Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 103, views: 40.653 •

Google vindt dat wachtwoorden niet langer voldoende zijn om gebruikers veilig te houden en experimenteert met alternatieve authenticatiemethoden. Een van de voorstellen van het bedrijf is om kleine persoonlijke usb-keys te gebruiken.

"Net als veel mensen in de ict-sector vinden we dat wachtwoorden en simpele tokens als cookies niet langer voldoende zijn om gebruikers veilig te houden", zeggen beveiligingstopman Eric Grosse en ontwikkelaar Mayank Upadhyay in een onderzoeksdocument dat later deze maand in het blad IEEE Security & Privacy Magazine zal verschijnen. In het document, waarover Wired bericht, onthullen de twee alternatieven waar Google aan werkt.

Een van die authenticatiemethodes betreft de YubiKey: een kleine usb-key die een one time password kan sturen naar applicaties die de methode ondersteunen. Google heeft zijn Chrome-browser bij experimenten aangepast om de YubiKey te ondersteunen. Naast dit soort keys denkt Google aan smartphones als authenticatie-hardware om in te loggen in je online account.

De Google-medewerkers stellen dat in de toekomst dit soort hardware noodzakelijk is: "We zouden graag zien dat je smartphone of sleutelhanger met geïntegreerde smartcard gebruikt wordt om een nieuwe computer te authorizeren door middel van een enkele aanraking, zelfs als je smartphone geen bereik heeft."

Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen. Nadeel is dat websites de methode moeten ondersteunen. Hiervoor heeft Google een, naar eigen zeggen, onafhankelijk protocol ontwikkeld. Hiervoor zou geen speciale software nodig zijn en het zou voorkomen dat websites gebruikers online volgen. Een ander, niet onbelangrijk, nadeel is dat de gebruiker zeer kwetsbaar is als hij zijn hardware-authenticatie verliest.

Reacties (103)

Reactiefilter:-1103096+180+26+31
Volgens mij zal de smartphone straks de beveiliging worden. Er zal een secure element in de hardware worden toegevoegd en via NFC tikken we de telefoon dan tegen een ander apparaat (ook met NFC) om in te loggen. Afhankelijk van WAAR we op inloggen kun je per doel nog instellen of extra beveiliging nodig is zoals bijvoorbeeld:
- een PIN code of wachtwoord (daarna nog een keer tikken om te versturen)
- tijd controle (bijvoorbeeld niet tussen 0:00 en 6:00)
- locatie controle (bijvoorbeeld alleen op je werk of niet buiten Nederland)

Ik kan me zo voorstellen dat een partij als Google standaard 3 niveaus van veiligheid aanmaakt: laag, middel en hoog. Je kunt dan zelf kiezen welke je per doel kiest en bij hoge beveiliging krijg je te maken met extra regels. Hoog gebruik je bijvoorbeeld voor zaken als bankieren, DigID, EPD, etc. Gemiddeld voor je e-mail, sociale netwerken, toegang tot je huis, werk, etc. En laag voor het inloggen op websites.

En als je je smartphone kwijt bent dan blokkeer je je smartphone (bijvoorbeeld via telefoon of internet via speciale blokkeerprocedure). Als je dan een nieuwe hebt (of de oude weer hebt gevonden) dan zul alle "onderdelen" weer terug kunnen installeren. Ik denk dat de digitale portemonee hier ook onderdeel in wordt dus dan is het logisch dat je dit doet op een trusted place na legitimatie (bijvoorbeeld bij een bank of telecom winkel). Die zullen dan van die NFC schaaltjes hebben waar je je smartphone inlegt en op deze manier wordt de beveiliging opgebouwd. Na controle van je identiteit voer je dan je security recovery wachtwoord in en wordt het hersteld.

Er zal eerst nog een digitale identiteitscrisis uit moeten breken voordat mensen zich bewust worden hoe belangrijk het is om jezelf goed te beveiligen. Ik ken nog heel veel mensen die al jarenlang hetzelfde wachtwoord gebruiken voor alles en mij dit zomaar vertellen. Met slechte bedoelingen kan ik hun leven ruÔneren maar dat kunnen ze zich gewoon niet voorstellen.

[Reactie gewijzigd door robertwebbe op 19 januari 2013 10:52]

Dan zal YubiKey binnenkort wel worden overgenomen :P. Ik zie meer in een NFC oplossing i.c.m. GSM en wachtwoord op je GSM. Of stemherkenning/gezichtsherkenning op je GSM :P.
De GSM heeft 2 grotere problemen die verhinderen voor authenticatie geschikt te zijn. 1] De grote kans dat de battery weleens leeg is. 2] De grote hoeveelheid lekke software de op een moderne smartphone aanwezig kan zijn.
1) De GSM zal een bepaalde batterijcapaciteit reseveren voor NFC toepassingen. Je hebt dan geen volledige functionaliteit meer maar de meest belangrijke zaken kunnen dan nog wel plaatsvinden.

