Systeem moet afkijken pincode smartphones moeilijker maken door gebruik speaker

Een Zuid-Koreaanse onderzoeker heeft een methode bedacht om de diefstal van pincodes op smartphones te voorkomen. De gebruiker zou ongezien foute cijfers in de code kunnen zetten door de speaker af te dekken, waarna de telefoon de foute cijfers negeert.

Het systeem moet werken met voor mensen onhoorbaar hoge geluiden, zo stelt de Zuid-Koreanse onderzoeker Mun-Kyu Lee voor in zijn paper. De microfoon van de telefoon kan die signalen die de speaker uitstuurt opvangen. Als de microfoon het signaal niet opvangt, betekent het dat de gebruiker zijn vinger op de speaker heeft gelegd.

De telefoon zou vervolgens tijdens het intoetsen van de schermvergrendeling input moeten negeren op momenten dat de gebruiker zijn vinger op de speaker heeft liggen. Wie bang is dat iemand de code op zijn telefoon afkijkt, zou af en toe zijn vinger op de speaker kunnen leggen en een willekeurig getal invoegen. Als iemand daadwerkelijk de code afkijkt en na diefstal probeert die code in te voeren, heeft hij een niet-werkende beveiligingscode in handen.

Het systeem kan diverse nadelen hebben. Ten eerste zit niet bij elke telefoon de speaker aan de achterkant. Sommige telefoons hebben die aan de onderkant of de voorkant zitten en vooral dat laatste zorgt voor problemen met dit systeem. Bovendien zou een mogelijke dief ook kunnen kijken wanneer de gebruiker zijn vinger aan de achterkant verschuift en daar de echte pincode aan af kunnen lezen.

Speaker

Reacties (111)

desyco

16 februari 2015 11:57

Waarom maken ze geen gebruik van de mogelijkheden van een smartphone ???
Laat random de 10 cijfers van plaats veranderen op de tien toetsen.
Gelijktijdig zet je random de karakters 'A' tot 'J' ook op elke toets (cijfers en letters mogen geen vaste combinaties vormen).
Gelijktijdig laat je random 10 speciale karakters plaatsen
En gelijktijdig laat je random 10 afbeeldingen (leeg driehoekje ; vol vierkantje ; bolletje ; ...) plaatsen.
Op iedere toets krijg je dus 4 dingen te zien (een cijfer, een letter, een speciaal karakter en een tekentje) en dit telkens kris-kras door elkaar.
Het is aan de gebruiker om te bepalen wat zijn code is (4 cijfers, 4 letter, ..., een combinatie, positioneel, ...).
Als je dus je code invult, vult je eigenlijk tevens ook de drie andere combinaties in.
Tenzij iemand echt alles zit mee te volgen (en dit meermaals), ga je ongelofelijk veel pech moeten hebben dat ze de juiste code raden. Natuurlijk blijven idiote codes (1111, 1234, AAAA, ABCD, ...) idioot !!!

MMaster23 @desyco • 16 februari 2015 12:59

Dit lijkt mij het unlocken van een telefoon een vrij complex proces. Zeker niet vanuit muscle memory te voldoen. (Begrijp dat ook een plus punt is qua security echter erg onpraktisch).

Verwijderd @MMaster23 • 16 februari 2015 13:50

Telefoons hoef je ook niet op muscle memory te unlocken, ik heb op mijn telefoon een PIN met scrambled layout, het kost misschien een halve/driekwart seconde extra om je telefoon te unlocken, maar iemand die van een afstandje je PIN afkijkt zal eerder letten op positie dan op cijfer

SaiKoTiK @Verwijderd • 16 februari 2015 16:55

Op afstand kijken is niet altijd nodig als je slachtoffer een vast unlockscherm gebruikt.
Gewoon iemands toestel tegen het licht houden en je ziet waar die ervoor zijn scherm geraakt heeft.

Een 4-cijferige code is dan niet zo moeilijk te vinden, je weet al welke de 4 cijfers zijn.
Gemideld nog maar 12 pogingen nodig om de juiste volgorde te vinden.

Nog leuker zijn de pattern unlock schermen, max 2 pogingen nodig... http://cnet3.cbsistatic.c...4_Smudged_Nexus_S_001.jpg

[Reactie gewijzigd door SaiKoTiK op 23 juli 2024 08:55]

CyBeR @SaiKoTiK • 16 februari 2015 22:53

Voor dat voorbeeld heb je zelfs maar 1x nodig want je kunt ook zien welke kant 'ie opging. (Eindigt bij die korte bocht.)

Bosmonster @desyco • 16 februari 2015 13:52

Het idee van PIN-codes is dat ze eenvoudig en snel in te voeren zijn. Tuurlijk kun je er enorm complexe random invoerschermen voor gebruiken, maar dan schiet je je doel nogal voorbij.

