel. Practisch is het toch wat minder. Want hoe wil je dat gaan doen, moet ik met allerlei instanties of zeg willekeurige websites fotos gaan delen van mij bekende personen? Of wach, ze gebruiken "gewoon" facebook om dat voor ze te regelen want die heeft die fotos toch. Helemaal superslim en win-win weetsjewel. *kuch*
25-06-2014, 12:44 door Erik van Straten
Een probleem waar het artikel (https://peerj.com/articles/444/) zo te zien niet op ingaat, is dat het om een shared secret gaat: het systeem (d.w.z. waarop de gebruiker authenticeert) moet van elke gebruiker een lijst hebben van personen die hij of zij kent.

Omdat het systeem plaatjes moet tonen is het, voor zover ik overzie, niet mogelijk om een afgeleide van het "wachtwoord" op te slaan (zoals hashes, al dan niet met salt, of functies als PBKDF2). M.a.w., als het systeem gekraakt wordt ligt je "wachtwoord" op straat. En helaas, "wie je kent" is niet zo simpel te wijzigen als een wachtwoord.

Dit nog even los van de privacy issues van het koppelen van specifieke gebruikers aan foto's van andere personen. Ik vrees dat internetreuzen dit soort authenticatiemethodes zullen implementeren - echter niet omdat ze zo veilig zijn.
25-06-2014, 13:21 door Anoniem
Dit is toch compleet van de zotten? Een kennis kan wel jouw vrienden kring kennen (laten we nog maar zwijgen door gewoon foto's te bekijken op de facebook van de persoon in questie), maar heeft veel meer moeite om zijn password te kraken. En hoe met deze persoon dan in het plaatje worden "gezet", betekend dit dat de persoon erin wordt gephotoshopped? Of worden bestaande plaatjes gebruikt?

Al met al, laten we hopen dat implementeerders het licht zullen zien en deze "techniek"("Wie is het?" spelletje) links laten liggen.
25-06-2014, 13:26 door Anoniem
Door Erik van Straten: Een probleem waar het artikel (https://peerj.com/articles/444/) zo te zien niet op ingaat, is dat het om een shared secret gaat: het systeem (d.w.z. waarop de gebruiker authenticeert) moet van elke gebruiker een lijst hebben van personen die hij of zij kent.

Omdat het systeem plaatjes moet tonen is het, voor zover ik overzie, niet mogelijk om een afgeleide van het "wachtwoord" op te slaan (zoals hashes, al dan niet met salt, of functies als PBKDF2). M.a.w., als het systeem gekraakt wordt ligt je "wachtwoord" op straat. En helaas, "wie je kent" is niet zo simpel te wijzigen als een wachtwoord.

Dit nog even los van de privacy issues van het koppelen van specifieke gebruikers aan foto's van andere personen. Ik vrees dat internetreuzen dit soort authenticatiemethodes zullen implementeren - echter niet omdat ze zo veilig zijn.

Eens, deze maatregel zal m.i. dan ook alleen maar als aanvullende authenticatiemethode kunnen worden gebruikt, dus naast user-id/wachtwoord. Gezien de aard van de maatregel (foto's van bekenden) zullen alleen de Facebooks van deze wereld dit soort maatregelen kunnen gebruiken.
25-06-2014, 13:48 door Argot
Om de personen te herkennen hoef je ze helemaal niet te kennen; je zoekt gewoon de lijst met contactpersonen op van de persoon bij wie je wilt inloggen et voilà... Bovendien kunnen je eigen contacten gewoon bij jou inloggen, want de meeste contacten zullen zij ook wel kennen.
Verder lijkt me dat een nieuwe gebruiker gepusht zal worden om minimaal x-aantal contacten toe te voegen vanaf het allereerste moment, anders kun je helemaal niet inloggen.
25-06-2014, 14:15 door Anoniem
"Om de personen te herkennen hoef je ze helemaal niet te kennen; je zoekt gewoon de lijst met contactpersonen op van de persoon bij wie je wilt inloggen et voilà..."

Tuurlijk, en jij denkt dat je binnen de gestelde tijd iemands hele contact lijst door kan bladeren om de juiste persoon te vinden bij de foto. Dat kost wat tijd, en zoveel tijd krijg je niet. Wat jij noemt is een van de eerste basale problemen die je verhelpt bij het opzetten van zo'n authenticatie systeem. Als het werkte zoals jij stelt, dan zou iedereen 100% scoren ;)
25-06-2014, 14:40 door Anoniem
Minder dan 1% kans om het te raden is nog behoorlijk veel. Mijn wachtwoord is toch wel iets gecompliceerder dan een getal onder de 100.
25-06-2014, 17:33 door Anoniem
Door Argot: Om de personen te herkennen hoef je ze helemaal niet te kennen; je zoekt gewoon de lijst met contactpersonen op van de persoon bij wie je wilt inloggen et voilà... Bovendien kunnen je eigen contacten gewoon bij jou inloggen, want de meeste contacten zullen zij ook wel kennen.

Er staat nergens dat de foto van een persoon uit je contactenlijst moet zijn. Het lijkt er zelfs op dat zoiets helemaal niet het geval is. Je contacten ken je en blijf je kennen. Daar daalt de herkenbaarheid niet na een jaar. Het lijkt er dus op dat je een persoon selecteert en die als wachtwoord gebruikt.

Wat dan weer het probleem heeft dat miljoenen jonge meisjes een foto van ene meneer Bieber (of is hij al weer uit de mode) zullen gebruiken.

Peter
25-06-2014, 19:33 door Anoniem
Totaal onbruikbaar en zinloos onderzoek. Is nl. nooit door bijv. nabestaanden te achterhalen of te gebruiken. We dachten wel allemaal dat we onsterfelijk zijn, maar dromen zijn bedrog.
26-06-2014, 05:30 door Anoniem
Dude. Dit is een prima alternatief voor een gebruikersnaam! Toch niet voor een wachtwoord... wanneer leren ze het zou eens. Biometrie = identificatie. Dat is dus de public username, niet het private password.

Passwords zijn (semi)-random, professortje. Waarvan ook alweer?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.