Brit bedenkt simpele wachtwoordoplossing
De Brit Martin Wren-Hilton heeft een eenvoudige manier bedacht om de hele reeks wachtwoorden die tegenwoordig onthouden moeten worden, te vermijden. De reacties op deze goedkope uitvinding zijn redelijk positief, zo schrijft de BBC donderdag. Het gaat om een kaart, ter grootte van een creditcard, waarop een aantal woorden en getallenreeksen staan. De computer waarop wordt inlogd, herkent de persoon aan het wachtwoord. Daarna vraagt de computer naar het nummer dat bij een bepaald woord op die kaart hoort.
Als een hacker de kaart in handen krijgt, kan die er nog niet veel mee omdat de kaart verbonden is met het wachtwoord van de persoon. Bovendien zijn de kaarten uniek, aldus de bedenker van de kaart. Er zijn diverse manieren om wachtwoorden te beschermen met dure technische oplossingen zoals smart cards, maar die methoden zijn volgens Wren-Hilton vooral geschikt voor mensen die tijdens hun werk met zeer vertrouwelijke zaken te maken hebben.
De manier van identificatie is niet nieuw. Vooral banken gebruiken regelmatig dergelijke methoden om online bankhandelingen van klanten te beveiligen. "Maar voor een grote groep mensen van wie de handelingen niet streng beveiligd hoeven te worden, voldoet het", denkt een beveiligingsexpert van het Engelse bedrijf RSA. (NU.nl)
Pierpanda.
Bruteforcing blijft een optie.
Het vragen naar het woord waarbij een code hoort wisselt per aanmeld poging, dus brute forcen zal niet echt gaan.
Het vragen naar het woord waarbij een code hoort wisselt per aanmeld poging, dus brute forcen zal niet echt gaan.
Allereerst: jammer dat er geen link bij staat naar extra informatie, NU.nl heeft voor zover ik kan zien geen extra informatie.
Wat volgens mij een nadeel is van dit systeem is dat er nu maar een machine waarop de gebruiker een account heeft hoeft te worden gekraakt om alle systemen te kunnen binnendringen, op dit moment heeft de gebruiker voor elk systeem (als het goed is) een ander wachtwoord.
Dit aangezien:
Elke systeem hetzelfe initiele wachtwoord gebruikt.
En elk systeem alle codes moet hebben die op de credit card staan, eventueel kan je de woorden gehashed opslaan, maar aangezien het normale woorden zijn (tenminste dit blijkt uit de text) is brute-forcen hiervoor een eenvoudige oplossing.
Mochten de woorden inderdaad gehasht zijn dan is de oplossing om enkele verschillende in-log pogingen te bekijken en dus enkele nummers+woord combinaties te verzamelen. In de volgende stap tegen een ander systeem kunnen dan net zolang authenticatie pogingen worden gestart, todat er een nummer bijzit waarvan het woord bekend is, gezien het formaat van een credit-card en het dus ernstig gelimiteerde aantal mogelijkheden lijkt dit een werkbare oplossing.
Allereerst: jammer dat er geen link bij staat naar extra informatie, NU.nl heeft voor zover ik kan zien geen extra informatie.
Ok gevonden op Nu.nl, bij oudere data:
http://nu.nl/document?n=57354
Met daarin een link naar de bbc:
http://news.bbc.co.uk/hi/english/sci/tech/newsid_2006000/2006940.stm
Blijkens dat artikel gaat het inderdaad slechts om normale woorden (bruteforce aanval op de hashes, als die er zijn) en gaat het inderdaad slechts om enkele mogelijkheden namelijk 20.
Oftewel, 4 authenticatie-sessies bekijken en vervolgens heb je 20% kans (ongeveer) per authenticatie poging om op een ander systeem binnen te dringen.
Een oud idee in een nieuw jasje. Maar als het helpt de beveiliging op een hoger plan te brengen, dan kan men dit een goed idee noemen. De Postbank heeft jaren geleden ook een soortgelijke kaart uitgebracht om PIN-codes te onthouden. Diefstal van een dergelijke kaart is zinloos, aangezien de PIN gerelateerd is aan een zelfgekozen wachtwoord. Zonder dit wachtwoord is de PIN niet te achterhalen.
Pierpanda.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.