Google stelt usb-key voor als alternatief voor wachtwoord
Google vindt dat wachtwoorden niet langer voldoende zijn om gebruikers veilig te houden en experimenteert met alternatieve authenticatiemethoden. Een van de voorstellen van het bedrijf is om kleine persoonlijke usb-keys te gebruiken.
"Net als veel mensen in de ict-sector vinden we dat wachtwoorden en simpele tokens als cookies niet langer voldoende zijn om gebruikers veilig te houden", zeggen beveiligingstopman Eric Grosse en ontwikkelaar Mayank Upadhyay in een onderzoeksdocument dat later deze maand in het blad IEEE Security & Privacy Magazine zal verschijnen. In het document, waarover Wired bericht, onthullen de twee alternatieven waar Google aan werkt.
Een van die authenticatiemethodes betreft de YubiKey: een kleine usb-key die een one time password kan sturen naar applicaties die de methode ondersteunen. Google heeft zijn Chrome-browser bij experimenten aangepast om de YubiKey te ondersteunen. Naast dit soort keys denkt Google aan smartphones als authenticatie-hardware om in te loggen in je online account.
De Google-medewerkers stellen dat in de toekomst dit soort hardware noodzakelijk is: "We zouden graag zien dat je smartphone of sleutelhanger met geïntegreerde smartcard gebruikt wordt om een nieuwe computer te authorizeren door middel van een enkele aanraking, zelfs als je smartphone geen bereik heeft."
Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen. Nadeel is dat websites de methode moeten ondersteunen. Hiervoor heeft Google een, naar eigen zeggen, onafhankelijk protocol ontwikkeld. Hiervoor zou geen speciale software nodig zijn en het zou voorkomen dat websites gebruikers online volgen. Een ander, niet onbelangrijk, nadeel is dat de gebruiker zeer kwetsbaar is als hij zijn hardware-authenticatie verliest.
Reacties (103)
Sorry, maar als je het artikel leest dan zie je ook dat ze het over de YubiKey hebben. 
Verder denk ik dat zoiets redelijk een toekomst kan worden, mits goed geïmplementeerd. Het menselijk brein is gewoonweg te zwak om fatsoenlijke wachtwoorden te onthouden - en sommige willen/doen dat niet eens. Voordeel dan hieraan is dat er dus een "heel groot" wachtwoord opgeslagen kan worden. Ik ben wel benieuwd wat ze voor oplossing gaan bedenken als je de hardware kwijt bent. Ik zie een nieuwe CA tot leven komen?
Verder denk ik dat zoiets redelijk een toekomst kan worden, mits goed geïmplementeerd. Het menselijk brein is gewoonweg te zwak om fatsoenlijke wachtwoorden te onthouden - en sommige willen/doen dat niet eens. Voordeel dan hieraan is dat er dus een "heel groot" wachtwoord opgeslagen kan worden. Ik ben wel benieuwd wat ze voor oplossing gaan bedenken als je de hardware kwijt bent. Ik zie een nieuwe CA tot leven komen?
"Het menselijk brein is gewoonweg te zwak om fatsoenlijke wachtwoorden te onthouden" Ik weet niet hoever jij al achteruit gaat in je hoofd maar hier gaat het nog altijd goed om 14teken wachtwoorden te onthouden
Je kan ook gewoon een heel lang maar makkelijk te onthouden wachtwoord verzinnen. Een wachtwoord als "DieKlotebuurManVanHiernaastLultookAlleenMaarOverHetWeer" is net zo veilig als "OjRd4#Hgja@3B7".. Het verschil is dat het eerste veel sneller te typen en te onthouden is.
(edit: #tweakerssyndroom ff verwijderd
)
(edit: #tweakerssyndroom ff verwijderd
)[Reactie gewijzigd door Glashelder op zaterdag 19 januari 2013 12:08]
Leuk voorstel, helaas kan de helft van de websites dit niet aan.
Ik gebruik zelf al ruim twee jaar een yubikey + lastpass. Het enige wat mijn wachtwoorden minder veilig maakt is het feit dat webmasters het wachtwoord limiteren tot bijvoorbeeld 12 karakters (standaard) of enkel cijfers + letters.
Nergens voor nodig, en ik gebruik normaliter strings van 22 tot 32 karakters (letters, cijfers, specials, lengte ook random)
EDIT: En ik loop er nu ook weer tegen aan op Bol.com. Ding geeft niet eens aan te lang; de error is gewoon "moet meer dan 6 tekens zijn". Maximaal 12 blijkbaar.