Makkelijkste manier om dit afkijken te omzeilen is heel simpel: Gewoon iets als TouchID gebruiken. Heeft als grote voordeel dat het zelfs NOG simpeler is dan het invoeren van een PIN-code, maar niet afgekeken kan worden.

Enai @Bosmonster • 16 februari 2015 16:11

Fingerprints hebben een gigantisch probleem: je kunt geen nieuwe kiezen. Dienstverlener eenmaal gehackt, fingerprints op straat -> kies maar een andere vinger en hoop dat je gegevens minder dan 10 keer gelekt worden of je bent de banaan.

CyBeR @Enai • 16 februari 2015 22:52

Fingerprints hebben een gigantisch probleem: je kunt geen nieuwe kiezen. Dienstverlener eenmaal gehackt, fingerprints op straat -> kies maar een andere vinger en hoop dat je gegevens minder dan 10 keer gelekt worden of je bent de banaan.

Vingerafdrukken worden gelukkig om die reden nooit herleidbaar opgeslagen. Net zoals wachtwoorden tegenwoordig worden die opgeslagen als (een soort) hash waarmee je wel een vingerafdruk kunt verifiëren maar niet de andere kant op kunt gaan.

unglaublich @CyBeR • 17 februari 2015 07:58

Ja, en dat is in het verleden zo vaak goed gegaan wou je zeggen? Je kunt een andere partij A niet met die verantwoordelijkheid vertrouwen.
De enige veilige manier zou zijn om zelf je vingerafdruk te 'hashen' met een door de partij A verleende 'salt'. Dan weet jij zeker dat je vingerafdruk niet terug te rekenen is door de partij A en dat andere partijen B jouw vingerafdruk niet kunnen herkennen als ze die vergelijken met de data opgeslagen of gelekt bij partij A.

Thystan @CyBeR • 17 februari 2015 09:44

Hashcat voor vingerafdrukken

Bosmonster @Enai • 16 februari 2015 16:55

Fingerprints die via "een dienstverlener" op straat belanden, moeten nog omgezet worden in een fysieke vingerafdruk, waarna je telefoon bemachtigd moet worden om toegang te krijgen.

Dat is nog steeds extreem omslachtig in verhouding tot "pincode afkijken".

Dus ook in dat scenario wint de vingerafdruk het met vlag en wimpel van de pincode.

[Reactie gewijzigd door Bosmonster op 23 juli 2024 08:55]

Thystan @Bosmonster • 17 februari 2015 10:59

Geef mij maar als 'sleutel' een stukje kennis in mijn hoofd ipv een fysieke sleutel. Een fysieke sleutel kan te allen tijde worden gekopieerd.

Een combinatie van beide is natuurlijk het mooiste... zoals, hoe hard druk ik mijn vinger er op, beweeg ik me vinger nog op een bepaalde manier.

Ik zou een vingerafdruk met patroon meer op prijs stellen.

Of dat je vingerafdruk (of pincode for that matter) alleen werkt in combinatie met een ander apparaat etc. Nu is het nog vaak of-of

iceblink @desyco • 16 februari 2015 13:18

Dat klinkt best aardig, maar in de praktijk zullen mensen dan toch kiezen voor 1 van die character-sets, en alleen die set gebruiken. Dan heb je dus nog maar 4 pogingen nodig.

(Voor zover mensen al zo'n toestel zouden kopen... ik kan me voorstellen dat een dergelijke blokkering bij veel mensen erg ingewikkeld lijkt en dat ze dan liever zo'n simpel toestel kopen.)

Veda88 @iceblink • 16 februari 2015 14:10

Het idee hierachter is dat je als 'meekijker' nooit kan onthouden welke 4 patroontjes er op elke toets stonden. Als eigenaar volg je gewoon wat je had onthouden, maar als meekijker moet je plots 4 codes onthouden. Feitelijk wordt je 4 cijferige code dan een 16 cijferige. Dat is een stuk lastiger mee te kijken!

SaiKoTiK @Veda88 • 16 februari 2015 16:43

Als ik het goed begrijp, en mijn wiskunde kennis laat me niet in de steek, moet de meekijker heel wat meer dan 16 mogelijkheden onthouden bij een 4 'cijferige' code.

Het aantal mogelijkheden verhoogt exponentieel, niet liniair.

Bij een 2 'cijferige' code zijn er al 16 (4²) combinaties te onthouden.
4 'cijferige' code? -> 4⁴ combinaties
6 -> 4⁶
enz.

Zelfs als je in de praktijk voor 1 characterset kiest, geen probleem, dat weet de afkijker toch niet.

[Reactie gewijzigd door SaiKoTiK op 23 juli 2024 08:55]

Jerrythafast @SaiKoTiK • 16 februari 2015 19:59

Voor een code van n tekens hoeft de afkijker natuurlijk niet 4ⁿ verschillende codes te onthouden. Deze persoon zal alleen uit zoveel codes de juiste moeten zien te vinden. Als afkijker hoef je slechts n combinaties van 4 tekens te onthouden. 4n tekens onthouden dus.

