Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 51, views: 29.782 •

Wetenschappers hebben een methode ontwikkeld om gebruikers 'onbewust' een wachtwoord aan te leren. De gebruikers kunnen het wachtwoord invoeren zonder het zelf te kennen. Hiervoor wordt gebruikgemaakt van het impliciete geheugen.

Onderzoekers van de Stanford University in Californië hebben een spelletje ontwikkeld waarbij gebruikers vallende objecten moeten 'redden' door op een knop te drukken. Er zijn zes verschillende locaties waar een object kan vallen, die overeenkomen met zes knoppen die de gebruiker kan indrukken. Een participant moet ongeveer 30 tot 45 minuten spelen, waarbij de vallende objecten schijnbaar willekeurig vallen.

De wetenschappers hebben echter stiekem een zichzelf herhalend patroon van dertig vallende objecten ingebouwd. Dit patroon werd tijdens het spelen ongeveer 100 keer herhaald, waardoor gebruikers het onbewust leren. Tijdens een studie waarbij gamingsessies een aantal maal werden herhaald, bleek dat participanten bij het patroon van dertig vallende objecten steeds beter presteerden.

Volgens de onderzoekers kan het spelen van het spel gebruikt worden als basis voor een beveiligingsmechanisme. Met een aantal gamingsessies kunnen individuele gebruikers onbewust een uniek wachtwoord van 30 'cijfers' met zes mogelijkheden per cijfer leren. Door het spel te spelen kunnen zij bewijzen het wachtwoord onbewust te kennen, zonder dat zij dit bewust kunnen vertellen. Hierdoor moet het onmogelijk worden om een wachtwoord te verklappen, terwijl gebruikers dit wel kunnen invoeren.

Kwaadwillenden kunnen proberen het wachtwoord te achterhalen door gebruikers een gelijkwaardig spel te laten spelen, maar dit zou volgens de onderzoekers niet accuraat zijn. De wetenschappers claimen wel dat er nog een aantal haken en ogen aan hun methode zit. Zo zijn lange gamesessies nodig om het wachtwoord te leren en in te voeren. Ook kunnen hackers in het originele game- of authenticatiesysteem binnendringen, om zo de wachtwoorden uit te kunnen lezen. Het is waarschijnlijk ook nodig om het onbewuste wachtwoord te onderhouden, aangezien het mogelijk is dat gebruikers het patroon 'vergeten'. Onduidelijk is dus nog of het systeem commercieel kan worden ingezet.

Met het op deze wijze leren van een wachtwoord wordt gebruikgemaakt van het niet-declaratieve, of impliciete, geheugen. Hierin worden dingen opgeslagen die geleerd zijn zonder dat daarbij het bewustzijn noodzakelijk is. Een voorbeeld is leren fietsen, waarbij herhaalde oefening tot betere prestaties leidt. Het impliciete geheugen wordt ook wel omschreven als 'muscle memory' en speelt onder andere een rol bij gaming, waarbij gamers bijvoorbeeld beter worden in het gebruik van een toetsenbord of controller.

Reacties (51)

Klopt helemaal, als ik mijn pincode op moet noemen moet ik daar over nadenken maar bij de invoer niet want dat is een patroon wat ik aanhoud, zelfde met bepaalde wachtwoorden van 16 nummers die ik niet uit mijn hoofd weet maar wel in kan voeren...

als ik goed nadenk kan ik die 16 nummers wel prima opnoemen, liefst wel met een numpad voor me neus zodat ik weet welke beweging welk nummer is

[Reactie gewijzigd door watercoolertje op 19 juli 2012 17:03]

Als je er over na gaat denken gaat het ook fout. Je moet het gewoon doen dan gaat het goed.
Ik heb hetzelfde probleem. Ik heb een keer minutenlang verbijsterd bij een spaanse pinautomaat gestaan want ik kon met geen mogelijkheid mijn pin herinneren. Ook als ik het "automatisch" probeerde in te toetsen leken mijn vingers te weigeren. Wat bleek nou... het numpad is daar precies gespiegeld aan de gebruikelijke numpads in nederland. Onderbewust had ik dat dus in de gaten maar het duurde even voordat de bewuste "ik" het ook door had :P
De numpads bij Nederlandse pinautomaten (en de random reader van de Rabobank) zijn inderdaad foutief. Ik blijf me er over verbazen dat dit door de testfase en goedkeuring gekomen is.Toetsenborden hadden al deze lay-out lang voordat er pinautomaten waren en dan ga je gewoon pinautomaten en randomreaders produceren met een andere layout... |:(
Haha vet.. Dat is me nooit opgevallen.. Ik type dat gewoon in..
wat is er foutief aan? ze hadden ook 1 2 3 naar onder kunnen doen.