2) Alle techniek kan gekraakt worden. Een online smartphone met security enhancements biedt per definitie meer veiligheid. En de smartphone kan geupdate worden als er onveiligheden zijn.
2a, iets wat online "veiliger" kan worden kan ook online onveiliger worden, bij veiligheid moet je van het ergste uitgaan dus zal het er per definitie juist onveiliger van worden. Mensen hechten een te sterk geloof aan updates, updates zijn geen verbeteringen maar reparaties van fouten die er eigenlijk niet eens in hadden mogen zitten, ze maken het Product dus hoogstens minder slecht. Een smartphone die geen updates nodig heeft is beter dan 1 die wekelijks een update ontvangt. Het gaat hier om een sleutel toepassing, dan is onbeschrijfbare hardware die bij een lek vervangen moet worden beter dan iets dat alle kanten op gepatched kan worden.
Alsjeblief geen apparaatje zeg! Dat is gedoemd om kwijt te raken, super onhandig. Welk probleem wordt hier nou eigenlijk mee opgelost, want gaat het in de praktijk zo vaak mis met wachtwoorden - mits mensen er enigszins voorzichtig mee om gaan?
Voor mensen die op publieke computers hun bank etc checken is het handig. Maar wees gewoon verstandig en doe dat soort onzin niet en klik ook gewoon niet op links die je niet kent al komt het van je buurman
Waarom is het niet mogelijk om mijn huissleutel of kluissleutel in een soort universele lezer te stoppen, die de omvang en dikte ed omrekent naar een binaire code? Een soort cardreader maar dan voor je sleutel. Dan heb ik minder kans dat ik een USB apparaatje kwijt raak en heb hem altijd bij me.
We hebben op kantoor ook gespeeld met de Yubikey en het werkt briljant ... als je een usb-poort binnen bereik hebt; Onze presentaties worden via een mediacenterachtige oplossing gegeven, maar dat apparaat hangt zo ongeveer aan het plafond. We zijn nu aan het experimenteren met de two-factor authentication van DUO: https://www.duosecurity.com/ Via een push-notificatie, sms of telefoontje wordt je geauthoriseerd nadat je een correct gebruikersnaamwachtwoordcombinatie hebt ingegeven. Je telefoon heb je eigenlijk altijd bij de hand.
De veiligheid van een wachtwoord zit niet in de complexiteit, maar in de lengte. Een mens kan een wachtwoord moeilijk maken met speciale tekens e.d. maar voor een brute force attack maakt het echt geen drol uit of er een a of een @ staat...

Neem een lomp lang wachtwoord opgebouwd uit makkelijk te onthouden onsamenhangende korte woorden. 'paardhuisbipskaasregenvorkkuiken' is een sterker wachtwoord dan '1993S@mm!3' o.i.d. en nog steeds praktischer dan een of andere USB-key die je mee moet nemen en kwijt kan raken.

Een apparaatje of andere fysieke authenticatie zal bepaalde vormen van criminaliteit ook alleen maar in de hand werken. Er zal een criminele stroming zich puur op deze fysieke authenticaie gaan richten, net als er nu met creditcards e.d. gebeurt...
Compleet mee eens mensen zouden veel langere wachtwoorden moeten gebruiken.
En sites moeten dat ook mogelijk gaan maken, niet bij iedereen mag je meer dan 16 karakters gebruiken.
Kijk bij apple eerst je wachtwoord met hoofdletter en cijfer daarna vraagt het jou een paar vragen om er zeker van te zijn dat jij het bent maar ook daar moet je wat mooiers van maken dan van pietje en auto
Het zit 'm in de combinatie van:
neem het wachtwoord 'hoi' en gegeven is dat alleen lowercase alfabet characters gebruikt wordt, dan is het aantal combinaties 26^3, doe je hier 1 character bij dan is dat 26^4. Maar als je het feit veranderd dat je niet alleen lowercase alfabet characters gebruikt (voorbeeld wacthwoord: 'H0!') dan moet je dus een set nemen van ongeveer:
- 26 lowercase characters
- 26 uppercase characters
- 10 cijfers
- ongeveer 30 speciale characters op je keyboard
en veranderd het aantal combinaties naar 92^3.

Begrijp me niet verkeerd, je hebt zeker gelijk dat de lengte uiteindelijk de belangrijkste rol speelt. Maar dan moet die lengte ook significant groot zijn dat het aantal characters in je set niet meer uit maakt, en dit maakt vrij veel uit bij wachtwoorden van 1-30 characters lang (wat een gemiddeld wachtwoord toch wel lang is).

Let ook op: dit is allemaal onder de aanname dat je brute-force gebruikt, er zijn meer methodes om wachtwoorden te genereren en raden.
Maar de aanvaller weet niet of jouw wachtwoord 'hoi' of 'H0!' is en zal dus uitgaan van de bijna volledige volledige ascii range. Dus ook de diakritische tekens (umlauts, tremas, cedille, tilde, etc).

Als je een wachtzin ipv wachtwoord (SSH vraagt niet voor niets om een passPHRASE) gebruikt dan krijg je over het algemeen al een mis van karakters. 'Ik verhuis morgen naar BelgiŽ' is veel sterker dan menig wachtwoord via een password generator. Websites welke de lengte van je wachtwoord beperken, bewaren het wachtwoord vaak op een manier zodat de plain-text versie is terug te krijgen. Soms wordt het echt in plain-text opgeslagen, andere websites encrypten het wachtwoord naar de database.

Websites welke alleen werken met een hash van het wachtwoord hebben geen reden om de lengte te beperken omdat ongeacht de lengte, de lengte van een SHA1 hash altijd 20 bytes (40 in hex-printable format) zal zijn.

Een veelgebruikt karakter (in Europa) buiten de standaard en extended ascii range is het euro teken, maar zit wel op de meeste toetsenborden. 'H0!Tw§akers' is een wachtwoord waar de meeste crackers niet uitkomen binnen 72 uur. Hackers willen zoveel mogelijk accounts binnen een zo kort mogelijke tijd verzamelen.

Een veel groter probleem is het grote aantal websites welke nog steeds MD5 hashes gebruikt zonder een salt. Als zo'n lijst op internet (pastebin) terecht komt is het vrij eenvoudig om daarop een rainbow table los te laten. Met sql-injection is het vrij eenvoudig om een aan een lijst van gebruikers gegevens te komen. Meestal hoeft je niet verder te zoeken dan 'users', 'user', 'tblUser' of 'tblUsers'. Zijn de wachtwoorden netjes gehashed, dan zal de hackers meestal een enkel wachtwoord proberen te achterhalen via rainbow tables en dan dan controleren of daarmee ingelogd kan worden. Als dat niet werkt gebruik de website een salt. Veel hackers registeren zich dan bij zo'n website zodat ze al het wachtwoord weten. Vervolgens is niet niet meer zo moeilijk om dan via de brute-force methode de salt te achterhalen. Vervolgens bouw je een nieuwe rainbow table aan de hand van je salt. Vervolgens controleer je bij elke gegenereerde hash of je een match hebt. Hoe langer de lijst met accounts, hoe sneller je een match zult vinden. Werkt de login voor de gevonden match ook niet dan gebruikt men een salt per user.

Hackers zullen veel meer moeite doen om hashes met user-salts te genereren als het om een gebruikers lijst gaat van een bank of overheids instelling dan van een forum..
Authenticatie via telefoon hoeft helemaal niet met NFC hoor, mobile ID doet dat met een speciale SIM-kaart: http://e-estonia.com/components/mobile-id
Als je gewoon oplet wat je doet met je computer heb je dit soort onzin niet nodig
Google heeft inmiddels al Google Authenticator waarmee je een twee-stap authenticatie kunt gebruiken via een random code op je (Android) smartphone. Dit werkt bijvoorbeeld bij Gmail maar ook bij Lastpass.
Inderdaad, blizzard authenticator werkt via hetzelfde principe, Bij gebruik van bijvoorbeeld het rmAH op diablo3 is zelfs een extra layer of protection via sms vereist.
Helaas zie je ook al 2 factor malware verschijnen, zo is er een ZEUS variant die de 2e factor van de ING afvangt... (sms met TAN)

Ik vind de smartphone dan ook ongeschikt als 2e factor omdat de smartphone too smart is en te veel aanvals factoren kent.
De naam telefoon doet het apparaat te kort maar ook de manier waarop mensen er naar kijken en security technisch mee omspringen.

De 2e al dan niet technische factor moet as dumb as possible zijn en al helemaal geen eigen internet verbinding hebben. Hiermee wordt het aantal factoren waarop de 2e factor te compromiteren is zo klein mogelijk.
Het idee is leuk, maar ik zou het meer als aanvulling gebruiken dan als vervanging.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneApple iOS 8

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013