image

Onderzoekers bedenken reeks afbeeldingen als wachtwoord

dinsdag 17 juli 2018, 17:28 door Redactie, 9 reacties

Onderzoekers hebben een nieuw wachtwoordalternatief voor smartphones bedacht waarbij er een reeks afbeeldingen in plaats van een wachtwoord of ontgrendelpatroon moet worden gekozen. Volgens de onderzoekers is deze methode beter bestand tegen "veeg" aanvallen en makkelijker te onthouden.

Alle moderne telefoons bieden een inlogmethode, maar veel gebruikers maken hier geen gebruik van. Alfanumerieke wachtwoorden bieden een redelijk goede beveiliging, alleen hebben als nadeel dat ze niet gebruiksvriendelijk zijn, aldus de onderzoekers. Een ontgrendelpatroon is een stuk gebruiksvriendelijker en laat gebruikers sneller inloggen. Deze inlogmethode is echter kwetsbaar voor "veeg" aanvallen. De vegen van het ontgrendelpatroon kunnen namelijk zichtbaar zijn op het beeldscherm.

De onderzoekers zochten daarom naar een oplossing die gebruiksvriendelijk en eenvoudig te onthouden is. Het resultaat is "SemanticLock" waarbij het wachtwoord uit een reeks afbeeldingen bestaat (pdf). De afbeeldingen kunnen bijvoorbeeld een te herinneren verhaal vormen. SemanticLock biedt daarnaast bij een beperkt aantal afbeeldingen meer mogelijkheden dan een pincode of ontgrendelpatroon.

Als naar het gebruik van SemanticLock wordt gekeken blijkt dat een ontgrendelpatroon een iets snellere inlogmethode is, maar niet veel verschilt van het kiezen van de verschillende afbeeldingen. Wanneer het gaat om het onthouden van het wachtwoord is SemanticLock volgens de onderzoekers superieur. 70 procent van de deelnemers aan de test vergat zijn of haar ontgrendelpatroon, terwijl 50 procent het pin-wachtwoord niet onthield. Slechts 10 procent was echter zijn SemanticLock vergeten. De onderzoekers willen nu de techniek verder verbeteren en uitgebreider gaan testen.

Image

Reacties (9)
17-07-2018, 18:04 door Anoniem
Handig voor shoulder surfing
17-07-2018, 20:28 door Anoniem
Dit is net zoiets als die vreselijk irritante plaatjescaptcha, of wat?
17-07-2018, 22:16 door Anoniem
Ik gebruik al jaren Emoji in mijn website wachtwoorden.
De websites die dat niet ondersteunen vertelt genoeg over hun beveiliging :)
18-07-2018, 08:45 door -karma4
Door Anoniem: Ik gebruik al jaren Emoji in mijn website wachtwoorden.
De websites die dat niet ondersteunen vertelt genoeg over hun beveiliging :)

Grapjas. De sites die dat wel 'ondersteunen' converteren het waarschijnlijk naar nul-karakters. Lekker veilig wachtwoord krijg je dan, met al die nul-karakters erin.
18-07-2018, 09:11 door Anoniem
Door The FOSS:
Door Anoniem: Ik gebruik al jaren Emoji in mijn website wachtwoorden.
De websites die dat niet ondersteunen vertelt genoeg over hun beveiliging :)
Grapjas. De sites die dat wel 'ondersteunen' converteren het waarschijnlijk naar nul-karakters. Lekker veilig wachtwoord krijg je dan, met al die nul-karakters erin.
Waarom zou je dat nou doen? Wat kan het jou nou schelen wat de gebruiker voor rommel in z'n wachtwoord wil? Zeker aangezien je helemaal niet geinteresseerd bent in wat het wachtwoord precies is want je slaat alleen de hash op. (Toch?)

Kan best dat allerlei websites het doen, maar ik zie geen reden om het te doen behalve micro-management uit stomheid. Je moet er namelijk meer werk voor doen dan simpelweg een 8-bit-clean kanaal van invoerveld naar hashalgorithme openzetten.
18-07-2018, 10:05 door Anoniem
Doet me denken aan die Lotus Notes password hieroglyphen.
hxxps://blog.codinghorror.com/the-dramatic-password-reveal/
Vroeg me altijd af of ik die moest kunnen onthouden, of die enige correlatie met mijn wachtwoord hadden.
18-07-2018, 14:51 door Anoniem
Door Anoniem:
Door The FOSS:
Door Anoniem: Ik gebruik al jaren Emoji in mijn website wachtwoorden.
De websites die dat niet ondersteunen vertelt genoeg over hun beveiliging :)
Grapjas. De sites die dat wel 'ondersteunen' converteren het waarschijnlijk naar nul-karakters. Lekker veilig wachtwoord krijg je dan, met al die nul-karakters erin.
Waarom zou je dat nou doen? Wat kan het jou nou schelen wat de gebruiker voor rommel in z'n wachtwoord wil? Zeker aangezien je helemaal niet geinteresseerd bent in wat het wachtwoord precies is want je slaat alleen de hash op. (Toch?)