Zolang het bankaire systeem voor consumenten 1 vorm aanhoud heb ik geen problemen, op mijn pc voer ik toch nooit een pincode in? Op me randomreader van de rabo wel, en bij de kassa van de buurtsuper. het is gewoon 1 beweging, ik kan me pin ook niet eens direct opnoemen. Je leert de beweging ipv de nummers :p (en met pc is het ook zo, ik kan blind typen, maar zal niet weten hoe de P en de O tegenover elkaar gepositioneerd zijn :Y) )
Idd. Wanneer ik blind typ, en de eerste letter voer ik verkeerd in, gaat vaak meteen de hele reeks (het hele woord of de zin) fout, omdat ik alles baseer op de eerste letter die ik dacht in te typen.

Maar het gaat zelfs nog verder. Wanneer ik de toetsen van mijn toetsenbord wel eens los haal om mijn toetsenbord te reinigen (is trouwens een aanrader voor de mensen die dit nooit doen, je wilt niet weten wat er allemaal tussen je toetsen terecht komt) en ik wil daarna de toetsen weer op mijn toetsenbord plaatsen en ik heb op dat moment geen voorbeeld, moet ik vaak even 'nep typen' om te weten waar ik de juiste toetsen moet plaatsen (er vanuit gaande dat ik qwertyuiop altijd wel eerst goed plaats).
Ik moet meerdere pincodes onthouden en ik heb ze dan ook vocaal in mijn geheugen staan, ik noem ze in mijn hoofd "hardop" Ik heb zo iets van 6 pincodes die ik weet.

Maar inderdaad de beweging hoort daar ook bij tijdens het intypen, maar ik moet wel van te voren bedenken wel pasje ik heb.
Met de korte pincodes heb ik dit ook, maar bij langere wachtwoorden zit het hem in de vingers hoor :)
Ja idd. Ik probeer vaak die controle codes van Rabobank blind in te voeren. Maar iedere keer zit ik weer verkeerd, omdat de 789 onder en 123 boven zitten. Het meest rare is dan weer wel dat de 0 onderin zit |:(
Is het je nooit opgevallen dat telefoons dezelfde indeling aanhouden? Ik zie het probleem niet zo.
De numpads bij Nederlandse pinautomaten (en de random reader van de Rabobank) zijn inderdaad foutief. Ik blijf me er over verbazen dat dit door de testfase en goedkeuring gekomen is.Toetsenborden hadden al deze lay-out lang voordat er pinautomaten waren en dan ga je gewoon pinautomaten en randomreaders produceren met een andere layout... |:(
Daar is niks foutief aan. Er zijn twee opties voor en her en der wordt een andere optie gekozen. Onze layout komt in de wereld evenvaak voor als die omgekeerde.
Hopelijk is dit niet voor online gebruik.... andres kom je straks in BelgiŰ of Duitsland in een internet cafe met andere keyboard layout...
Grappig, ik had ongeveer hetzelfde toen ik op vakantie was en mijn PIN-code van mijn mobiele telefoon ineens niet meer kon herinneren. Terwijl ik hem al een paar jaar probleemloos minimaal een keer per week intoetste. Blijkbaar was mijn hoofd letterlijk leeg aan het lopen (lees: ontspannen) dat ik het gewoon niet meer wist. Uiteindelijk is mijn telefoon geblokkeerd geweest en moest ik via internet PUK-code opvragen. |:(
Voelt aan alsof je echt dement aan het worden bent ineens.