ICScards.com (ABN) max 10, geen specials.
Ik gebruik zelf al ruim twee jaar een yubikey + lastpass. Het enige wat mijn wachtwoorden minder veilig maakt is het feit dat webmasters het wachtwoord limiteren tot bijvoorbeeld 12 karakters (standaard) of enkel cijfers + letters.
Nergens voor nodig, en ik gebruik normaliter strings van 22 tot 32 karakters (letters, cijfers, specials, lengte ook random)
EDIT: En ik loop er nu ook weer tegen aan op Bol.com. Ding geeft niet eens aan te lang; de error is gewoon "moet meer dan 6 tekens zijn". Maximaal 12 blijkbaar.
ICScards.com (ABN) max 10, geen specials.
[Reactie gewijzigd door kjast op zaterdag 19 januari 2013 12:21]
Ja, ICScards is inderdaad kras... Ik heb ze overigens een jaar geleden als eens gemaild dat ik - vooral bij een financiele site - daar niet echt blij over was, maar behalve een standaard reactie gebeurt er toch niets.
Ik heb mijn sterke wachtwoord speciaal voor die site moeten "downgraden" naar 10 characters zonder speciale tekens.
Ik heb mijn sterke wachtwoord speciaal voor die site moeten "downgraden" naar 10 characters zonder speciale tekens.
sorry maar dat wachtwoord zou er bij mij mogelijk al binnen een dag op sneuvelen wegens dictionarie atack... en hoofdletters en l33t speak zullen dan ook niet werken.
op over rainbow tables maar te zwijgen, dat jij misschien nog in staat bent om voor elke site een ander zinnetje te gebruiken mijn kennis heeft voor van google tot pc en van telefoon tot bank gegevens 1 en het zelfde wachtwoord. en met geen leger aan mensen die anders proberen te pushen krijgen we d'r zover om meer complexe wachtwoorden te handhaven.
op over rainbow tables maar te zwijgen, dat jij misschien nog in staat bent om voor elke site een ander zinnetje te gebruiken mijn kennis heeft voor van google tot pc en van telefoon tot bank gegevens 1 en het zelfde wachtwoord. en met geen leger aan mensen die anders proberen te pushen krijgen we d'r zover om meer complexe wachtwoorden te handhaven.
Ik denk dat je enkele dingen over het hoofd ziet.
Een ditcionary attack werkt bij een enkel woord, wanneer je een zin gebruikt gaat de kans om gevonden te worden sterk achteruit. Tenslotte moeten niet alleen de juiste woorden gevonden worden, maar ook nog de juiste volgorde, de juiste taal (combinatie van talen?), combinaties met of zonder spaties, hoofdletters, enzovoort?
Wil je toch een sterker paswoord kan je nog altijd een woord opzettelijk verkeerd spollen.
Deze laatste zin even door http://howsecureismypassword.net/ gehaald, met het volgende resultaat:
It would take a desktop PC about 325 septillion quadragintillion years to crack your password.
Length: 90 characters
Character Combinations: 71
Calculations Per Second: 4 billion
Possible Combinations: 41 trillion quinquagintillion
Toegegeven, die berekening gaat over een brute force methode. Maar het geeft je wel een idee.
Een ditcionary attack werkt bij een enkel woord, wanneer je een zin gebruikt gaat de kans om gevonden te worden sterk achteruit. Tenslotte moeten niet alleen de juiste woorden gevonden worden, maar ook nog de juiste volgorde, de juiste taal (combinatie van talen?), combinaties met of zonder spaties, hoofdletters, enzovoort?
Wil je toch een sterker paswoord kan je nog altijd een woord opzettelijk verkeerd spollen.
Deze laatste zin even door http://howsecureismypassword.net/ gehaald, met het volgende resultaat:
It would take a desktop PC about 325 septillion quadragintillion years to crack your password.
Length: 90 characters
Character Combinations: 71
Calculations Per Second: 4 billion
Possible Combinations: 41 trillion quinquagintillion
Toegegeven, die berekening gaat over een brute force methode. Maar het geeft je wel een idee.
Met quantum computing gaat dat straks een stuk makkelijker. Dan maakt het aantal karakters ook niet meer uit.
Open deurtje! Moeten we natuurlijk wel eerst nog even op wachten. Dan maakt inderdaad geen enkele beveiliging van tegenwoordig meer uit.
Toch een stukje hardware in gaan zetten dan... Liever nu ontwikkelen dan wanneer het te laat is.
