Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 64 reacties, 15.847 views •
Bron: Reformatorisch Dagblad, submitter: MuddyMagical

De Universiteit van Regensburg heeft een methode ontwikkeld om een gebruiker aan de hand van zijn typetechniek te herkennen. De techniek moet wachtwoordbeveiliging gaan vervangen.

Tijdens de afgelopen jaren is meerdere malen duidelijk geworden dat de traditionele wachtwoordbeveiliging niet de veiligste manier van beveiligen is. Biometrische vervangers laten minder ruimte voor gebruikersfouten, maar zijn aanzienlijk duurder om te implementeren. De Universiteit van Regensburg heeft daarom software ontwikkeld waarmee het mogelijk is om, aan de hand van veertien criteria, te bepalen of de persoon die achter het toetsenbord zit wel echt degene is voor wie hij of zij zich uitgeeft. Zo houdt Psylock, zoals het programma heet, de typesnelheid en het typeritme bij, maar daarnaast wordt ook gekeken naar wat voor soort fouten vaak gemaakt worden, hoe die worden verbeterd, hoeveel vingers er gebruikt worden tijdens het typen en of de typist links of rechts is.

Het programma werkt eenvoudig: de gebruiker typt een zin over en de software controleert ondertussen of de typemethode overeenkomt met het gekozen profiel. Moeheid, stress of een handblessure kunnen invloed hebben op de accuratesse, waardoor Psylock niet in alle omstandigheden toegepast kan worden. Een traditioneel wachtwoord moet dan alsnog uitkomst bieden. De onderzoekers werken sinds 1993 aan het programma en zijn zó overtuigd van de veiligheid, dat gewerkt wordt aan de integratie van Psylock met software voor digitaal bankieren. Verder is men druk bezig met verdere implementatie van de techniek: vanaf het komende collegejaar gaan alle medewerkers en docenten van de Duitse universiteit en een aantal bedrijven met het programma werken.

Psylock logo

De onderzoekers hopen op den duur zover te komen dat er een wereld zonder wachtwoorden ontstaat. Om dat doel te bereiken, wordt onder meer gewerkt aan programma's waarmee op een computer kan worden ingelogd en waarmee toegang verkregen kan worden tot beveiligde websites. Verder is men al aan het denken over software die constant controleert of de juiste gebruiker nog wel achter het toetsenbord zit. De makers van Psylock hebben laten weten dat een licentie ongeveer 8 euro per gebruiker zal kosten. Via www.psylock.de kunnen geïnteresseerden een demoversie van de software testen. Ook is het daar mogelijk om 'aanvallen' uit te voeren op andermans account, zodat kan worden nagegaan hoe goed de beveiliging in de praktijk werkt.

Reacties (64)

Reactiefilter:-164064+121+216+30
Moderatie-faq Wijzig weergave
Hmm, komt vrij nutteloos over bij me vooral door deze zin:
Moeheid, stress of een handblessure kunnen invloed hebben op de accuratesse, waardoor Psylock niet in alle omstandigheden toegepast kan worden. Een traditioneel wachtwoord moet dan alsnog uitkomst bieden.
Het helpt ook niets tegen een van de grote nadelen van wachtwoorden: je kan ze loggen door middel van een keylogger en weer afspelen. Je hoeft alleen maar de timings mee te nemen nu...

Als je toch biometrische beveiliging wilt neem dan een fingerprint scanner, die kosten ook niets meer tegenwoordig.

Verder werkt challenge/response authenticatie (bijvoorbeeld een token dat aan de hand van je vingerafdruk je herkent en dan een one time code genereert) erg goed in het geval je bang bent voor meekijkers en keyloggers.

[Reactie gewijzigd door wumpus op 15 juni 2007 11:40]

Dat werkt niet. De gegenereerde zin is elke keer anders, dus het is erg lastig te voorspellen :)

Wat WEL zou kunnen is dat je door uitgebreide analyse (net zoals het progje zelf) er achter kan komen wat de kenmerken zijn van iemand zijn tikken, en met een apart programmatje dit simuleren. Maar dat is wel degelijk wat anders dan een simpele keylogger met timings :Y)
Op het moment dat er een keylogger in je systeem zit ben je d'r sowieso geweest. Dan heb je een 'indringer' die aan je hardware kan sleutelen, plus dat-ie alles ziet wat je ingetypt hebt.
Ahum Mythbusters heeft aangetoond dat fingerprint zo te vervalsen is, ze hadden zelfs een keer succes met een door kopieermachine gekopieeërde vingerafdruk, die natmaken en op je vinger leggen.
Dat hangt natuurlijk totaal af van het geimplementeerde systeem. Ook op dat vlak staan de ontwikkelingen niet stil en ook hier kun je goedkope systemen niet vergelijken met de vaak betere duurdere implementaties.
[sarcasm]Ah, gelukkig dat een totaal onafhankelijk en professioneel programma als Mythbusters het even voor ons uitgepluist heeft. Nu weten we tenminste dat die tak aan technologie onzinnig en inferieur is.
[/sarcasm]

Onthoud dat niet alle vingerafdrukscanners voor een tientje bij de mediamarkt liggen.
Ja in dat geval ontgaat mij het hele nut van die beveiliging. Je typt een zin en krijgt daarna de melding 'U wordt niet herkent, wilt u het traditionele wachtwoord invullen?'. Ja, dan heb je weer dat wachtwoord, wat de 'zwakste schakel' is.

Stomme beveiliging op deze manier. Hoewel de resultaten van zo'n onderzoek natuurlijk prima gebruikt kunnen worden bij verdere ontwikkeling van beveiliging. Ik denk dat de toekomst een combinatie is van een aantal criteria. Dus mogelijk biometrisch als deze beveiliging etc.
Ik denk dat dat niet de enige "maar" is aan deze techniek.

Vervelende programmatjes zoals geavanceerde keyloggers kunnen binnen no-time berekenen hoe je typt enz. Ze moeten vervolgens een profiel opslaan, dit uploaden naar hun "meester".
Die kan vervolgens persoonlijk op zelfs op afstand doen of ie de gebruiker is en VIOLA, keihard gehackt...
Wat heeft VIOLA hier mee te maken? Kan het zijn dat je voilà bedoelt?
Doet me denken aan de duimscan op mijn laptop van school. Een klasgenoot moet even op de laptop "oh, doe maar even 3x met je vinger eroverheen en vul daarna na de errors 12345 in als wachtwoord".... |:(
Als dit toegepast gaat worden krijgen ze heel wat frustrerende reacties ben ik bang. Ze zeggen zelf al dat het niet goed werkt als je gestressed bent. Onderhand de hele bevolking is tegenwoordig gestressed |:(
Dus je hebt dan een gestrest tik patroon, dan kun je niet meer inloggen als je niet gestrest bent. Dan wordt je weer gestrest omdat je niet in kan loggen en kun je opeens weer inloggen en gestrest verder werken.

:D
Ik heb vroeger een typediploma gehaald en kan erg snel typen dus zelfs als mensen meekijken weten ze mijn wachtwoord niet. Bovendien verwacht ik met deze methode dat er weinig mensen zijn die een willekeurige zin net zo snel kunnen tikken.

Maar het probleem van keyloggers heft dit voordeel natuurlijk op (en de beveiliging zoals iemand hierboven al beschreef).

Er is volgens mij nog een andere manier van paswoorden gebruiken, nl. door niet letter voor letter een paswoord te typen, maar door een paswoord door het tegelijk aanslaan van een aantal toetsen (evt. gevolgd door meerdere combinaties). Bv. een paswoord wat bestaat uit het tegelijk indrukken van de toetsen q, t, y en p en daarna de toetsencombinatie a, f, j en p. Als je ook nog de loslaatvolgorde opslaat zijn het aantal mogelijkheden om een paswoord te bedenken van 1 of 2 combinaties bijna oneindig groot. Een paswoord is dan bv:
- Tegelijk indrukken van de toetsen q, t, y en p
- Loslaten q
- a indrukken (rest nog vasthouden)
- y en p loslaten
- toetsen n, j en m indrukken
- alles loslaten

Natuurlijk kan een timed en press/up down keylogger hier ook weer hulp bieden maar dat geldt voor elk mogelijke toetsinvoer (zelfs als je de muisbeweging bij een paswoord betrekt en een muislogger gebruikt).
Is dit niet wat vergezocht? Ik denk dat mensen op senioren.net niet meer kunnen inloggen dan :)
Het is alleen als toevoeging ... je kunt ook paswoorden op de ' normale' manier maken maar met combinaties van toetsen kun je veel sneller paswoorden invullen (en onthouden).
Een traditioneel wachtwoord moet dan alsnog uitkomst bieden.
En omdat de gebruik dat wachtwoord haast nooit meer gebruikt, word het opgeschreven om niet te vergeten, en heb je weer een systeem gecreerd wat alleen maar de onveiligheid verhoogt!
Ik vraag me sterk af of met slechts één zin zo'n grote nauwkeurigheid te behalen valt, dat je mensen uniek kunt identificeren...
Mensen die met twee vingers typen kun je volgens mij toch al haast niet identificeren? Daar zul je zo'n groot verschil hebben per zin, dat er voor die software geen touw aan vast te knopen is.
Bovendien is het niet erg klantvriendelijk om iemand eerst een hele zin te laten invoeren, hoe veilig het ook moge zijn.

[Reactie gewijzigd door Gummbahla op 15 juni 2007 11:12]

After some consideration, I think the right answer is: mijn god wat is die website traag.
Wat een onzin, kom je ergens waar ze geen QWERTY hebben, dan ben je toch effe aan het zoeken.
Dan stel je het toetsenbord toch in als Qwerty? Dat kan alweer sinds 2002... :O
do it but ...

als je nog niet aangemeld bent !! :+
Vista (o lieve vooruitgang) kan dat wel
Maar als je die posities niet uit je hoofd weet, is het nog lastig om de juiste QWERTY teken te zoeken op een niet-QWERTY toetsenbord :)
Ik herinner me ook een onderzoek ooit, waaruit bleek dat het aan de hand van de tijd tussen aanslagen, zeer grofweg, en na lange analyses, mogelijk was te bepalen wat iemand typt... Oftewel ook via een encrypted verbinding was er op die manier aan de tijd tussen de aanslagen informatie uit te filteren.

De beveiliging uit dit artikel maakt een man-in-the-middle-attack op bovenbeschreven manier natuurlijk nog veel makkelijker, dan komt alle "encrypted" informatie zo langs!
Gezien veel mensen niet met 10 vingers typen (en dan nog) is het mogelijk statistische analyse uit te voeren op een opgenomen geluidsfragement waardoor met redelijke zekerheid te zeggen is wat er is ingetypt. Deze detectiegraad kan natuurlijk zeer makkelijk verhoogd worden door woordenboek controle etc. Sterker nog, het is mogelijk op afstand te detecteren wat er wordt ingetypt door zeer nauwkeurige stralingsmetingen (we spreken dan wel over CIA achtige methodes).

[Reactie gewijzigd door Bor op 15 juni 2007 12:47]

Op GoT loopt er een draadje van 2 studenten die onderzoek doen naar deze methode. Daar is ook veel interessants te lezen.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True