Authenticatie via typemethode

De Universiteit van Regensburg heeft een methode ontwikkeld om een gebruiker aan de hand van zijn typetechniek te herkennen. De techniek moet wachtwoordbeveiliging gaan vervangen.

Tijdens de afgelopen jaren is meerdere malen duidelijk geworden dat de traditionele wachtwoordbeveiliging niet de veiligste manier van beveiligen is. Biometrische vervangers laten minder ruimte voor gebruikersfouten, maar zijn aanzienlijk duurder om te implementeren. De Universiteit van Regensburg heeft daarom software ontwikkeld waarmee het mogelijk is om, aan de hand van veertien criteria, te bepalen of de persoon die achter het toetsenbord zit wel echt degene is voor wie hij of zij zich uitgeeft. Zo houdt Psylock, zoals het programma heet, de typesnelheid en het typeritme bij, maar daarnaast wordt ook gekeken naar wat voor soort fouten vaak gemaakt worden, hoe die worden verbeterd, hoeveel vingers er gebruikt worden tijdens het typen en of de typist links of rechts is.

Het programma werkt eenvoudig: de gebruiker typt een zin over en de software controleert ondertussen of de typemethode overeenkomt met het gekozen profiel. Moeheid, stress of een handblessure kunnen invloed hebben op de accuratesse, waardoor Psylock niet in alle omstandigheden toegepast kan worden. Een traditioneel wachtwoord moet dan alsnog uitkomst bieden. De onderzoekers werken sinds 1993 aan het programma en zijn zó overtuigd van de veiligheid, dat gewerkt wordt aan de integratie van Psylock met software voor digitaal bankieren. Verder is men druk bezig met verdere implementatie van de techniek: vanaf het komende collegejaar gaan alle medewerkers en docenten van de Duitse universiteit en een aantal bedrijven met het programma werken.

Psylock logo

De onderzoekers hopen op den duur zover te komen dat er een wereld zonder wachtwoorden ontstaat. Om dat doel te bereiken, wordt onder meer gewerkt aan programma's waarmee op een computer kan worden ingelogd en waarmee toegang verkregen kan worden tot beveiligde websites. Verder is men al aan het denken over software die constant controleert of de juiste gebruiker nog wel achter het toetsenbord zit. De makers van Psylock hebben laten weten dat een licentie ongeveer 8 euro per gebruiker zal kosten. Via www.psylock.de kunnen geïnteresseerden een demoversie van de software testen. Ook is het daar mogelijk om 'aanvallen' uit te voeren op andermans account, zodat kan worden nagegaan hoe goed de beveiliging in de praktijk werkt.

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 15-06-2007 11:06
64 • submitter: MuddyMagical

15-06-2007 • 11:06

64 Linkedin

Submitter: MuddyMagical

Bron: Reformatorisch Dagblad

Lees meer

Google stelt usb-key voor als alternatief voor wachtwoord Nieuws van 19 januari 2013
Nederland kent hoogste percentage internetbankierders van Europa Nieuws van 24 april 2008
Handpalmscanner in muis moet pc beveiligen Nieuws van 11 september 2007
Belastingdienst blundert met advies DigiD Nieuws van 4 april 2007
Webcam met driedimensionale gezichtsherkenning gespot Nieuws van 29 maart 2007
'Nieuwe virustrend voor 2007: Ransomware' Nieuws van 12 februari 2007
Paypal krijgt 'Security Key'-beveiliging Nieuws van 11 januari 2007
'Wachtwoordexplosie' baart VN-telecomorgaan zorgen Nieuws van 4 december 2006
FBI slaagt er niet in encryptie pc van moordenaar te breken Nieuws van 24 oktober 2006
Persoonsgegevens Second Life-spelers op de digitale straat Nieuws van 12 september 2006
Oude mobieltjes vaak vol privégegevens Nieuws van 3 september 2006
McAfee-bug kan gevoelige data blootleggen Nieuws van 3 augustus 2006
ABN Amro beveiligt met spraakherkenning Nieuws van 21 juli 2006
Meer producten en artikelen
Netwerk en systeembeheer Beveiliging Biometrie

Reacties (64)

-Moderatie-faq
64
64
21
16
0
38
Wijzig sortering
MavhRik
15 juni 2007 11:08
Hmm, komt vrij nutteloos over bij me vooral door deze zin:
Moeheid, stress of een handblessure kunnen invloed hebben op de accuratesse, waardoor Psylock niet in alle omstandigheden toegepast kan worden. Een traditioneel wachtwoord moet dan alsnog uitkomst bieden.
wumpus
@MavhRik15 juni 2007 11:34
Het helpt ook niets tegen een van de grote nadelen van wachtwoorden: je kan ze loggen door middel van een keylogger en weer afspelen. Je hoeft alleen maar de timings mee te nemen nu...

