Onderzoekers ontwikkelen nieuw soort wachtwoordmeter
Tal van websites maken gebruik van een wachtwoordmeter om gebruikers te laten zien hoe zwak of sterk hun wachtwoord is, maar onderzoekers van de Carnegie Mellon University en de University of Chicago hebben nu een nieuw soort wachtwoordmeter ontwikkeld die veel beter zou moeten werken.
"In plaats van een meter die zegt 'Je wachtwoord is slecht', dachten we dat het handiger was als de meter vertelde waarom het slecht is en wat er beter kan worden gedaan", zegt onderzoeker Nicolas Christin van de Carnegie Mellon University. De wachtwoordmeter maakt gebruik van een kunstmatig neuraal netwerk. Het netwerk "leert" door miljoen bestaande wachtwoorden te scannen en trends te vinden. Als de meter een eigenschap in een wachtwoord ontdekt dat aanvallers kunnen raden geeft het gebruikers een waarschuwing.
"De manier waarop aanvallers wachtwoorden raden is door patronen in grote datasets van gestolen wachtwoorden te analyseren", zegt onderzoeker Blase Ur van de University of Chicago. "Als je bijvoorbeeld de letter E door een 3 in je wachtwoord verandert zal dat een aanvaller niet foppen. De meter zal uitleggen hoe vaak deze vervanging voorkomt en je advies geven wat je dan wel kunt doen." Deze feedback wordt in realtime gegeven, bij elke letter die de gebruiker invoert.
De onderzoekers lieten 4500 mensen de wachtwoordmeter testen bij het maken van een wachtwoord. Het onderzoek naar de meter en het gebruik ervan wordt vandaag tijdens de CHI 2017-conferentie gepresenteerd. Volgens Ur zorgt de nieuwe meter ervoor dat gebruikers sterkere wachtwoorden kiezen die net zo goed te onthouden zijn als wachtwoorden die zonder de feedback worden gemaakt. Een demonstratie van de wachtwoordmeter staat inmiddels online. De code van de Password Meter is via GitHub open source gemaakt.
Opgelet: de kracht van een wachtwoordmeter zit hem uiteindelijk in de gebruikte fontgrootte.
Een echte Einstein kijkt even in de source :)
Hoe is dit een welles-nietes discussie geworden? Je kan toch gewoon een lokale proxy er tussen zetten en precies zien wat er wel en niet naar hun server gaat?
Heb ik voor de grap even voor jullie gedaan: Zodra je de pagina laadt worden een paar textbestanden ook geladen, met namen als 'passwords-compressed' en 'englishwords-compressed'. Dus ja, ze downloaden dan inderdaad de wachtwoorden naar de lokale pc.
Als je vervolgens in het venstertje begint te typen en hij feedback geeft over de sterkte van je wachtwoord zie je de volgende requests naar de server: NIKS. NAKKES. NADA.
Dus de aluhoedjes kunnen weer af. Bedankt voor uw aandacht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.