Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 103, views: 40.847 •

Google vindt dat wachtwoorden niet langer voldoende zijn om gebruikers veilig te houden en experimenteert met alternatieve authenticatiemethoden. Een van de voorstellen van het bedrijf is om kleine persoonlijke usb-keys te gebruiken.

"Net als veel mensen in de ict-sector vinden we dat wachtwoorden en simpele tokens als cookies niet langer voldoende zijn om gebruikers veilig te houden", zeggen beveiligingstopman Eric Grosse en ontwikkelaar Mayank Upadhyay in een onderzoeksdocument dat later deze maand in het blad IEEE Security & Privacy Magazine zal verschijnen. In het document, waarover Wired bericht, onthullen de twee alternatieven waar Google aan werkt.

Een van die authenticatiemethodes betreft de YubiKey: een kleine usb-key die een one time password kan sturen naar applicaties die de methode ondersteunen. Google heeft zijn Chrome-browser bij experimenten aangepast om de YubiKey te ondersteunen. Naast dit soort keys denkt Google aan smartphones als authenticatie-hardware om in te loggen in je online account.

De Google-medewerkers stellen dat in de toekomst dit soort hardware noodzakelijk is: "We zouden graag zien dat je smartphone of sleutelhanger met geïntegreerde smartcard gebruikt wordt om een nieuwe computer te authorizeren door middel van een enkele aanraking, zelfs als je smartphone geen bereik heeft."

Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen. Nadeel is dat websites de methode moeten ondersteunen. Hiervoor heeft Google een, naar eigen zeggen, onafhankelijk protocol ontwikkeld. Hiervoor zou geen speciale software nodig zijn en het zou voorkomen dat websites gebruikers online volgen. Een ander, niet onbelangrijk, nadeel is dat de gebruiker zeer kwetsbaar is als hij zijn hardware-authenticatie verliest.

Reacties (103)

Reactiefilter:-1103096+180+26+31
Ik denk dat je enkele dingen over het hoofd ziet.

Een ditcionary attack werkt bij een enkel woord, wanneer je een zin gebruikt gaat de kans om gevonden te worden sterk achteruit. Tenslotte moeten niet alleen de juiste woorden gevonden worden, maar ook nog de juiste volgorde, de juiste taal (combinatie van talen?), combinaties met of zonder spaties, hoofdletters, enzovoort?

Wil je toch een sterker paswoord kan je nog altijd een woord opzettelijk verkeerd spollen.

Deze laatste zin even door http://howsecureismypassword.net/ gehaald, met het volgende resultaat:

It would take a desktop PC about 325 septillion quadragintillion years to crack your password.

Length: 90 characters
Character Combinations: 71
Calculations Per Second: 4 billion
Possible Combinations: 41 trillion quinquagintillion

Toegegeven, die berekening gaat over een brute force methode. Maar het geeft je wel een idee.
"Het menselijk brein is gewoonweg te zwak om fatsoenlijke wachtwoorden te onthouden"
Ik ben verbaasd dat nog niemand deze strip van XKCD heeft gelinked: http://xkcd.com/936/

Waar het op neerkomt is dat ons jarenlang is geleerd dat een moeilijk wachtwoord ook een goed wachtwoord zou zijn. Dat is dus niet waar. Lange wachtwoorden zijn voor een computer veel moeilijker te kraken dan korte woorden met moeilijke karakters.

De sterkte van een wachtwoord kan worden aangeduid met een getal, de zogeheten entropie. Dit is een eenvoudiger schrijfwijze voor zeggen dat er 2 tot de n-de tests moeten worden uitgevoerd om het wachtwoord te vinden.

In een brute force attack zal het de computer een zorg zijn welke moeilijke lettercombinaties verzint, het gaat er slechts om hoeveel combinaties er getest moeten worden om het wachtwoord te kraken.

Ingevuld op deze website, geeft het hier genoemde moeilijke wachtwoord OjRd4#Hgja@3B7 een entropie van 67.3 bits
De wachtwoord-zin "DieKlotebuurManVanHiernaastLultookAlleenMaarOverHetWeer" daarentegen heeft een entropy van 258.3 bits
Oftewel de zin is 2258 - 267= 2191 keer sterker dan het 14 karakters wachtwoord, dat is een 3-met-57-nullen.

[Reactie gewijzigd door carlo op 20 januari 2013 15:41]

password + brakke one time pad is veiliger dan alleen een password.

Voor authenticatie gebruik je over het algemeen een of meerdere van:
- something you know (e.g. password, PIN)
- something you own (e.g. pin pas)
- something you are (e.g. vinger)

Hoe meer van die dingen je gebruikt, des te veiliger is de authenticatie.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013