Je onthoudt "slechts":
[4/N/*/vierkant], [1/C/#/cirkel], [9/L/&/driehoek], enzovoorts.

Maar vervolgens zijn er alsnog wel 4ⁿ mogelijke codes die je daarmee kunt maken. Dus bruteforcen wordt inderdaad wel lastig dan!

SaiKoTiK @Jerrythafast • 17 februari 2015 10:10

Elke login veranderen de tekens van plaats, niet alleen de knoppen onderling, maar ook de combinatie van tekens per knop wijzigt.
Of zo had ik het toch begrepen uit desyco's post.

desyco

@SaiKoTiK • 23 februari 2015 11:36

Dat klopt...
Je ziet telkens iets anders. En ja, je moet dus elke keer een beetje zoeken naar 'jouw' combinatie.
Het lijkt me echt veel veiliger dan de huidige cijfers alleen.

Verwijderd @SaiKoTiK • 17 februari 2015 09:05

16 mogelijkheden bij een 2cijferige code?

als je 2 getallen hebt kan je toch maar 2 getallen vormen?

Hoe maak jij 16 combinaties van de cijfers 4 en 7 ?
Ik kom aan 47 en 74 maar dan stopt het.

SaiKoTiK @Verwijderd • 17 februari 2015 10:08

Je hebt per toets 4 verschillende soorten tekens.
Ik zeg 'cijferige' met quotes omdat het in desyco's uitleg natuurlijk niet om alleen cijfers gaat.
Een combinatie van 2 toetsen met elk een van de 4 tekens levert 16 mogelijkheden, toch?

[Reactie gewijzigd door SaiKoTiK op 23 juli 2024 08:55]

RPiNut @desyco • 16 februari 2015 12:02

Een mooi voorbeeld van deze stelling is windows 8. Een patroon vegen over een bepaalde afbeelding zou hiermee toch kunnen helpen.

Room42 @RPiNut • 17 februari 2015 02:20

Toch ben ik daar ook nog niet blij mee. Het maakt het heel erg makkelijk om de 'code' af te kijken door de vetvegen te bekijken. Ook dat je maar drie vegen/punten kunt doen vind ik erg slecht!

geekeep @desyco • 16 februari 2015 15:12

Blackberry toestellen hebben hier een mooie oplossing voor; een combinatie van een cijfer (1-9) en een zelf gekozen locatie op het scherm.

Het vergrendelingsscherm laat dan een raster zien van cijfers (die iedere keer willekeurig zijn geplaatst), waarna je jouw cijfer dan naar de plek op het scherm slepen. De veegbeweging is dus iedere keer anders (vanwege de willekeurige plek) én niemand weet welk cijfer je waar naartoe sleept.

Zie http://crackberry.com/how...-picture-password-os-1021 voor meer info.

[Reactie gewijzigd door geekeep op 23 juli 2024 08:55]

a.prinsen @desyco • 16 februari 2015 17:06

en toetsenbord randommizen zodat niet op afstand kan worden afgeleid wat je aan typen bent!..

Al die ideeen maken het echter niet makkelijker op in gebruik.

zlpsycho @desyco • 16 februari 2015 12:50

ook al zit er zo'n mooi wachtwoord op. Je kan dan alsnog in de telefoon komen. Zelfde als met samsung volume knop en vergrendel knop inhouden.

MMaster23 @zlpsycho • 16 februari 2015 12:58

Hoe bedoel je dat? Ik kan mijn Samsung android alleen maar met geldige pin unlocken hoor.

RagingPenguin @MMaster23 • 16 februari 2015 13:48

Je kan een 'emercy unlock' instellen waarmee je de code omzeilt. Is eigenlijk bedoelt voor ontwikkelaars voorals je lockscreen crasht tijdens het draaien van alfa-code.

MMaster23 @RagingPenguin • 16 februari 2015 15:37

Standaard kan het dus niet? Natuurlijk kun je een hoop troep toevoegen die het minder secure maken.

RagingPenguin @MMaster23 • 16 februari 2015 15:52

Tot de s4 niet, sinds dien heb ik geen samsung meer. Maar het zou me verbazen als het verandert is.

zlpsycho @MMaster23 • 16 februari 2015 17:57

Telefoon uitzetten en dan volume knop plus lock inhouden. Dan kom je in een soort menu. volgens mij kun je daar de boel wel omzeilen

MMaster23 @zlpsycho • 16 februari 2015 21:01

Nee dat is het recovery menu. Daarmee kun je als je wilt de telefoon wissen.. dat is niks bijzonders. Daarmee kun je nog niet de pin eraf halen.

pietje63 @desyco • 16 februari 2015 13:51

Waarom maken ze geen gebruik van de mogelijkheden van een smartphone ???