[Reactie gewijzigd door Tjeerd op 19 juli 2012 17:40]

Het filosofische concept hierachter is tacit knowledge (onbewuste kennis). Kennis die je niet (makkelijk) kunt overdragen op conventionele wijze, omdat ze afhankelijk is van een (of meerdere) praktische situatie(s).
quote: Wikipedia
Tacit knowledge (as opposed to formal or explicit knowledge) is the kind of knowledge that is difficult to transfer to another person by means of writing it down or verbalising it. For example, stating to someone that London is in the United Kingdom is a piece of explicit knowledge that can be written down, transmitted, and understood by a recipient. However, the ability to speak a language, use algebra,[1] or design and use complex equipment requires all sorts of knowledge that is not always known explicitly, even by expert practitioners, and which is difficult to explicitly transfer to users.
http://en.wikipedia.org/wiki/Tacit_knowledge
Niet helemaal juist. Tacit knowledge slaat op het feit dat je het niet uit boeken kunt leren, maar dat je het face to face (in contact met andere mensen) moet leren. Het gaat dus om de manier van kennisoverdracht. In dit geval kan je het jezelf makkelijk aanleren en hoeft er helemaal geen kennisoverdracht te zijn.
oftewel, al doende leert men :D

Ik heb wel vaak gehad dat ik iets niet kan uitleggen maar als je het gewoon gaat doen komt alles vanzelf op zijn plek.
Ik weet mijn bankrekeningnr. en mijn BSN (sofinummer) gewoon uit m'n hoofd. Allebei 9 cijfers, maar die hoef ik niet met regelmaat in te typen; ik heb ze tot nu toe vaker met pen in moeten vullen dan dat ik ze ingetypt heb, wat natuurlijk wel een verschil maakt.
Ik weet mijn bankrekeningnr. en mijn BSN (sofinummer) gewoon uit m'n hoofd. Allebei 9 cijfers, maar die hoef ik niet met regelmaat in te typen; ik heb ze tot nu toe vaker met pen in moeten vullen dan dat ik ze ingetypt heb, wat natuurlijk wel een verschil maakt.
Probeer die nummers eens in een andere taal op te noemen. Dat nekt mij altijd. Ik ken ook m'n sofinummer, gironummer, telefoonnummer etc uit m'n hoofd maar als ik ze in 't engels op moet noemen (ook al spreek ik dat vloeiend) moet ik daar verdacht hard over nadenken. Omdat ik eigenlijk gewoon een riedeltje opnoem. Wat dan dus opeens anders is.
Het lijkt me dat de zwakke schakel niet zit bij de wachtwoorden maar bij de gebruiker en de server. De gebruiker kiest uiteindelijk het wachtwoord. Dagelijks worden databases gehacked en gelukkig zijn het vaak enkel hashes die gevonden worden. Echter als iedereen hetzelfde, simpele wachtwoord gebruikt voor belangrijke zaken, dan maakt het weinig uit of het een wachtwoord is van 30 tekens of 4 tekens.

Gebruikers moeten attent gemaakt worden op het wisselen van paswoorden of een niet makkelijk te raden systeem te gebruiken en servers moeten veilige manieren van identificatie gebruiken.

[Reactie gewijzigd door Phuncz op 19 juli 2012 17:03]

Beetje vreemde reactie, hierbij kiest de gebruiker dus juist niet zijn eigen wachtwoord. Hij kan het dus ook niet overdragen aan iemand anders en hij kan het ook niet gebruiken voor andere systemen waar hij moet inloggen. Dus al de problemen die jij opsomt worden opgelost door dit systeem.

(En natuurlijk gaat dit systeem erg ver en is hooguit geschikt voor militaire toepassingen of beveiliging van kerncentrales enzovoorts)
Doet me denken aan Inception.

Heel eigenaardig dat de hersenen dit kunnen zonder hiervan te weten.
Heel eigenaardig dat de hersenen dit kunnen zonder hiervan te weten.
Vind je? Ik vindt dat juist mee vallen, bij iets van 5% van wat je ziet denk je bewust iets bij, die andere 95% wordt gewoon opgeslagen ookal heb je daar geen gedachten over en zou met de juiste vragen of hypnose zo uit iemand te halen...

Ik bedoel als je iemand moet beschrijven die je 1 keer hebt gezien weet je altijd veel meer dan je dacht, en daar heb je eigenlijk het antwoord al. Er zit meer (kennis) in je dan je denkt :P

Klinkt inderdaad beetje inception achtig, daarom was die film ook zo goed (en erg ingewikkeld de eerste keer) er zit namelijk wel een kern in, behalve dan dat je niet zomaar iemand in je droom mee kan nemen en daarin weer gaat dromen enz :P

[Reactie gewijzigd door watercoolertje op 19 juli 2012 17:10]

Zelfde geldt toch voor hartslag, ademhaling, bloeddruk, suikerspiegel, hormonenspiegel, spijsvertering, immuunsysteem, groei, productie zaad/eicellen, etc etc...

