Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 64, views: 15.760 •
Bron: Reformatorisch Dagblad, submitter: MuddyMagical

De Universiteit van Regensburg heeft een methode ontwikkeld om een gebruiker aan de hand van zijn typetechniek te herkennen. De techniek moet wachtwoordbeveiliging gaan vervangen.

Tijdens de afgelopen jaren is meerdere malen duidelijk geworden dat de traditionele wachtwoordbeveiliging niet de veiligste manier van beveiligen is. Biometrische vervangers laten minder ruimte voor gebruikersfouten, maar zijn aanzienlijk duurder om te implementeren. De Universiteit van Regensburg heeft daarom software ontwikkeld waarmee het mogelijk is om, aan de hand van veertien criteria, te bepalen of de persoon die achter het toetsenbord zit wel echt degene is voor wie hij of zij zich uitgeeft. Zo houdt Psylock, zoals het programma heet, de typesnelheid en het typeritme bij, maar daarnaast wordt ook gekeken naar wat voor soort fouten vaak gemaakt worden, hoe die worden verbeterd, hoeveel vingers er gebruikt worden tijdens het typen en of de typist links of rechts is.

Het programma werkt eenvoudig: de gebruiker typt een zin over en de software controleert ondertussen of de typemethode overeenkomt met het gekozen profiel. Moeheid, stress of een handblessure kunnen invloed hebben op de accuratesse, waardoor Psylock niet in alle omstandigheden toegepast kan worden. Een traditioneel wachtwoord moet dan alsnog uitkomst bieden. De onderzoekers werken sinds 1993 aan het programma en zijn zó overtuigd van de veiligheid, dat gewerkt wordt aan de integratie van Psylock met software voor digitaal bankieren. Verder is men druk bezig met verdere implementatie van de techniek: vanaf het komende collegejaar gaan alle medewerkers en docenten van de Duitse universiteit en een aantal bedrijven met het programma werken.

Psylock logo

De onderzoekers hopen op den duur zover te komen dat er een wereld zonder wachtwoorden ontstaat. Om dat doel te bereiken, wordt onder meer gewerkt aan programma's waarmee op een computer kan worden ingelogd en waarmee toegang verkregen kan worden tot beveiligde websites. Verder is men al aan het denken over software die constant controleert of de juiste gebruiker nog wel achter het toetsenbord zit. De makers van Psylock hebben laten weten dat een licentie ongeveer 8 euro per gebruiker zal kosten. Via www.psylock.de kunnen geïnteresseerden een demoversie van de software testen. Ook is het daar mogelijk om 'aanvallen' uit te voeren op andermans account, zodat kan worden nagegaan hoe goed de beveiliging in de praktijk werkt.

Reacties (64)

Reactiefilter:-164064+121+216+30
Hmm, komt vrij nutteloos over bij me vooral door deze zin:
Moeheid, stress of een handblessure kunnen invloed hebben op de accuratesse, waardoor Psylock niet in alle omstandigheden toegepast kan worden. Een traditioneel wachtwoord moet dan alsnog uitkomst bieden.
Ja in dat geval ontgaat mij het hele nut van die beveiliging. Je typt een zin en krijgt daarna de melding 'U wordt niet herkent, wilt u het traditionele wachtwoord invullen?'. Ja, dan heb je weer dat wachtwoord, wat de 'zwakste schakel' is.

Stomme beveiliging op deze manier. Hoewel de resultaten van zo'n onderzoek natuurlijk prima gebruikt kunnen worden bij verdere ontwikkeling van beveiliging. Ik denk dat de toekomst een combinatie is van een aantal criteria. Dus mogelijk biometrisch als deze beveiliging etc.
Ik denk dat dat niet de enige "maar" is aan deze techniek.

Vervelende programmatjes zoals geavanceerde keyloggers kunnen binnen no-time berekenen hoe je typt enz. Ze moeten vervolgens een profiel opslaan, dit uploaden naar hun "meester".
Die kan vervolgens persoonlijk op zelfs op afstand doen of ie de gebruiker is en VIOLA, keihard gehackt...
Wat heeft VIOLA hier mee te maken? Kan het zijn dat je voilà bedoelt?
Het helpt ook niets tegen een van de grote nadelen van wachtwoorden: je kan ze loggen door middel van een keylogger en weer afspelen. Je hoeft alleen maar de timings mee te nemen nu...

Als je toch biometrische beveiliging wilt neem dan een fingerprint scanner, die kosten ook niets meer tegenwoordig.

Verder werkt challenge/response authenticatie (bijvoorbeeld een token dat aan de hand van je vingerafdruk je herkent en dan een one time code genereert) erg goed in het geval je bang bent voor meekijkers en keyloggers.

[Reactie gewijzigd door wumpus op 15 juni 2007 11:40]

Op het moment dat er een keylogger in je systeem zit ben je d'r sowieso geweest. Dan heb je een 'indringer' die aan je hardware kan sleutelen, plus dat-ie alles ziet wat je ingetypt hebt.
Dat werkt niet. De gegenereerde zin is elke keer anders, dus het is erg lastig te voorspellen :)

Wat WEL zou kunnen is dat je door uitgebreide analyse (net zoals het progje zelf) er achter kan komen wat de kenmerken zijn van iemand zijn tikken, en met een apart programmatje dit simuleren. Maar dat is wel degelijk wat anders dan een simpele keylogger met timings :Y)
Ahum Mythbusters heeft aangetoond dat fingerprint zo te vervalsen is, ze hadden zelfs een keer succes met een door kopieermachine gekopieeërde vingerafdruk, die natmaken en op je vinger leggen.
Dat hangt natuurlijk totaal af van het geimplementeerde systeem. Ook op dat vlak staan de ontwikkelingen niet stil en ook hier kun je goedkope systemen niet vergelijken met de vaak betere duurdere implementaties.
[sarcasm]Ah, gelukkig dat een totaal onafhankelijk en professioneel programma als Mythbusters het even voor ons uitgepluist heeft. Nu weten we tenminste dat die tak aan technologie onzinnig en inferieur is.
[/sarcasm]

Onthoud dat niet alle vingerafdrukscanners voor een tientje bij de mediamarkt liggen.
Doet me denken aan de duimscan op mijn laptop van school. Een klasgenoot moet even op de laptop "oh, doe maar even 3x met je vinger eroverheen en vul daarna na de errors 12345 in als wachtwoord".... |:(
Dat heb ik 20 jaar geleden al op de efficiency beurs werkend gezien.

Ongetwijfeld hebben ze het flink verbeterd, maar nieuw is het niet.
in 1987, really?
Efficiency beurs weet ik niet, maar toen ik studeerde eind jaren 80, deden we ook dat soort experimentjes. We hielden ons toen met patroonherkenning/neurale netwerken e.d. bezig, en het herkennen van personen door middel van de "tiepritmes" deed ik toen ook...
Het kan 1988 geweest zijn, maar orde van grootte, ja dus.

Ze hadden zelfs een wedstrijd uitgeschreven om te proberen eromheen te komen. Dat is niemand gelukt, maar iedereen dacht toen nog dat een password veilig was dus het ging net zo snel de vergetelheid in als het op kwam.

Er zijn trouwens nog steeds mensen die denken dat een password veilig is....
Ik zou het zeer bijzonder vinden als je op de manier van typen kan eenduidig kan ontdekken wie er achter de computer zit.
Ik merk namelijk bij mijzelf erg grote verschillen.
ik kan blind typen, maar er zijn perioden dat ik haast niets type en er zijn perioden dat ik meer type. Dat is heel erg van invloed op de wijze van typen.
Zeker als ik moe ben als nu tpye ik bijna elk woord fout. Als ik er echter goed zin in heb kan ik hele pagina's typen met relatief weinig fouten en op redelijke snelheid.
Een traditioneel wachtwoord moet dan alsnog uitkomst bieden.
En omdat de gebruik dat wachtwoord haast nooit meer gebruikt, word het opgeschreven om niet te vergeten, en heb je weer een systeem gecreerd wat alleen maar de onveiligheid verhoogt!
Ik vraag me sterk af of met slechts één zin zo'n grote nauwkeurigheid te behalen valt, dat je mensen uniek kunt identificeren...
Mensen die met twee vingers typen kun je volgens mij toch al haast niet identificeren? Daar zul je zo'n groot verschil hebben per zin, dat er voor die software geen touw aan vast te knopen is.
Bovendien is het niet erg klantvriendelijk om iemand eerst een hele zin te laten invoeren, hoe veilig het ook moge zijn.

[Reactie gewijzigd door Gummbahla op 15 juni 2007 11:12]

Als dit toegepast gaat worden krijgen ze heel wat frustrerende reacties ben ik bang. Ze zeggen zelf al dat het niet goed werkt als je gestressed bent. Onderhand de hele bevolking is tegenwoordig gestressed |:(
Dus je hebt dan een gestrest tik patroon, dan kun je niet meer inloggen als je niet gestrest bent. Dan wordt je weer gestrest omdat je niet in kan loggen en kun je opeens weer inloggen en gestrest verder werken.

:D
ja, frustratie alom. Ik hoop dat het een grap is, want anders gaat de wereld echt nergens heen. Het is volledig niet-deterministisch, daar kun je gewoon geen pijl op trekken.
Tuurlijk is het een grap... ze hebben toch een smiley in hun logo gezet ? ;)
Leuk bericht, maar om het nu als nieuws te brengen... nou nee. Het wordt al tijden commercieel aangeboden, zie bijvoorbeeld hier:

http://www.idcontrol.net/...&id=93&Itemid=103


Het lijkt me vooral handig om te implementeren in combinatie met een andere authenticatie methode. Op die manier bouw je op meerdere lagen een controle in, zonder dat deze extra authenticatie de gebruiker belast.
Je wilt zowiezo multi factor authenticatie toepassen wanneer je de kwaliteit van de authenticatie wilt verhogen. Een sterke authenticatie maakt gebruik van minimaal 2 factoren.

Factor 1: iets wat je weet (wachtwoord)
Factor 2: iets wat je hebt (token)
Factor 3: iets wat je bent (biometrie)

Dit is eventueel uit te breiden met plaats en tijd

Factor 4: een plaats waar je bent
Factor 5: een tijd "wanneer" je bent

Door nu de klassieke wachtwoord verificatie te vervangen door een andere een factor authenticatie maak je geen grote winst uit beveiligingsoogpunt.
After some consideration, I think the right answer is: mijn god wat is die website traag.
En dan is het enige dat je als kwaadwillende nodig hebt een keylogger die ook timed. Dan speel je de toetsenbord "replay" af met exact dezeflde timing als de originele gebruiker en is er van beveiliging niet echt meer sprake. Eventueel met kleine random fluctuaties en variaties, binnen de grenzen van de beveiliging, om het feit dat het een replay is te verhullen.

Doe mij maar een beeldscherm met geintegreerde iris èn retina scanner, als er dan echt sprake moet zijn van continue gebruikersautenticatie.
Kijk hier is de techniek dus beter in, je krijgt elke keer een andere zin die je moet overtikken. Dus een logger heb je niks aan, want de zin/password verandert elke keer.
Dat is een misverstand! Een logger heb je wel degelijk wat aan in dat geval. Je logged gewoon een aantal authenticaties, ervanuit gaande dat je op een gegeven moment de timings tussen elk paar letters wel hebt.

Verder zit ik te denken aan een soort custom made toetsenbord dat een timing profiel emuleert, voor als je niet remote kan werken.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013