Je bedoelt de vingerafdrukscanner?

kwikstaart 16 februari 2015 11:37

En wat houdt iemand anders tegen om het geluid op te nemen? Een andere telefoon kan alsnog de ultrasone geluiden opvangen en ontcijferen - en daar zal vast heel snel een app voor gemaakt worden. Of begrijp ik het verkeerd?

Terranova @kwikstaart • 16 februari 2015 11:46

Het geluid kan toch bij elke toets hetzelfde zijn, de input komt gewoon vanuit de software zodra het geluid opgevangen wordt.

watercoolertje

Smartphones

@Terranova • 16 februari 2015 11:51

Ja maar het gaat om het afdekken, dat kan niet alleen die telefoon horen, maar de rest (andere microfoons) ook natuurlijk...

Dan is het nuttiger om in geval van de getoonde telefoon de hartslagsensor te gebruiken. Immers kan niemand dat afluisteren. Je kan echter wel net als bij de speaker de beweging van de hand zien.

danoontjepowerr @watercoolertje • 16 februari 2015 11:56

Hoe zie je dat voor je?
Op het moment dat je hart een keer slaat dat je dan precies op dat moment een cijfer in toetst?

watercoolertje

Smartphones

@danoontjepowerr • 16 februari 2015 11:58

Nee die sensor kan gewoon zien of je vinger daar hebt of niet

Heeft dus niks met het hartslag te maken, meer met het feit dat je je vinger ergens kan houden net als in het artikel, maar dan zonder iets wat buiten de telefoon om gaat (geluid), en dus niet makkelijk af te luisteren is...

RGAT @watercoolertje • 16 februari 2015 14:29

Dat geluid is misschien wel af te luisteren, maar wat moet je ermee?
Dan heb je een volgorde identieke geluidjes waar een aantal pauzes tussen zitten voor wanneer de juiste code werd ingetoetst.
Dat geluid wisselt niet van toon oid om aan te geven welke toets ingedrukt wordt, dus in het geluid zit verder alleen de boodschap wanneer er een neppe key wordt ingevoerd.
Dan zou je dus ook het intoetsen moeten filmen en dan het geluid bewerken zodat mensen het kunnen waarnemen en dan kan je het ontcijferen...
Denk niet dat een dief zoveel moeite gaat nemen

watercoolertje

Smartphones

@RGAT • 16 februari 2015 14:51

De discussie ging er juist om dat er WEL iemand was die de moeite ging doen, die hele discussie is overbodig als dat niet gebeurd natuurlijk, dat is imho dus ook geen argument...

Daarnaast is mijn idee wel degelijk een uitbreiding om het iets veiliger te maken met even veel/weinig moeite las het orginele idee, of jij het veilig genoeg vind of niet is daar totaal niet relevant aan, het blijft een suggestie van mij die het huidige idee nog veiliger kan maken (je moet dan immers al de voor EN achterkant in de gaten houden, in tegenstelling tot het filmen van de schermkant en het geluid opnemen)...

acemoo @watercoolertje • 16 februari 2015 15:51

Het huidige idee ben je bij deze telefoon(zie afbeelding in het artikel) de voor en achterkant voor nodig.
Je zet je vinger op de speaker...
En daar viel het mij op wat dat watercoolertje gelijk heeft.
Het geluid dat je nu kan opnemen is de momenten van wanneer een correcte toets ingedrukt is, je blokkeerd immers niet de microfoon maar de speaker. Als je met een andere telefoon filmt wat er ingetoets word, krijg je ook het geluid gelijk goed mee welke toetsen wel of niet echt zijn.

timberleek @Terranova • 16 februari 2015 11:53

Het geluid heb je niets aan.

Als je dat continu zou uitzenden zal de telefoon enkel denken dat alle ingetypte getallen legit zijn. En dus een foute pincode zien.

Verwijderd @kwikstaart • 16 februari 2015 11:48

Voor zover ik het begrijp betreft het alleen een simpele toon die de telefoon vertelt dat wat er ingetoetst wordt op dat moment onderdeel is van de invoer van het wachtwoord.

Hoort de telefoon die toon via de microfoon en wordt er een toets ingedrukt, dan telt deze voor het wachtwoord. Hoort de telefoon die toon echter niet (omdat de speaker geblokkeerd wordt), dan beschouwt de telefoon die ingevoerde toets als zijnde geen onderdeel van het wachtwoord.

Aangezien de code zelf dus nog altijd wordt ingevoerd op de telefoon via het (on-screen) toetsenbord is er geen reden om die code ook nog via tonen te gaan verzenden.

koelpasta @Verwijderd • 16 februari 2015 12:39

Als je tegelijkertijd ook een video opneemt met je telefoon weet je welke toets er wordt ingedrukt als de toon te horen is.

Het zou veel beter zijn als de microfoon kan worden afgedekt i.p.v. de speaker. Dan kun je niet meer opnemen wanneer de toon door het invoerapparaat wordt gehoord.