Allemaal dingen die volledig automatisch gebeuren zonder dat we het zelfs maar beseffen (tot er iets mis gaat). Moesten we al deze dingen bewust moeten controleren zouden we gewoon overspoeld worden door informatie. Vandaar dat er (grote) delen van de hersenen zijn die in dat opzicht autonoom van ons bewustzijn handelen. Moesten ze een wachtwoord kunnen opslaan op dezelfde manier als iemand leert fietsen zou het dus mogelijk kunnen zijn om na tientallen jaren toch nog (na een beetje oefenen) binnen te geraken.
Sterker nog je hart klopt zonder je hersenen. Enige dat je hart nodig heeft is vocht en zout en het klopt al. Er is in een of ander lab in nederland een konijnen hart dat al 5 jaar klopt zonder lichaam er om heen alleen met water en zout.
Iedereen die piano speelt, zal weten dat je een stuk vaak 'in de vingers' hebt zitten, zonder dat je bewust weet welke noten je speelt. Het is gewoon een vloeiende beweging, die je door oefening perfect kunt herhalen.

Datzelfde principe wordt hier ook gebruikt.
Ja eigenlijk zijn de hersenen een soort computer, 80% van de capaciteit gebruiken we niet!
We gebruiken wel degelijk de volledige capaciteit van onze hersenen. Alleen niet alle hersendelen zijn altijd tegelijk actief en lang niet alles dringt door tot het bewustzijn.
Dat verhaal dat 80% niet gebruikt wordt is een fabeltje dat helemaal nergens op gebaseerd is.
Lijkt eerlijk gezegd waardeloos als wachtwoord systeem. Als ik het goed begrijp moet je het spel dus elke keer spelen om te bewijzen dat je het wachtwoord kent en hoe goed je het speelt bewijst dan of je het wachtwoord al kende? Wat nou als de ene persoon meer aanleg voor het spel dan de ander? Dan denkt het systeem toch misschien ten onrechte dat iemand een patroon herkent, terwijl z'n reactiesnelheid gewoon goed is?
Edit: je hebt gelijk :)

[Reactie gewijzigd door Da-WiZZy0n op 20 juli 2012 12:57]

right back at ya:
Zo zijn lange gamesessies nodig om het wachtwoord te leren en in te voeren.
Kan natuurlijk ook niet anders, het gaat JUIST om een wachtwoord dat je niet bewust kent en DUS alleen onbewust kan invoeren via dat spelletje.
off topic: we gebruiken 100% van onze hersenen! Dat we minder gebruiken (10% of zo) is een hardnekkige myte. We gebruiken misschien maar 10% van onze hersenen voor intelligentie, maar er is zo veel mee: geur, zien, emoties, een bewustzijn (ik denk en daarom ben ik) enz!
Het was toch al veel eerder bewezen dat 'bewegingspatronen' makkelijker zijn te onthouden dan de 'input' zelf? Kan me het onderzoek nog herinneren van mensen die vloeiend piano-stukken konden spelen, maar toen ze vroeger dit op te schrijven waren ze wel eventje bezig, sommige moesten continue stukjes naspelen om de noten te vinden.

Ik heb zelf ook aantal wachtwoorden die ik niet op kan schrijven, maar puur weet uit het 'patroon' dat ik op het toestenbord type.
En hoe zit het met veiligheid? Het wachtwoord wordt serverside gegenereerd en onversleuteld opgeslagen. Als het wel versleuteld is zou het onmogelijk moeten zijn mij dat wachtwoord nog aan te leren, toch?
dit is erg leuk / goed systeem ik zou het willen proberen voor bepaalde dingen.
wel moet je het wachtwoord dan snel kunnen invoeren. en niet eerst 2 minuten spelen voordat je inlogt.

ook is dit minder handig als je moe / dronken / ect bent
Dus over een paar jaar heeft iedereen een Guitar Hero liedje als password?
hiiervan kreeg ik een glimlach. doet me denken aan die aflevering van southpark met guiatar hero op dat terras xD

Op dit item kan niet meer gereageerd worden.