Google is op dit punt dus nog niet zo heel gek bezig.
Ik kan ook niet wachten tot ze dit implementere, maar dan alleen als de HW key klein genoeg is om in mijn portemonee te steken.
Plus dat bij aansluiten van de key een master wachtwoord van minimaal 15 tekens nodig moet zijn. Dan kan de willekeurige zakkenroller er ook niks mee.
[dit zeggende met een 22-tekens lang wachtwoord in mijn wifi-router thuis]
Google is op dit punt dus nog niet zo heel gek bezig.
Ik kan ook niet wachten tot ze dit implementere, maar dan alleen als de HW key klein genoeg is om in mijn portemonee te steken.
Plus dat bij aansluiten van de key een master wachtwoord van minimaal 15 tekens nodig moet zijn. Dan kan de willekeurige zakkenroller er ook niks mee.
[dit zeggende met een 22-tekens lang wachtwoord in mijn wifi-router thuis]
Dat is natuurlijk niet geheel waar. Dat gaat alleen op voor encryptie, niet voor het proberen van wachtwoorden op een website.Met quantum computing gaat dat straks een stuk makkelijker. Dan maakt het aantal karakters ook niet meer uit.
Deels is de encriptie natuurlijk onderhevig aan de rekensnelheid. Meer brute rekenkracht zal zeker een sneller resultaat hebben als de bandbreedte van de verbinding het toelaat EN de server kwantumsnelheid heeft. Een 56-k modem zal uiteraard een belemmering vormen, maar 1000Mb kabelverbinding zal ongetwijfeld een groot deel van de benodigde snelheid kunnen verwerken.Dat is natuurlijk niet geheel waar. Dat gaat alleen op voor encryptie, niet voor het proberen van wachtwoorden op een website.
Ja, dergelijke lange paswoorden zijn prima. Moeilijk te kraken voor een computer, en makkelijk te onthouden voor een mens. En nu voor die 50 sites waar je af en toe moet inloggen een dergelijk wachtwoord verzinnen (allemaal een ander natuurlijk), en elke zoveel maanden het wachtwoord veranderen.
En probeer het nu nog eens te onthouden
En probeer het nu nog eens te onthouden
Het spijt me, maar als er gebruik wordt gemaakt van rainbow tables is "DieKlotebuurManVanHiernaastLultookAlleenMaarOverHetWeer" veel minder veilig dan "OjRd4#Hgja@3B7".
Type het een paar keer in en je weet het.
Gebruik hier meerdere random gegenereerde 16 karakter wachtwoorden, als ik die steeds zou moeten opzoeken komt er weinig af...
Gebruik hier meerdere random gegenereerde 16 karakter wachtwoorden, als ik die steeds zou moeten opzoeken komt er weinig af...
euh... nee.
Ik ben even te lui om het uit te leggen dus ik verwijs naar hier:
http://security.stackexch...ong-dictionary-passphrase
Waar het ongetwijfeld beter uit gelegd staat,
De enige kanttekening is wel dat veel bcrypt (http://en.wikipedia.org/wiki/Bcrypt) implementaties maar een bepaalde lengte meenemen en dus entropie weggooien bij het genereren van de hash.
Ik ben even te lui om het uit te leggen dus ik verwijs naar hier:
http://security.stackexch...ong-dictionary-passphrase
Waar het ongetwijfeld beter uit gelegd staat,
De enige kanttekening is wel dat veel bcrypt (http://en.wikipedia.org/wiki/Bcrypt) implementaties maar een bepaalde lengte meenemen en dus entropie weggooien bij het genereren van de hash.
http://howsecureismypassword.net/
1 dag....
begin eerst maar eens met 16 karakters
1 dag....
begin eerst maar eens met 16 karakters
[Reactie gewijzigd door BramV op zaterdag 19 januari 2013 14:57]
Ik heb ook een zooi passwords die willekeurige nonsens zijn (ooit door password reset aangemaakt, toen blijven gebruiken + voor meerdere dingen) zo heb ik er nu al een stuk of 7,8 in mijn hoofd die ik best aan elkaar zou kunnen plakken.
Overigens zou je net zo makkelijk een serienummer van je toetsenbord/monitor/muis o.i.d. kunnen gebruiken. De Forget Password optie heb je dan letterlijk binnen handbereik.
Overigens zou je net zo makkelijk een serienummer van je toetsenbord/monitor/muis o.i.d. kunnen gebruiken. De Forget Password optie heb je dan letterlijk binnen handbereik.