Als je toch biometrische beveiliging wilt neem dan een fingerprint scanner, die kosten ook niets meer tegenwoordig.

Verder werkt challenge/response authenticatie (bijvoorbeeld een token dat aan de hand van je vingerafdruk je herkent en dan een one time code genereert) erg goed in het geval je bang bent voor meekijkers en keyloggers.

[Reactie gewijzigd door wumpus op 15 juni 2007 11:40]

12013
@wumpus15 juni 2007 11:41
Dat werkt niet. De gegenereerde zin is elke keer anders, dus het is erg lastig te voorspellen :)

Wat WEL zou kunnen is dat je door uitgebreide analyse (net zoals het progje zelf) er achter kan komen wat de kenmerken zijn van iemand zijn tikken, en met een apart programmatje dit simuleren. Maar dat is wel degelijk wat anders dan een simpele keylogger met timings :Y)
Anoniem: 140741
@wumpus15 juni 2007 11:40
Op het moment dat er een keylogger in je systeem zit ben je d'r sowieso geweest. Dan heb je een 'indringer' die aan je hardware kan sleutelen, plus dat-ie alles ziet wat je ingetypt hebt.
Dutch_Razor
@wumpus15 juni 2007 18:21
Ahum Mythbusters heeft aangetoond dat fingerprint zo te vervalsen is, ze hadden zelfs een keer succes met een door kopieermachine gekopieeërde vingerafdruk, die natmaken en op je vinger leggen.
Bor
@Dutch_Razor16 juni 2007 11:53
Dat hangt natuurlijk totaal af van het geimplementeerde systeem. Ook op dat vlak staan de ontwikkelingen niet stil en ook hier kun je goedkope systemen niet vergelijken met de vaak betere duurdere implementaties.
simen
@Dutch_Razor16 juni 2007 16:27
[sarcasm]
Ah, gelukkig dat een totaal onafhankelijk en professioneel programma als Mythbusters het even voor ons uitgepluist heeft. Nu weten we tenminste dat die tak aan technologie onzinnig en inferieur is.
[/sarcasm]

Onthoud dat niet alle vingerafdrukscanners voor een tientje bij de mediamarkt liggen.
Luuk1983
@MavhRik15 juni 2007 11:11
Ja in dat geval ontgaat mij het hele nut van die beveiliging. Je typt een zin en krijgt daarna de melding 'U wordt niet herkent, wilt u het traditionele wachtwoord invullen?'. Ja, dan heb je weer dat wachtwoord, wat de 'zwakste schakel' is.

Stomme beveiliging op deze manier. Hoewel de resultaten van zo'n onderzoek natuurlijk prima gebruikt kunnen worden bij verdere ontwikkeling van beveiliging. Ik denk dat de toekomst een combinatie is van een aantal criteria. Dus mogelijk biometrisch als deze beveiliging etc.
XanderDrake
@MavhRik15 juni 2007 11:29
Ik denk dat dat niet de enige "maar" is aan deze techniek.

Vervelende programmatjes zoals geavanceerde keyloggers kunnen binnen no-time berekenen hoe je typt enz. Ze moeten vervolgens een profiel opslaan, dit uploaden naar hun "meester".
Die kan vervolgens persoonlijk op zelfs op afstand doen of ie de gebruiker is en VIOLA, keihard gehackt...
SlimNewRatSkin
@XanderDrake15 juni 2007 13:45
Wat heeft VIOLA hier mee te maken? Kan het zijn dat je voilà bedoelt?
DJMurtz
@MavhRik15 juni 2007 21:21
Doet me denken aan de duimscan op mijn laptop van school. Een klasgenoot moet even op de laptop "oh, doe maar even 3x met je vinger eroverheen en vul daarna na de errors 12345 in als wachtwoord".... |:(
Dunrob
15 juni 2007 11:10
Als dit toegepast gaat worden krijgen ze heel wat frustrerende reacties ben ik bang. Ze zeggen zelf al dat het niet goed werkt als je gestressed bent. Onderhand de hele bevolking is tegenwoordig gestressed |:(
dfr0st
@Dunrob15 juni 2007 11:21
Dus je hebt dan een gestrest tik patroon, dan kun je niet meer inloggen als je niet gestrest bent. Dan wordt je weer gestrest omdat je niet in kan loggen en kun je opeens weer inloggen en gestrest verder werken.

:D
Anoniem: 194589
15 juni 2007 11:30
Ik heb vroeger een typediploma gehaald en kan erg snel typen dus zelfs als mensen meekijken weten ze mijn wachtwoord niet. Bovendien verwacht ik met deze methode dat er weinig mensen zijn die een willekeurige zin net zo snel kunnen tikken.

Maar het probleem van keyloggers heft dit voordeel natuurlijk op (en de beveiliging zoals iemand hierboven al beschreef).