SaiKoTiK @koelpasta • 16 februari 2015 17:01

Inderdaad, of bv. door de proximity sensor of camera af te dekken.
Dan is het probleem van 'andere telefoons hebben geen speakers achterop' ook opgelost, alle telefoons hebben tegenwoordig immers achteraan en vooraan een camera.

Blokker_1999

Netwerk en systeembeheer

@kwikstaart • 16 februari 2015 11:43

Waarom het geluid opnemen? Alsof je die vinger niet ziet bewegen ...

churchill9 @Blokker_1999 • 16 februari 2015 13:23

Ik vind het een rare oplossing.

Dus als je denkt dat iemand meekijkt moet je een handeling doen door je speaker te bedekken en foute nummers intikken.

Wat dacht je van je telefoon kantelen, je omdraaien, weg te lopen?

anders neem je een telefoon met vingerafdruk.

FlyingDutchMen @kwikstaart • 16 februari 2015 12:29

Ik vraag me eerder af en wat houdt iemand anders tegen dit geluid na te bootsen. Van die leuke pubers die dus zorgen dat je pincode niet wordt geaccepteerd. Niemand hoort et dus niemand weet het. Hebt er niks aan behalve de 'lol' om iemand goed te klieren.

CyBeR @FlyingDutchMen • 16 februari 2015 22:56

Het werkt andersom dus die mogelijkheid is er niet: geluid -> code accepteren. Geen geluid -> geen code accepteren.

CyBeR @kwikstaart • 16 februari 2015 22:56

Of begrijp ik het verkeerd?

Ja.

Dat geluid wordt alleen gebruikt om te detecteren of je je vinger op de speaker houdt. Zo ja, input (ingetoetste cijfers) negeren. Zo nee, gewoon normaal doen.

Deveon 16 februari 2015 11:47

Blackberry heeft hiervoor een perfect systeem ontwikkeld waarbij je een (van te voren) gekozen cijfer verplaatst naar een (van te voren) gekozen locatie. Niemand die mijn code kan afkijken.

Voorbeeld

Daarnaast vind ik het ook heerlijk dat wanneer ik binnen 5 minuten na vergrendelen weer ontgrendel geen code hoeft op te geven. Deze optie ontbreekt dacht ik op iOS en Android.

[Reactie gewijzigd door Deveon op 23 juli 2024 08:55]

ElPaco @Deveon • 16 februari 2015 11:55

In Android kan je ook opgeven dat de telefoon niet ontgrendeld hoeft te worden binnen X minuten (via instellingen -> beveiliging -> telefoon blokkeren na -> kies aantal minuten).

Ik unlock mijn toestel gewoon met face unlock, werkt net zo snel als vingerafdruk scanner van Apple, en hoef niks in te typen ofzo. Voor mensen die dat niet veilig genoeg vinden kan je ook nog liveliness check inschakelen waarmee je met je ogen moet knipperen wanneer de front cam aan gaat om aan te tonen dat je geen foto bent.

koelpasta @ElPaco • 16 februari 2015 12:41

Dus om op je telefoon in te loggen hoef ik alleen een filmpje op een scherm af te spelen van jouw hoofd waar ik de ogen van heb geanimeerd? Simpel..

ElPaco @koelpasta • 16 februari 2015 12:44

Tja, net zo simpel als bij iemand afkijken wanneer hij zijn code intypt, oh nee, dat is nog simpeler.. Je kan ook overdrijven met je telefoon beveiligen..

Als je in een iPhone wil hoef je alleen maar iemands vingerafdruk ergens vandaan te halen, is ook verre van waterdicht.

[Reactie gewijzigd door ElPaco op 23 juli 2024 08:55]

Grootstyr @Deveon • 16 februari 2015 11:56

Die optie zit in ieder geval in iOS, met Android heb ik weinig tot geen ervaring dus daar durf ik geen uitspraken over te doen. Maar een dergelijk basale feature zal Android hoogstwaarschijnlijk ook hebben, al dan niet met een paar aanpassingen van de ROM.

justinwolter @Deveon • 16 februari 2015 11:59

Zeker niet. Je kan gewoon (bij ios) een tijd instellen wanneer er weer een code van toepassing is. ( mits je touch id niet gebruikt). Maar dan is het al een ander verhaal

Verwijderd @Deveon • 16 februari 2015 15:17

Je doelt op BlackBerry Picture Password neem ik aan? Lezenswaardige blog (Idealistically Caspan) daarover: 'How Smart is BlackBerry Picture Password? Smart!!'.