[Reactie gewijzigd door ItsNotRudy op zaterdag 19 januari 2013 23:08]
IMEI nummer van je telefoon?
Wel een sterk wachtwoord als je er ook nog een paar letters tussen kunt voegen. Bijvoorbeeld in drie delen de letters van het merk/type in omgekeerde volgorde.
Altijd een wachtwoord bij de hand. Kun je ook in verschillende volgorden aan elkaar koppelen.
Bijkomend voordeel: mocht je telefoon worden gestolen, ken je waarschijnlijk het IMEI uit je hoofd om te kunnen laten zoeken via de torens van telco's.
Wel een sterk wachtwoord als je er ook nog een paar letters tussen kunt voegen. Bijvoorbeeld in drie delen de letters van het merk/type in omgekeerde volgorde.
Altijd een wachtwoord bij de hand. Kun je ook in verschillende volgorden aan elkaar koppelen.
Bijkomend voordeel: mocht je telefoon worden gestolen, ken je waarschijnlijk het IMEI uit je hoofd om te kunnen laten zoeken via de torens van telco's.
[Reactie gewijzigd door Beesje op maandag 21 januari 2013 10:45]
Mijn wachtwoorden hebben 30 tot 40 tekens. Zou ze nog veel langer kunnen maken maar dat duurt zo lang met invoeren.
Je kan prima extreem lange en complexe wachtwoorden onthouden, je moet gewoon een ezelsbruggetje gebruiken. Bijvoorbeeld een zin met willekeurige woorden die leuk klinkt + wat cijfers en tekens. Zeer moeilijk tot niet te kraken.
bv iets compleet raars:
{People play well with pron power in prague1900&^}
50 tekens, makkelijk te onthouden. Praktisch onmogelijk om te kraken. 1 duotrigintillion combinaties (wat voor getal dat dan ook mag zijn). http://howsecureismypassword.net/
Probeer daar maar eens tegen op te komen met die auto generated, moeilijk te onthouden korte codes.
Nee, wat echt een issue is, is het feit dat er veel plekken zijn waar je restricties op het wachtwoord wordt opgelegd. Bv alleen een paar teken reeksen of dat het wachtwoord niet langer dan 10 tekens mag zijn. Hoe bedoel je onveilig?
Je kan prima extreem lange en complexe wachtwoorden onthouden, je moet gewoon een ezelsbruggetje gebruiken. Bijvoorbeeld een zin met willekeurige woorden die leuk klinkt + wat cijfers en tekens. Zeer moeilijk tot niet te kraken.
bv iets compleet raars:
{People play well with pron power in prague1900&^}
50 tekens, makkelijk te onthouden. Praktisch onmogelijk om te kraken. 1 duotrigintillion combinaties (wat voor getal dat dan ook mag zijn). http://howsecureismypassword.net/
Probeer daar maar eens tegen op te komen met die auto generated, moeilijk te onthouden korte codes.
Nee, wat echt een issue is, is het feit dat er veel plekken zijn waar je restricties op het wachtwoord wordt opgelegd. Bv alleen een paar teken reeksen of dat het wachtwoord niet langer dan 10 tekens mag zijn. Hoe bedoel je onveilig?
Ik ben verbaasd dat nog niemand deze strip van XKCD heeft gelinked: http://xkcd.com/936/"Het menselijk brein is gewoonweg te zwak om fatsoenlijke wachtwoorden te onthouden"
Waar het op neerkomt is dat ons jarenlang is geleerd dat een moeilijk wachtwoord ook een goed wachtwoord zou zijn. Dat is dus niet waar. Lange wachtwoorden zijn voor een computer veel moeilijker te kraken dan korte woorden met moeilijke karakters.
De sterkte van een wachtwoord kan worden aangeduid met een getal, de zogeheten entropie. Dit is een eenvoudiger schrijfwijze voor zeggen dat er 2 tot de n-de tests moeten worden uitgevoerd om het wachtwoord te vinden.
In een brute force attack zal het de computer een zorg zijn welke moeilijke lettercombinaties verzint, het gaat er slechts om hoeveel combinaties er getest moeten worden om het wachtwoord te kraken.
Ingevuld op deze website, geeft het hier genoemde moeilijke wachtwoord OjRd4#Hgja@3B7 een entropie van 67.3 bits
De wachtwoord-zin "DieKlotebuurManVanHiernaastLultookAlleenMaarOverHetWeer" daarentegen heeft een entropy van 258.3 bits
Oftewel de zin is 2258 - 267= 2191 keer sterker dan het 14 karakters wachtwoord, dat is een 3-met-57-nullen.
[Reactie gewijzigd door carlo op zondag 20 januari 2013 15:41]
De website waar je naar toe linkt en XKCD zijn het niet met elkaar eens 
.
Voor de XKCD phrase 'correct horse battery staple' haalt XKCD een entropy van 44 aan, de website 104.2. (28 tegen 51.8 voor de phrase 'Tr0ub4dor&3').
De 'strength test' website bevat een aanwijzing voor dat verschil: 'Depends greatly on implementation!'. Punt is dat XKCD uit gaat van een vrij intelligente aanval en de 'strength test' van een pure brute force met wat optimalisatie.
Zeker als je de tweede methode uit de XKCD strip gebruikt is het belangrijk de rekenmethode uit de betreffende strip te gebruiken. Een phrase als 'wonderbaarlijk uitzonderlijk' scoort dan 22 bits (te weinig) maar komt in de strength test op bijna 107 (ruim voldoende).
Het mooist is een combinatie van de twee, dan is er eigenlijk geen strategie meer te verzinnen die binnen een redelijke termijn kan brute forcen maar dan kom je al snel ook weer op wachtwoorden die lastig te onthouden zijn. Punt van de XKCD strip is nu juist dat je een (redelijk) veilig wachtwoord kunt maken dat ook nog eens makkelijk te onthouden is met vier algemene woorden uit je eigen taal zonder daarin spelfouten, leestekens of zelfs hoofdletters te hoeven gebruiken.
.Voor de XKCD phrase 'correct horse battery staple' haalt XKCD een entropy van 44 aan, de website 104.2. (28 tegen 51.8 voor de phrase 'Tr0ub4dor&3').
De 'strength test' website bevat een aanwijzing voor dat verschil: 'Depends greatly on implementation!'. Punt is dat XKCD uit gaat van een vrij intelligente aanval en de 'strength test' van een pure brute force met wat optimalisatie.
Zeker als je de tweede methode uit de XKCD strip gebruikt is het belangrijk de rekenmethode uit de betreffende strip te gebruiken. Een phrase als 'wonderbaarlijk uitzonderlijk' scoort dan 22 bits (te weinig) maar komt in de strength test op bijna 107 (ruim voldoende).
Het mooist is een combinatie van de twee, dan is er eigenlijk geen strategie meer te verzinnen die binnen een redelijke termijn kan brute forcen maar dan kom je al snel ook weer op wachtwoorden die lastig te onthouden zijn. Punt van de XKCD strip is nu juist dat je een (redelijk) veilig wachtwoord kunt maken dat ook nog eens makkelijk te onthouden is met vier algemene woorden uit je eigen taal zonder daarin spelfouten, leestekens of zelfs hoofdletters te hoeven gebruiken.
[Reactie gewijzigd door Tribits op maandag 21 januari 2013 05:48]
Dat naar de Entropy kijken is volkomen achterhaalt.
Omdat het bekend is dat mensen een combinatie van woorden en tekens gebruiken, om een password te maken, gebruiken moderne password krakers gebruiken databases met woordenboeken. En dat betekent dat een bekend woord een véél kleinere entropy heeft, dan jij denkt.
Een combinatie van bekende woorden, is daardoor nauwelijks sterker dan een enkele karaketers.
Je password moet niet alleen lang zijn, maar mag dus ook géén (bekende) woorden bevatten.
Eén mogelijkheid om buiten woordenboeken te komen, is om het woord aan te passen. Als je een wat uitprobeert op password checkers met een dictionary, dan zul je zien dat het voordelig is om bijvoorbeeld de laatste twee karaketers van een woord af te knippen. Ondanks dat het password dan korter is, is het veel krachtiger, omdat je buiten de database komt.
Omdat het bekend is dat mensen een combinatie van woorden en tekens gebruiken, om een password te maken, gebruiken moderne password krakers gebruiken databases met woordenboeken. En dat betekent dat een bekend woord een véél kleinere entropy heeft, dan jij denkt.
Een combinatie van bekende woorden, is daardoor nauwelijks sterker dan een enkele karaketers.
Je password moet niet alleen lang zijn, maar mag dus ook géén (bekende) woorden bevatten.
Eén mogelijkheid om buiten woordenboeken te komen, is om het woord aan te passen. Als je een wat uitprobeert op password checkers met een dictionary, dan zul je zien dat het voordelig is om bijvoorbeeld de laatste twee karaketers van een woord af te knippen. Ondanks dat het password dan korter is, is het veel krachtiger, omdat je buiten de database komt.