Er is volgens mij nog een andere manier van paswoorden gebruiken, nl. door niet letter voor letter een paswoord te typen, maar door een paswoord door het tegelijk aanslaan van een aantal toetsen (evt. gevolgd door meerdere combinaties). Bv. een paswoord wat bestaat uit het tegelijk indrukken van de toetsen q, t, y en p en daarna de toetsencombinatie a, f, j en p. Als je ook nog de loslaatvolgorde opslaat zijn het aantal mogelijkheden om een paswoord te bedenken van 1 of 2 combinaties bijna oneindig groot. Een paswoord is dan bv:
- Tegelijk indrukken van de toetsen q, t, y en p
- Loslaten q
- a indrukken (rest nog vasthouden)
- y en p loslaten
- toetsen n, j en m indrukken
- alles loslaten

Natuurlijk kan een timed en press/up down keylogger hier ook weer hulp bieden maar dat geldt voor elk mogelijke toetsinvoer (zelfs als je de muisbeweging bij een paswoord betrekt en een muislogger gebruikt).
Anoniem: 218847
@Anoniem: 19458915 juni 2007 11:34
Is dit niet wat vergezocht? Ik denk dat mensen op senioren.net niet meer kunnen inloggen dan :)
Anoniem: 194589
@Anoniem: 21884715 juni 2007 11:38
Het is alleen als toevoeging ... je kunt ook paswoorden op de ' normale' manier maken maar met combinaties van toetsen kun je veel sneller paswoorden invullen (en onthouden).
S2K
15 juni 2007 11:07
Dit lijkt heel erg op: http://www.biopassword.com/
djexplo
15 juni 2007 11:09
Een traditioneel wachtwoord moet dan alsnog uitkomst bieden.
En omdat de gebruik dat wachtwoord haast nooit meer gebruikt, word het opgeschreven om niet te vergeten, en heb je weer een systeem gecreerd wat alleen maar de onveiligheid verhoogt!
Gummbahla
15 juni 2007 11:10
Ik vraag me sterk af of met slechts één zin zo'n grote nauwkeurigheid te behalen valt, dat je mensen uniek kunt identificeren...
Mensen die met twee vingers typen kun je volgens mij toch al haast niet identificeren? Daar zul je zo'n groot verschil hebben per zin, dat er voor die software geen touw aan vast te knopen is.
Bovendien is het niet erg klantvriendelijk om iemand eerst een hele zin te laten invoeren, hoe veilig het ook moge zijn.

[Reactie gewijzigd door Gummbahla op 15 juni 2007 11:12]

yjanse
15 juni 2007 11:13
After some consideration, I think the right answer is: mijn god wat is die website traag.
TheSiemNL
15 juni 2007 11:18
Wat een onzin, kom je ergens waar ze geen QWERTY hebben, dan ben je toch effe aan het zoeken.
b19a
@TheSiemNL15 juni 2007 12:06
Dan stel je het toetsenbord toch in als Qwerty? Dat kan alweer sinds 2002... :O
Anoniem: 183609
@b19a15 juni 2007 12:27
do it but ...

als je nog niet aangemeld bent !! :+
intel_478
@Anoniem: 18360915 juni 2007 12:53
Vista (o lieve vooruitgang) kan dat wel
SPee
@b19a15 juni 2007 15:21
Maar als je die posities niet uit je hoofd weet, is het nog lastig om de juiste QWERTY teken te zoeken op een niet-QWERTY toetsenbord :)
RemcoDelft
15 juni 2007 11:48
Ik herinner me ook een onderzoek ooit, waaruit bleek dat het aan de hand van de tijd tussen aanslagen, zeer grofweg, en na lange analyses, mogelijk was te bepalen wat iemand typt... Oftewel ook via een encrypted verbinding was er op die manier aan de tijd tussen de aanslagen informatie uit te filteren.

De beveiliging uit dit artikel maakt een man-in-the-middle-attack op bovenbeschreven manier natuurlijk nog veel makkelijker, dan komt alle "encrypted" informatie zo langs!
Bor
@RemcoDelft15 juni 2007 12:46
Gezien veel mensen niet met 10 vingers typen (en dan nog) is het mogelijk statistische analyse uit te voeren op een opgenomen geluidsfragement waardoor met redelijke zekerheid te zeggen is wat er is ingetypt. Deze detectiegraad kan natuurlijk zeer makkelijk verhoogd worden door woordenboek controle etc. Sterker nog, het is mogelijk op afstand te detecteren wat er wordt ingetypt door zeer nauwkeurige stralingsmetingen (we spreken dan wel over CIA achtige methodes).

[Reactie gewijzigd door Bor op 15 juni 2007 12:47]

Bor
15 juni 2007 12:33
Op GoT loopt er een draadje van 2 studenten die onderzoek doen naar deze methode. Daar is ook veel interessants te lezen.
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee