Student ontwikkelt app om via vingerafdruk op sites in te loggen
Een 19-jarige informaticastudent van de Universiteit van Harvard heeft een app ontwikkeld waarmee gebruikers op allerlei websites via alleen hun vingerafdruk kunnen inloggen. ClearPass, zoals de app heet, maakt gebruik van de vingerafdrukscanner die op steeds meer smartphones aanwezig is.
Eerst moet een gebruiker zijn of haar vingerafdruk laten scannen, waarmee de app vervolgens een qr-code genereert. Deze code moet de gebruiker voor de webcam van de computer houden waarna erop de website, als die ClearPass ondersteunt, kan worden ingelogd. Volgens ontwikkelaar Nicholas Boucher kunnen webmasters ondersteuning van ClearPass eenvoudig aan hun websites toevoegen. Twee extra regels code zou volstaan.
De app zorgt ervoor dat vingerafdrukken niet op de ClearPass-server worden opgeslagen. In plaats daarvan gebruikt de app een hashingalgoritme dat de vingerafdruk gebruikt voor het genereren van een code. Als extra beveiligingsmaatregel is de qr-code slechts vijf minuten beschikbaar. "Wat ClearPass uniek maakt is dat het aanmaken van een gebruikersnaam optioneel is. Het laat je jezelf authenticeren, terwijl je volledig anoniem blijft", stelt Bouchard.
ClearPass kan ook worden aangepast voor andere biometrische gegevens, zoals gezichtskenmerken of stemidentificatie. De app zou zelfs de hartslagsensor van de smartphone kunnen gebruiken en bijvoorbeeld de gebruiker uitloggen als hij of zij een verhoogde hartslag heeft. ClearPass wist onlangs een hackathon van de Universiteit van Cambridge te winnen. "We vonden dat het concept van het inloggen met een gebruikersnaam en wachtwoord behoorlijk gedateerd is. Als beschaving zouden we dit toch achter ons moeten kunnen laten", aldus de student.
…laat je jezelf authenticeren, terwijl je volledig anoniem blijft.
De de website beheerders kunnen ook in je kamer kijken bij het authenticeren, omdat de webcam altijd meer dan de QR code zal tonen. Ik vraag me af wie daar op zit te wachten.
En hoe kun je anoniem blijven als je met je vingerafdruk authenticeert? Of moet je ergens een set rubber vingers kopen en die op je scanner leggen. Geheid dat dan meerdere mensen die zelfde rubber vingers kopen.
Geef deze student een kroon.
Heel de term 'webcam' komt niet naar voren in het artikel. Waar haal je dit vandaag?
Heel de term 'webcam' komt niet naar voren in het artikel. Waar haal je dit vandaag?
Users hold the code in front of a computer’s web cam to log in to a ClearPass-enabled website.
Als je zoekt op webcam in het originele artikel komt jet het niet tegen, je moet wel lezen .... ;)
Geef deze student een kroon.
Heel de term 'webcam' komt niet naar voren in het artikel. Waar haal je dit vandaag?
Ja ik denk dat de InfoSec zit te wachten op wachtwoorden die je overal achterlaat.
Auth keys + wachtwoord + je kan altijd een password manager gebruiken want wachtwoorden die mensen bedenken zijn veel slechter dan een gegenereerd wachtwoord van meer dan 20 tekens.
Of zou je willen dat je vinger er word afgehakt omdat ze iets van je willen, en dat maakt niet uit wie dat is.
Of omdat ze in je computer of telefoon willen kijken dan kan je niet zeggen dat je t wachtwoord niet weet of niet zou kunnen vertellen, nee want je draagt het de heledag bij je.
En wie zegt waar jou vingerafdruk terecht komt?
Ik zou mijn ssh keys kunnen verliezen, maar daar kan niemand inkomen zonder een extra wachtwoord te hebben.
Dit geeft mij tijd om een andere key te maken en die te gebruiken ( natuurlijk is dit anders dan bv een bank account dat msischien alleen op een wachtwoord moet teren of 2 factor authenticatie. )
Kortom er zitten meer nadelen aan dan eigenlijk voordelen.
Ik kan niet wachten op een gehackte database met vingerafdrukken. Daar kun je gewoon op wachten.
Immers je kan QR-code op smartphonebeeldscherm moeilijk voor de camera van diezelfde smartphone houden...
Je houdt smartphone met QR-code dus kennelijk voor de webcam van de PC waarop je wilt inloggen.
Maar dan is het ook denkbaar dat beide apparaten een deel van de authenticatie voor hun rekening nemen.
Bovendien is er sprake van een "security token" die de houdbaarheid van de QR-code tot 5 minuten beperkt:
"As soon as it is used, the security token in the code is obliterated, making it useless for future login attempts."
Misschien heb je dus niets aan een gekopieerde vingerafdruk, en heb je ook iemands persoonlijke
smartphone erbij nodig. Verder is een extra usernaam optioneel. (die zal men eventueel ook nog nodig hebben)
Goeroehoedjes
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.