Verwijderd @Verwijderd • 16 februari 2015 15:29

Wat is de conclusie, wordt dit idee van BB gezien als een goede verbetering van de veiligheid?

kipppertje 16 februari 2015 11:29

Leuk met je HTC One (stereo aan de voorkant). Is het dan niet makkelijker om de microfoon af te dekken? Daarnaast lijkt het me dat men wat oefening nodig heeft voor je "casual" foute getallen erin sneakt. Zeker wanneer je al wat biertjes op hebt in de kroeg

Overigens gebruiken de meeste mensen toch het "swipe"-mechanisme dat in Android zit?

Edit: Zit net de paper te lezen. De onderzoeker stelt een tweede manier voor, namelijk door je wachtwoord in te voeren als een soort morse code door te tikken op de speaker.

An example PIN would be as follows:
Closed (0.2s), open (0.6s), closed (0.2s), open (0.1s), closed (0.4s), open (0.1s), closed (end).

[Reactie gewijzigd door kipppertje op 23 juli 2024 08:55]

Verwijderd @kipppertje • 16 februari 2015 11:58

Je wachtwoord invoeren als morse code lijkt mij zo mogelijk nog minder veilig dan een pincode, aangezien dieven nu alleen maar een ritme hoeven te zien / op te nemen. Daarnaast lijkt het me nogal gevoelig voor problemen (trillende vingers door kou, speaker maar half geblokkeerd, etc.).

Ten slotte zou je waarschijnlijk wel met wat grotere perioden moeten werken dan tienden van seconden. Zeker de mensen die fysieke problemen hebben of simpelweg wat minder ritmegevoel zullen er op dat soort perioden nogal snel naast zitten.

kipppertje @Verwijderd • 16 februari 2015 12:14

Inderdaad. Het is aardig dat deze manieren van authenticeren nog niet toegepast worden, maar echt praktisch is het nog niet.
Overigens is de paper 4 kantjes en is er niet echt research gedaan. Het lijkt meer een schoolopdracht van een eerste jaars student.

T-!-M @Verwijderd • 16 februari 2015 12:21

Dan moet je het wel zien als morse code + het invoeren van de juiste cijfercode. Het gaat dus niet alleen om de morse. Ik kan me wel voorstellen dat het in ieder geval veiliger maakt om je code in te voeren, maar het zal zeker te kraken zijn.

MadEgg @kipppertje • 16 februari 2015 11:36

Overigens gebruiken de meeste mensen toch het "swipe"-mechanisme dat in Android zit?

Die is al helemaal eenvoudig, het is over het algemeen aan de vetvlekken over het display goed te zien welke beweging je moet maken.

Ryceck

16 februari 2015 11:34

"Bovendien zou een mogelijke dief ook kunnen kijken wanneer de gebruiker zijn vinger aan de achterkant verschuift en daar de echte pincode aan af kunnen lezen."

En daar zit het issue in deze verandering van protocol.
In plaats van een beter oplossing te bieden introduceren we nu extra complexiteit in de bestaande oplossing (extra handelingen) welke ook weer af te lezen zijn. Nog afgezien van dat dit extra discipline vereist van je gebruiker lost het je probleem (kunnen aflezen van de handeling) niet op.

Douw dan gewoon naast je pincode een pasfoto-verificatie in met behulp van de front-facing camera. Als je pincode klopt *en* je hoofd matched met de ingestelde pasfoto mag je inloggen.

timberleek @Ryceck • 16 februari 2015 11:56

Das ook enorm omslachtig.

Dan loop je net buiten met je zonnebril op. Of in de winter met een sjaal om. Of....

de laatste tijd is iedereen alleen maar bezig met ontzettend omslachtige systemen te bedenken. Klinkt allemaal leuk, maar in de praktijk is het crap. Dat is hetzelfde als een bedrijfspolicy dat je elke 4 weken je wachtwoord moet veranderen. En dan natuurlijk wel met 100 verschillende eisen en niet een oud wachtwoord. Wat is het gevolg? mensen schrijven het op een post-it en plakken het aan de monitor (heb ik al bij diverse bedrijven gezien).

Smitovic @Ryceck • 16 februari 2015 11:59

Een pasfoto-verificatie heb ik in actie gezien bij vrienden met Samsungs. Je moest enkele seconden recht in de camera kijken met een neutraal gezicht voordat dat ding er wat mee kon. Nee bedankt.

Verwijderd 16 februari 2015 11:32

Ik ben niet zo panisch dat mensen het patroon van mijn telefoon raden. Sowieso is een code relatief omslachtig als je een patroon kan instellen en is het waarschijnlijk slimmer om erg gevoelige info niet op je telefoon te bewaren.

Verwijderd @Verwijderd • 16 februari 2015 11:38

Voor zover de meeste mensen al echt gevoelige informatie hebben...

Ryceck

@Verwijderd • 16 februari 2015 11:42

Dat is allemaal relatief. De fotos van mijn kinderen typeer ik als gevoelige informatie; ik bepaal zelf graag wie die fotos ziet en wanneer.

