Pico moet einde aan alle wachtwoorden maken
Wachtwoorden als de universele inlogmethode zijn een grote fout en een oneerlijke "deal" die beveiligingsexperts aan normale gebruikers hebben opgedrongen, zo stelt beveiligingsonderzoeker Frank Stajano die al een aantal jaren aan een oplossing werkt die alle wachtwoorden moet laten verdwijnen.
De oplossing van Stajano heet Pico en wordt mede met geld van de European Research Council ontwikkeld. De Pico, die al in 2011 voor het eerst werd gepresenteerd, is een klein apparaatje dat lijkt op een USB-stick en is voorzien van een camera en vingerafdruklezer. Het gebruikt public key cryptografie waarbij gebruikers een privésleutel en publieke sleutel hebben en verder niets hoeven te onthouden.
Toch kunnen ze op een veilige manier op websites inloggen door een code op de website te scannen. Als de website wordt gehackt waar een Pico-gebruiker een account heeft, hoeft hij zijn wachtwoord niet te wijzigen. De aanvaller kan namelijk alleen de publieke sleutel van de Pico-gebruiker stelen en zich zo niet als de gebruiker voordoen, omdat de privésleutel ontbreekt.
Diefstal
De Pico zelf kan natuurlijk wel gestolen worden, maar ook daar heeft Stajano aan gedacht. Door het gebruik van "Pico siblings" werkt de Pico alleen als deze siblings in de buurt zijn. Een Pico sibling is een klein apparaatje ter grootte van een knoop dat in de portemonnee kan worden bewaard of aan een ketting kan worden gedragen. Deze siblings, die de gebruiker eigenlijk altijd bij zich draagt, creëren een soort van "aura", waarbij Pico alleen werkt als er voldoende Pico siblings in de buurt zijn. Om ervoor te zorgen dat de Pico "ontgrendeld" blijft moet ook regelmatig de vinger over de vingerafdrukscanner worden gehaald.
Mocht de Pico worden gestolen of verloren dan kan de gebruiker nog steeds inloggen. Het enige dat hij hoeft te doen is het kopen van een nieuwe Pico. De Pico beschikt namelijk over een dockingstation die naast het opladen van het apparaatje ook back-ups maakt. In het geval van diefstal of verlies hoeft de gebruiker zijn lege Pico op het dockingstation aan te sluiten en kan zo de informatie van zijn vorige Pico terugzetten. Als de dief zowel de Pico als de Pico siblings weet te stelen is het nog steeds mogelijk om de Pico op afstand te vergrendelen.
Een andere eigenschap van de Pico is continue authenticatie. Dit zorgt ervoor dat de computer waarop een Pico-gebruiker is ingelogd automatisch wordt vergrendeld zodra de gebruiker van de computer wegloopt. Zodra de gebruiker weer op zijn plek terug is wordt de computer weer ontgrendeld.
Toekomst
In tegenstelling tot andere token-oplossingen is de Pico niet backwards compatibel met wachtwoorden. Stajano erkent dat het vervangen van wachtwoorden geen eenvoudige opgave is. Hij voorspelt echter dat de situatie met wachtwoorden de komende jaren alleen maar erger zal worden. Zowel voor gebruikers die met steeds meer wachtwoorden te maken krijgen die ze moeten onthouden als voor serviceproviders.
De kosten vanwege beveiligingsincidenten en het ondersteunen van klanten met wachtwoordproblemen zullen namelijk alleen maar stijgen, aldus de onderzoeker in deze video. Hij ziet Pico dan ook als een oplossing voor de lange termijn. "Op een gegeven moment heeft de wereld genoeg van wachtwoorden. En dan staan wij klaar met een gebruiksvriendelijker en veiliger alternatief."
Google it.
Als het docking station, de knoop en de Pico verdwenen zijn?
De vingerafdruk beveiligingen zijn in het verre verleden al gekraakt.
Ik ben de tel kwijt van al die onkraakbare beveiligingen die in de loop van de jaren voorbij zijn gekomen.
En waar je nu NIETS meer van hoort of ziet.
Mogelijk dat veel mensen in toekomst ooit iets anders gaan gebruiken, maar het helemaal vervangen gaat niet gebeuren.
Heel leuk, maar wachtwoorden kan je het beste geheim houden zonder dat iemand er achter komt. (zit in je hoofd, onder druk zou je zelfs niet kunnen geven.)
Hardware tokens en andere oplossingen met QR codes etc, mensen die jouw hardware of telefoon in handen krijgen, krijgen de optie om dan ook in te loggen.
Of met Biometric hetzelfde, je vinger of oog moet je alleen nog maar voor iets staan.
Hardware token + die knoop in bezit, dan kan je dus inloggen...
Ik houd liever mijn wachtwoord....
Enige wat zou werken is combinaties gebruiken met wachtwoord.
Google it.
Pico, SQRL, .....of een andere oplossing: het werkt alleen als het voldoet aan:
afdoende acceptatie in het internet domein: Als grote spelers (banken, google, yahoo, amazon, bol.com,...) hier geen gebruik van maken dan komt het nooit goed van de grond.
gemakkelijk te gebruiken: de oplossing moet simpel genoeg zijn dat men het daadwerkelijk gebruikt.
betrouwbaar: denk aan centrale opslag (lastpass) en de locatie ervan (EU/US/....)
open: zonder een open standaard zal er weinig vertrouwen zijn dat dit DE oplossing.
juiste prijs: ik denk dat men best wil betalen voor een veilige oplosing.
Het probleem dat ik zie met SQRL is dat ik nu mijn telefoon moet vertrouwen. Persoonlijk zou ik voor sommige sites (zoals banken) liever ook een hardwarematige sleutel gebruiken.
Waar worden de meeste gegevens gelekt / gekaapt / gehackt? Bij personen of via websites?
Wat levert dit dan op? Ah ja, wacht, omzet voor de fabrikant en werk voor de beheerder ;)
Met een degelijke hash & salt is zelfs een 4-cijferige pincode (vrijwel) niet te kraken zonder brute-force, dáár valt winst te behalen voor gebruikers! Dat en 2-factor authentication, probleem opgelost IMHO.
Zoals al aangegeven een wachtwoord kun je alleen achterhalen als iemand daar zelf bewust aan meewerkt, door het af te geven. Vingerafdrukken laten we overal achter en zijn niet moeilijk om af te nemen en in te scannen.
Als je dan toch erg vergeetachtig bent lijkt me een wachtwoordmanager (analoog/digitaal/standalone) toch een vele simpelere oplossing.
Een slim figuur bij ons ontdekte echter, dat de software simpelweg zocht naar welke pins een signaal gaven, en afhankelijk daarvan de privileges verstrekte. De licentie zelf stond kennelijk wel hard coded op de dongle en was niet (althans, door ons) te vervalsen, maar met een paar kleine modificaties kon iedereen wel als admin inloggen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.