Ik zou ZO graag willen dat je een tijdje aan de support desk mag zitten van sites die jouw design keuze volgen.
Dat is enorm leerzaam.

Het probleem waar je dan mee gaat kennismaken zijn (verschillende) keyboard mappings, afhankelijkheden van locales en eventueel niet te onderscheiden glyphs met een andere UTF-8 code .

Mensen loggen (soms) in met verschillende devices of instellingen - deskop/tablet , en bij kantoorgebruikers soms via de laptop en soms via een thin client omgeving .

In zo'n geval is het totaal niet zo zeker dat als je 'hetzelfde' intikt, de website dezelfde hexcodes ontvangt om te hashen.

De security types blijven geloven in de ******* om het password te hiden, en dat is een ramp als je niet eens zeker weet of je speciale karakters overkomen .


Kan best dat allerlei websites het doen, maar ik zie geen reden om het te doen behalve micro-management uit stomheid. Je moet er namelijk meer werk voor doen dan simpelweg een 8-bit-clean kanaal van invoerveld naar hashalgorithme openzetten.

Je moet werken aan een wat bredere ervaring. Je zit er voor de gebruiker.
Je blik beperkten tot "ik hash wat ik aan hexcodes binnenkrijg en that's it" straft juist de gebruiker die nu eens z'n best doet om wat speciale karakters te gebruiken .

Nou, na een paar password resets leren ze dat wel weer af.
19-07-2018, 22:05 door Anoniem
Door Anoniem: Het probleem waar je dan mee gaat kennismaken zijn (verschillende) keyboard mappings, afhankelijkheden van locales en eventueel niet te onderscheiden glyphs met een andere UTF-8 code .
Tsja, daar kun je als helpdesk niets aan doen behalve adviseren een password reset uit te voeren, want je weet het wachtwoord niet, kan het niet veranderen (behalve via reset), en wil ook helemaal niet weten wat dat wachtwoord was.

Als ontwerper is de correcte aanpak om problematische invoer in wachtwoorden niet toe te staan, niet om er nulletjes van te maken. Dat laatste is een gat in je beveiliging, dat eerste niet.

Mensen loggen (soms) in met verschillende devices of instellingen - deskop/tablet , en bij kantoorgebruikers soms via de laptop en soms via een thin client omgeving .

In zo'n geval is het totaal niet zo zeker dat als je 'hetzelfde' intikt, de website dezelfde hexcodes ontvangt om te hashen.
Wat dus vrij luid en duidelijk zegt dat unicode [x] ongeschikt is voor gegevensuitwisseling, zoals hier, overdracht van wachtwoorden.

Wat we overigens ook al gezien hebben met gebruikersnamen, bij spotify.

Je moet werken aan een wat bredere ervaring. Je zit er voor de gebruiker.
Je blik beperkten tot "ik hash wat ik aan hexcodes binnenkrijg en that's it" straft juist de gebruiker die nu eens z'n best doet om wat speciale karakters te gebruiken .
En als je er nulletjes van maakt dan straf je diezelfde gebruiker door stilletjes de invoer veel minder specifiek te laten zijn dan de gebruiker verwacht dat'ie is.

Nou, na een paar password resets leren ze dat wel weer af.
Maar met een acht bit clean kanaal ligt het probleem honderd procent bij de client, en scheelt dus onverwachte interacties tussen de aannames in de client en de aannames in de server. Dus tegenover nulletjes van tekens maken is dat toch echt de betere oplossing--zeker de veiligere, tenzij je password reset mechanisme ook lek is.

Of je moet ervoor kiezen te filteren. Dan hou je over dat je wachtwoorden alleen in US-ASCII moet aannemen. En geen controletekens of wat ook.
22-07-2018, 10:58 door -karma4 - Bijgewerkt: 22-07-2018, 11:02
Door Anoniem:
Door The FOSS:
Door Anoniem: Ik gebruik al jaren Emoji in mijn website wachtwoorden.
De websites die dat niet ondersteunen vertelt genoeg over hun beveiliging :)
Grapjas. De sites die dat wel 'ondersteunen' converteren het waarschijnlijk naar nul-karakters. Lekker veilig wachtwoord krijg je dan, met al die nul-karakters erin.
Waarom zou je dat nou doen?

Dat 'doe' je niet, het is een gevolg van het niet ondersteund worden van die speciale invoer in onderliggende lagen. Dan kan je zomaar eindigen met nul-karakters.

Het is beter om je te beperken tot een karakterset die je gegarandeerd op alle platformen goed binnenkrijgt. En invoer die niet voldoet duidelijk afwijzen. Anders krijg je van die sites waar je een complex wachtwoord invoert (wat geaccepteerd lijkt te worden), echter je later niet kan inloggen. Want het wachtwoord is stilletjes afgekapt of niet ondersteunde karakters zijn stilletjes verwijderd of naar nul-karakters geconverteerd. Het devies is altijd KISS (Keep It Simple Stupid).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.