En je moest eens weten hoeveel mensen "gevoelige" informatie met zich meedragen zonder dat ze het zich realiseren:
- Bank-apps waar tot XX euro probleemloos overgemaakt kan worden
- Twitter-accounts
- Mail-boxen waar je werkmail op aangesloten is
- Password managers die op de telefoon voor het gemak directe toegang hebben
- etcetc.

Roobje @Ryceck • 16 februari 2015 11:52

Maar apps met 'gevoelige' informatie zoals bank- and cloudapps hebben zelf vaak ook een code nodig om de app te openen. Een beetje doordacht persoon gebruikt daar dus andere codes voor.

borft @Verwijderd • 16 februari 2015 11:43

Ik denk dat er genoeg mensen zijn die hun prive en/of werk email accounts op hun telefoon hebben. Daar zit doorgaans genoeg gevoelige info in denk ik...

Thomas18GT @borft • 16 februari 2015 11:51

Moeten dieven wel snel zijn want als mijn telefoon gestolen is zal het niet langer dan een paar minuten duren voordat hij helemaal leeg is.

Dionos @Verwijderd • 16 februari 2015 12:18

Toegang hebben tot je belangrijkste e-mailadres is op zich wel al problematisch. Het mailadres is een toegangspoort tot een heel aantal diensten. Bij vele diensten of profielen kan ook een nieuw paswoord worden aangevraagd, dat vervolgend naar dat mailadres wordt verstuurd. Sowieso zijn er betaaldiensten waar op deze manier misbruik van gemaakt kan worden (PayPal?, Google Wallet?).

Ontopic: ik vind de manier van werken met de microfoon (en extra valse nummers) wel erg omslachtig. Dan lijkt een vingerafdruklezer me veel handiger.

[Reactie gewijzigd door Dionos op 23 juli 2024 08:55]

Verwijderd @Verwijderd • 17 februari 2015 06:34

Ik ben niet zo panisch dat mensen het patroon van mijn telefoon raden. Sowieso is een code relatief omslachtig als je een patroon kan instellen en is het waarschijnlijk slimmer om erg gevoelige info niet op je telefoon te bewaren

Het is toch prettig dat je je telefoon wel voor zakelijk gebruik kan gebruiken. Of dat je 'weet' dat een ander niet zomaar in je privé-communicatie kan als die je telefoon heeft.

Daarom heb ik gekozen voor een telefoon die diverse 'lock' methodes heeft, die waarschijnlijk minder kans geven op afkijken, en minder omslachtig zijn dan deze methode.

Bijkomend voordeel is dat door een strenge marktmeester in de appstore, ook apps die onnodige bevoegdheden tot m'n data eisen geweigerd worden. En dat er 'uit de doos' ook standaard opties zijn om te bepalen welke toegang tot gegevens de apps krijgen.

Verwijderd 16 februari 2015 11:29

Twee pincodes die elkaar afwisselen is misschien wel nuttiger. Ook dat is niet waterdicht en het is voor de gebruiker weer een extra hobbel die moet worden genomen. De gemakkelijkste oplossing is die van Apple en die werkt ook nog eens gewoon erg goed.

Edit: Bedoel TouchID inderdaad

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:55]

SowCrazy_ @Verwijderd • 16 februari 2015 11:33

Welke manier van apple? Ze hebben toch ook een normale pincode die je kan afkijken...

@reacties hieronder, ahja touchid was ik vergeten dom dom dom

[Reactie gewijzigd door SowCrazy_ op 23 juli 2024 08:55]

thrust15 @SowCrazy_ • 16 februari 2015 11:36

Ik denk dat er gerefereerd wordt naar de vingerafdrukscanner.

thunder8 @SowCrazy_ • 16 februari 2015 11:36

Denk dat hij TouchID bedoelt. Werkt inderdaad heel erg goed. Voorheen werd ik gestoord van die pincode om elke keer te unlocken, verplicht door policy werkagenda, nu is het even de knop indrukken, vinger laten liggen en het toestel komt tot leven alsof er geen code is. Heerlijk.

Kraz @SowCrazy_ • 16 februari 2015 11:36

ChicaneBT bedoelt de unlock knop met ingebouwde vingerafdruk.

vegterb @SowCrazy_ • 16 februari 2015 11:38

Antwoord verwijderd, is al gegeven.

[Reactie gewijzigd door vegterb op 23 juli 2024 08:55]

The Zep Man

Netwerk en systeembeheer

16 februari 2015 11:27

Het systeem kan diverse nadelen hebben. Ten eerste zit niet bij elke telefoon de speaker aan de achterkant. Sommige telefoons hebben die aan de onderkant of de voorkant zitten en vooral dat laatste zorgt voor problemen met dit systeem. Bovendien zou een mogelijke dief ook kunnen kijken wanneer de gebruiker zijn vinger aan de achterkant verschuift en daar de echte pincode aan af kunnen lezen.