Volgens mij gebeurd dit bij mij op de hogeschool al bij de docenten. Lijkt me wel een veilige oplossing. Eerst eigen wachtwoord en daarna de code van de USB.
En wat als je het ding verliest?
edit:
Zelfs indien niet gestolen zijn er zwaktes, het huidige Google Authenticator is ook niet voldoende indien een hacker een bezoeker kan omleiden naar een website die er uit ziet als Google Mail.
Het neemt niet weg dat het inderdaad veiliger is dan enkel een wachtwoord.
edit:
Maar indien je het niet onmiddelijk door hebt dat jouw key weg is, kan een gerichte diefstal toch al wat schade aanrichten. En hoe rapporteer je jouw key dan als gestolen? Via een speciale website? Maar hoe log je daar dan op in? Via een wachtwoord?Dan zou je hem onklaar moeten kunnen maken. Maar dat vereist weer servers die dat bijhouden.
Zelfs indien niet gestolen zijn er zwaktes, het huidige Google Authenticator is ook niet voldoende indien een hacker een bezoeker kan omleiden naar een website die er uit ziet als Google Mail.
Het neemt niet weg dat het inderdaad veiliger is dan enkel een wachtwoord.
[Reactie gewijzigd door D-Three op zaterdag 19 januari 2013 10:06]
Dan zou je hem onklaar moeten kunnen maken. Maar dat vereist weer servers die dat bijhouden.
er zal iets van een pincode op moeten. net als bij je bankpas, identifyer of mobiel-betalen app.
Het kan toch en-en. Je zal nog altijd een wachtwoord nodig hebben voor die hardware key. Op mn Linux servers gebruik ik ook public key authenticatie met een passphrase. Mocht de private key in verkeerde handen vallen hebben ze er zonder password nog niets aan.
Bij gmail gebruik ik ook al two factor authenticatie dmv sms codes en op kantoor log ik ook in met een RSA token.
Volgens mij zijn er dus al voldoende mogelijkheden buiten passwords.
Bij gmail gebruik ik ook al two factor authenticatie dmv sms codes en op kantoor log ik ook in met een RSA token.
Volgens mij zijn er dus al voldoende mogelijkheden buiten passwords.
Ik voel me heel safe met die Google authenticator.
Daarom dien je nooit enkel afhankelijk te zijn van zo'n USB-key als verificatie. In combinatie met iets anders dat je niet bij je draagt zou het prima kunnen, maar alleen een USB-key als verificatie is wachten op dit soort problemen.
Ik zat nog te denken aan de mogelijkheid om een nieuwe key aan je account te kunnen koppelen in geval van diefstal of kwijtraken, door middel van je wachtwoord of iets dergelijks in te vullen. Maar dat zorgt dan weer voor het probleem dat als iemand je wachtwoord weet, die ook meteen zijn key eraan kan koppelen en dan als jou kan inloggen. Dat wordt 'm dus niet.
Ik zat nog te denken aan de mogelijkheid om een nieuwe key aan je account te kunnen koppelen in geval van diefstal of kwijtraken, door middel van je wachtwoord of iets dergelijks in te vullen. Maar dat zorgt dan weer voor het probleem dat als iemand je wachtwoord weet, die ook meteen zijn key eraan kan koppelen en dan als jou kan inloggen. Dat wordt 'm dus niet.
Als het hardware matig is zoals mac adres op je wifi. Dan valt dit toch te spoofen?
Als het als een mac-adres is wel, maar dat is het gelukkig niet, yubiKey's zijn voor alsnog helemaal niet te hacken
lastpass icm. de Yubikey zie ik wel zitten. Ze ondersteunen dit ook. Als je de pc aanzet en naar de browser gaat popt lastpass op welke je kunt ontgrendelen dmv. je password en Yubikey. Daarna kun je vrij in alle opgeslagen applicaties/ websites. Het grote voordeel is (mits je de Yubikey apart houdt van je pc) dat wanneer je pc gestolen wordt je beveiligd bent. De dief kan dan nooit bij je wachtwoorden dus ook niet in belangrijke zaken.
NFS is een netwerk protocol om oa je storage op meerdere computers te plaatsen, lijkt me niet dat je ingelogd wil zijn op meerdere computers tegelijk (tenzij misschien binnen je netwerk) anders heeft dat toch geen zin?
dus USB, lekker makkelijk en snel ff in de pc drukken.
dus USB, lekker makkelijk en snel ff in de pc drukken.
Ik denk dat CheapElectronic het heeft over het feit dat authenticate niet meer enkel voor de PC is.
Ook andere dingen in de real-life hebben authenticate nodig. Zoals met het OV reizen.
Daar gebeurd de authenticatie met behulp van NFC.
Met een hardware device wordt toegang veelal gelimiteerd tot één keer per sessie, reis, gebouw, etc. jammer dat het niet altijd zo hoeft te zijn.
Met pc, smartphone en tablet hoeft dat niet zo te zijn. Een hardwarematige key limiteert je tot een device, terwijl je misschien wel op alle 3 bezig bent. Voor meer toepassingen kan dat ook zo zijn.
Maar ik moet zeggen dat ik een universele toegangspas nog nauwelijks zie. Misschien dat een toegangspas tot gebouwen ook gebruikt wordt voor bv. betalen in de kantine of tijdregistratie. Maar ik heb nog nooit gezien dat het wordt gebruikt voor toegang tot de PC.
Ook andere dingen in de real-life hebben authenticate nodig. Zoals met het OV reizen.
Daar gebeurd de authenticatie met behulp van NFC.
Met een hardware device wordt toegang veelal gelimiteerd tot één keer per sessie, reis, gebouw, etc. jammer dat het niet altijd zo hoeft te zijn.
Met pc, smartphone en tablet hoeft dat niet zo te zijn. Een hardwarematige key limiteert je tot een device, terwijl je misschien wel op alle 3 bezig bent. Voor meer toepassingen kan dat ook zo zijn.
Maar ik moet zeggen dat ik een universele toegangspas nog nauwelijks zie. Misschien dat een toegangspas tot gebouwen ook gebruikt wordt voor bv. betalen in de kantine of tijdregistratie. Maar ik heb nog nooit gezien dat het wordt gebruikt voor toegang tot de PC.
ik gebruik mijn gsm nu al voor verscheidene sites (waaronder alles van google trouwens). Men stuurt tijd van tijd een sms met een extra key, die je moet ingeven. Je moet deze key trouwens ook ingeven wanneer een nieuw ip adres wordt gebruikt om op die sites in te loggen.
Ik ga ervan uit dat dat inderdaad alleen nog beter gaat worden (misschien een kleine vingerafdrukscanner in de vorm van een sleutelhanger???? )
Ik ga ervan uit dat dat inderdaad alleen nog beter gaat worden (misschien een kleine vingerafdrukscanner in de vorm van een sleutelhanger????
)
Kunnen sms'en niet relatief eenvoudig onderschept worden?
ja, maar key's kunnen ook relatief eenvoudig verloren of gestolen worden ;-). Dus wat dat betreft is deze key zeker en vast geen verbetering.
Het gaat hem uiteinderlijk over extra beveilingsmaatregelen. De belangrijkste blijft je eigen passwoord.
Ik vind bijgevolg mijn key-vingerafdrukscanner niet slecht
. Want je hebt nog steeds de vingerafdruk nodig. De technologie is er, nu de support nog.
Het gaat hem uiteinderlijk over extra beveilingsmaatregelen. De belangrijkste blijft je eigen passwoord.
Ik vind bijgevolg mijn key-vingerafdrukscanner niet slecht
. Want je hebt nog steeds de vingerafdruk nodig. De technologie is er, nu de support nog.[Reactie gewijzigd door white modder op zaterdag 19 januari 2013 11:42]
Dat is leuk, maar ik kon een keer niet inloggen toen ik in het buitenland was en mijn ticket uit moest printen. Kan heel vervelend zijn. Smsje kreeg ik maar niet, en de volgende dag kreeg ik er 10.
Om die reden geeft Google je 10 one-time passwords geeft, die hou je best wel ergens bij.
Dat doen ze allen maar zodat ze je nog beter kunnen tracken. Heeft niet heel veel met veiligheid te maken.
In 2011 is gebleken dat tokens geleverd door marktleider RSA niet veilig zijn.
Ik heb er niet veel vertrouwen in dat de yubikey veilig is.
http://webwereld.nl/nieuw...rid--vervangt-tokens.html
Ik heb er niet veel vertrouwen in dat de yubikey veilig is.
http://webwereld.nl/nieuw...rid--vervangt-tokens.html
password + brakke one time pad is veiliger dan alleen een password.
Voor authenticatie gebruik je over het algemeen een of meerdere van:
- something you know (e.g. password, PIN)
- something you own (e.g. pin pas)
- something you are (e.g. vinger)
Hoe meer van die dingen je gebruikt, des te veiliger is de authenticatie.
Voor authenticatie gebruik je over het algemeen een of meerdere van:
- something you know (e.g. password, PIN)
- something you own (e.g. pin pas)
- something you are (e.g. vinger)
Hoe meer van die dingen je gebruikt, des te veiliger is de authenticatie.
Het is ijdele hoop, maar ik zou graag één methodiek zien. Een usb key is leuk, behalve als ik met 10 van die dingen moet gaan rondlopen. Ik gebruik nu de Google Authenticator en dat is ook veilig zat. Ik kan er overal mee werken, maar een usb key werkt weer niet overal bij mijn klanten of bij iemand anders op een pc. De Google Authenticator wel omdat ie op mijn Android smartphone draait. Misschien iets met NFC, maar volgens mij is dat ook weer te spoofen.
Ik gebruik Google Authenticator ook en zou niet zo snel weer naar een methode overgaan wat een extra "ding" vereist. Een mobiele telefoon heb ik al bij mij.
NFC zat ik ook nog even aan te denken. Kan al voor unlocking van een Android telefoon gebruikt worden (XDA). Maar vereist ook weer een ding om mee te nemen. Ik gebruik de NFC tags bij mijn smartphone juist daarom niet, deze zijn vooral voor locatiegebonden toepassingen interessant
NFC zat ik ook nog even aan te denken. Kan al voor unlocking van een Android telefoon gebruikt worden (XDA). Maar vereist ook weer een ding om mee te nemen. Ik gebruik de NFC tags bij mijn smartphone juist daarom niet, deze zijn vooral voor locatiegebonden toepassingen interessant
[Reactie gewijzigd door Frij5fd op zaterdag 19 januari 2013 10:57]
Volgens mij is een wachtwoord dat iemand in zijn hoofd heeft altijd een betere beveiliging dan een (waarschijnlijk niet-transparante) hardwarematige oplossing zonder gebruikersinteractie waarbij een of meer bedrijven in vertrouwen moeten worden genomen. Het moet alleen wel serieus gebruikt worden dus een acceptabel wachtwoord dat nergens wordt opgeslagen, behalve in gecodeerde vorm aan de kant waar de controle wordt uitgevoerd.Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen.
[Reactie gewijzigd door blorf op zaterdag 19 januari 2013 09:38]
Alternatieve inlogmethodes zitten hier in Estland al goed ingebakken, kijk maar naar de inlogmogelijkheden die je bij online banking hebt: https://www.swedbank.ee/private/?language=ENG
ID-kaart, Mobile ID (met speciale SIM-kaart), Paswoordkaartje (old-school) en PIN-calculator (wat de meeste banken in Nederland gebruiken denk ik).
Hier rijst nu trouwens wel de vrees dat met de ID-kaart inloggen niet echt heel veilig is, aangezien je je PIN-code nog gewoon op je toetsenbord ingeeft en een keylogger dat dus kan oppikken (maar ze hebben wel nog steeds de fysieke ID-kaart nodig natuurlijk).
Dus wellicht stapt men binnekort over op ID-kaartlezers met geintegreerd keypad.
ID-kaart, Mobile ID (met speciale SIM-kaart), Paswoordkaartje (old-school
) en PIN-calculator (wat de meeste banken in Nederland gebruiken denk ik).Hier rijst nu trouwens wel de vrees dat met de ID-kaart inloggen niet echt heel veilig is, aangezien je je PIN-code nog gewoon op je toetsenbord ingeeft en een keylogger dat dus kan oppikken (maar ze hebben wel nog steeds de fysieke ID-kaart nodig natuurlijk).
Dus wellicht stapt men binnekort over op ID-kaartlezers met geintegreerd keypad.
Per definitie niet waar.
De meeste wachtwoorden in iemands hoofd zijn vele malen makkelijker te kraken dan deze keys. Dat is statistisch gezien juist een feit.
De sociale content, gebrek aan lengte en goede software maakt dat van de gemiddelde gebruiker een wachtwoord een 'eitje' is.
De meeste wachtwoorden in iemands hoofd zijn vele malen makkelijker te kraken dan deze keys. Dat is statistisch gezien juist een feit.
De sociale content, gebrek aan lengte en goede software maakt dat van de gemiddelde gebruiker een wachtwoord een 'eitje' is.
[Reactie gewijzigd door RielN op zaterdag 19 januari 2013 12:01]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
