image

Nieuw systeem gebruikt dagelijkse activiteiten als wachtwoord

donderdag 7 mei 2015, 07:40 door Redactie, 9 reacties

Onderzoekers uit India en de Verenigde Staten hebben een nieuw systeem bedacht waarbij iemands dagelijkse activiteiten als wachtwoorden kunnen worden gebruikt. Het systeem heet ActivPass (pdf) en haalt wachtwoorden uit dagelijks activiteitenlogs, zoals iemands Facebook- of smartphoneactiviteiten. Zo kan bij het inloggen een gebruikers bijvoorbeeld worden gevraagd van wie hij die ochtend een sms-bericht ontving.

Dit soort "wachtwoorden" zijn volgens de onderzoekers goed te onthouden, maar lastig voor een aanvaller om te raden. Tijdens een experiment met 70 vrijwilligers werden er activiteitsoverzichten van Facebook, iemands surfgeschiedenis, gespreksgeschiedenis en sms-berichten gebruikt. Daarbij haalde het systeem een succespercentage van 95%, waarbij legitieme gebruikers inlogden. In 5,5% van de gevallen wist een aanvaller op het systeem in te loggen.

De onderzoekers merken op dat dit beveiligingsniveau niet geschikt is voor belangrijke authenticatiesystemen, maar het wel kan helpen om bepaald wachtwoordgedrag, zoals het delen van wachtwoorden, te voorkomen. Gebruikers zouden namelijk niet continu hun dagelijkse activiteiten met anderen willen delen. Op dit moment zijn de onderzoekers in overleg met bedrijven als Intel en Yahoo om te kijken hoe het systeem voor bedrijven kan worden aangepast en wat er verder aan verbeterd moet worden, zo meldt MIT Technology Review.

Reacties (9)
07-05-2015, 08:38 door Anoniem
Deze onderzoekers schieten zichzelf wel in de voet zeg.

Gebruikers zouden namelijk niet continu hun dagelijkse activiteiten met anderen willen delen

en

Onderzoekers uit India en de Verenigde Staten hebben een nieuw systeem bedacht waarbij iemands dagelijkse activiteiten als wachtwoorden kunnen worden gebruikt.

Hoezo tegenstrijdig.
07-05-2015, 09:13 door Anoniem
Potentieel wel een risico, want het berust op het verkrijgen van data uit andere bronnen waar je dus eerst voor ingelogd moet zijn. Als al die bronnen een dergelijk scenario gebruiken, hoef je dus potentieel maar 1 wachtwoord te vergeten op je meta-systeem om een deadlock situatie te creeren waarbij je nergens meer bij kunt :)
07-05-2015, 09:36 door Anoniem
Lijkt mij een voorzet voor open doel, want dat betekend dat burgers hun privé gegevens en privé en zakelijk gedrag nog meer met anderen zouden moeten delen. Beschouw dit probleem als je huis en zaak, wanneer je interessant genoeg bent voor inbrekers, moet je gewoon betere sloten gebruiken. Dit nieuwe systeem zal dan ook geruisloos weer in de vergetelheid geraken.
07-05-2015, 09:45 door Anoniem
Het idee is dus om gebruik te maken van de dagelijkse informatiestroom die iemand ziet, onder de aanname dat het voor aanvallers moeilijk is precies dezelfde informatiestroom te zien. Maar om te werken moet dit systeem ook toegang hebben tot (grotendeels*) dezelfde informatiestroom, dus die bestaat zeker in duplicaat.

Klinkt toch ergens als een gevalletje imperfect idee.


* En hoe minder het dat heeft, hoe navenant minder een aanvaller dat ook hoeft, en dus met een imperfecte informatiestroom toe kan om alsnog zich als zijn beoogde slachtoffer voor te doen.
07-05-2015, 10:15 door Anoniem
Het grootste gat is volgens mij dat ofwel iedere site toegang moet hebben tot het activiteiten log van de gebruiker met alle privacy-gevolgen van dien, ofwel dat autenticatie op het device van de gebruiker moet plaatsvinden en niet op de server/site, hetgeen wel ontzettend gemakkelijk te omzeilen is.
07-05-2015, 10:23 door Anoniem
Een goed systeem tegen normale aanvallers.

Een aanvaller die zijn slachtoffer observeert zou het wachtwoord kunnen raden.
07-05-2015, 11:37 door Anoniem
Volgens die onderzoekers ligt de nadruk op het onthouden van wachtwoorden. Dat vind ik toch echt niet de hoogste prioriteit; ik heb liever een sterk wachtwoord waar geen enkele logica in zit en dat lastig te onthouden is.
Hoezo is het lastig te raden van wie iemand een sms ontvangen heeft? Iemands contactpersonen achterhalen en diens telefoonnummers lijkt me niet zo moeilijk, gezien men tegenwoordig alles op internet kwakt. De kans is groot dat aanvallers de juiste contactpersoon te pakken hebben.
En wie maakt er een wachtwoord van een item in je activiteitenlog? Een app of zo? En andere apps die daar toegang toe hebben? Lijkt me niet zo veilig.
Ik gebruik de smartphone enkel om te bellen / sms'en en ook alleen als dat echt noodzakelijk is (dat is dus bijlange na niet dagelijks). Daarnaast zit ik niet op Facebook of andere sociale media. Ik heb dus geen idee waar 'het nieuwe systeem' een wachtwoord van wil maken.
07-05-2015, 16:33 door Spiff has left the building
Door Anoniem, 11:37 uur:
Ik gebruik de smartphone enkel om te bellen / sms'en [...]
Waarom heb je daarvoor dan een smartphone, in plaats van een simpele featurephone?
07-05-2015, 16:48 door Anoniem
Valt nu niemand over het feit dat 5,5% van de inbraakpogingen, lukt?
Ik ken zo'n slecht percentage alleen maar van systemen zonder wachtwoord of met een default wachtwoord.
Om nog maar niet te spreken van dat een legitieme gebruiker 1 op de 20 keer niet binnen komt.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.