Het grootste nadeel is dat het discipline vereist van de gebruiker. Daardoor zal het in het dagelijks leven geen toegevoegde waarde hebben.

Verwijderd @The Zep Man • 16 februari 2015 11:37

Dat dus. Dit is geen praktisch en makkelijk systeem. In een tijd waar authenticatie via vingerafdruk en iris-scan al gewoon mogelijk zijn, klinkt dit allemaal uitermate omslachtig en nodeloos ingewikkeld.

timberleek @Verwijderd • 16 februari 2015 11:51

vingerafdruk en irisscanner hebben alleen wel 1 grote flaw.

Je kan ze niet veranderen en zijn aan het dagelijks leven onderhevig.
Als iemand jouw vingerafdruk nabootst kan hij er in. Bij een wachtwoord kun je dan gewoon een andere instellen. Je vinderafdruk veranderen gaat niet lukken.

En als je een middagje ben wezen klussen en je vingers zijn beschadigd heb je ook pech. Net als dat bepaalde medicijnen invloed kunnen hebben op een irisscan. Maar dat laatste komt dan weer niet zo snel voor.

justinwolter @timberleek • 16 februari 2015 11:55

Vast geen touch id gebruiker? Dat nabootsen is alleen in hele specifieke manieren mogelijk en bijna altijd is de daadwerkelijke vinger nodig. Beschadigde vingers brengen ook amper problemen mee, omdat de scanner leert van elke keer dat je hem gebruikt.

timberleek @justinwolter • 16 februari 2015 11:58

Nee ik ben inderdaad geen touch id gebruiker.

Ik doelde ook niet specifiek op touch id, meer op vingerafdrukscanners in het algemeen.
Maar ook bij touchid moet het mogelijk zijn (alleen kun je je afvragen hoe interessant het is om daar echt goed onderzoek naar te doen).

De scanner kan prima leren, maar als ik ineens een dikke snee in mijn vinger heb valt er weinig te leren. Dan moet je toch terugvallen op dat "ouderwetse" wachtwoord/pincode

core_dump @timberleek • 16 februari 2015 12:37

Als ik een snee in mijn vinger heb kan ik een van mijn andere vingers gebruiken, Mijn iPhone kan 10 vingers 'leren' en volgens mij kan dat bij de Galaxy 5 ook. Tenzij je beide handen in een papierversnipperaard oet moet het wel goedkomen.

Maar ja, je kan ook je pincode vergeten

ASS-Ware @core_dump • 16 februari 2015 12:48

Als ik een snee in mijn vinger heb kan ik een van mijn andere vingers gebruiken, Mijn iPhone kan 10 vingers 'leren'

Volgens mij maar 5 hoor.

Verwijderd @timberleek • 16 februari 2015 12:56

vingerafdruk en irisscanner hebben alleen wel 1 grote flaw.

Volgens mij hebben wachtwoorden veel meer flaws dan vingerafdrukken (5 inderdaad op mijn iPhone 5s ).

Zodiac 16 februari 2015 11:50

"Wie bang is dat iemand de code op zijn telefoon afkijkt, zou af en toe zijn vinger op de speaker kunnen leggen en een willekeurig getal invoegen."

Jeetje, wat is er mis met het vragen of de afkijker zich met z'n eigen zaken bemoeit? Lijkt mij best moeilijk om niet op te merken of iemand op je, veelal kleine, display probeert mee te gluren wat je aan het doen bent.

Grootstyr @Zodiac • 16 februari 2015 11:59

Op het moment dat je merkt dat iemand meekijkt op je telefoon en dus deze techniek gebruikt om de afkijker te foppen kun je inderdaad net zo goed gewoon je omdraaien of de persoon vragen of hij niks beters te doen heeft. Er zijn echter wel een hoop situaties waar je code kan worden afgekeken zonder dat je dit bewust opvangt. In deze gevallen zijn zowel onze oplossing(de sociale) als de oplossing uit het artikel(de technische) nutteloos.

Deze techniek werkt dus eigenlijk niet voor wat het moet doen, en de momenten dat het wel werkt is het overbodig door andere technieken.

Tokkes @Zodiac • 16 februari 2015 12:20

Je weet toch zelf ook goed genoeg dat dat niet de richting is waar de huidige maatschappij naartoe is aan het gaan? Als we maar zo weinig mogelijk moeten interageren met anderen mensen. Vooral in Azie lijkt het mij niet zo vanzelfsprekend voor iemand om gewoon even een praatje aan te slaan met iemand anders. En al helemaal niet om hem/haar te vertellen dat hij/zij zijn blik verdomme op iets anders moet richten dan op je phone.

Prulleman 16 februari 2015 11:35

leuk bedacht, maar totaal niet praktisch.. als je op een bepaald moment bang bent dat iemand je code afkijkt kan je je beter omdraaien of je telefoon terug in je zak stoppen

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (111)

Sorteer op:

Weergave: