Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties

Volgens Britse wetenschappers toont onderzoek aan dat plaatjeswachtwoorden in combinatie met een door de gebruiker gekozen achtergrond gemakkelijk te onthouden en veilig zijn.

Het onderzoek, waarvan de resultaten op een vorige week gehouden conferentie van de Association for Computing Machinery werden gepresenteerd, borduurt voort op het basisidee van DAS, oftewel 'Draw A Secret'. Dat is op zijn beurt gebaseerd op het gegeven dat de menselijke geest veel beter in staat is om beelden te onthouden dan tekst, aldus onderzoeksleider Jeff Yan van de Newcastle University. Uit het onderzoek kwam naar voren dat 95 procent van de proefpersonen hun zelfgetekende plaatje na een week nog konden reproduceren.

Newcastle University Bij DAS tekent de gebruiker op een touchscreen een plaatje dat de plaats inneemt van het traditionele wachtwoord. Het zogeheten BDAS-systeem, waarbij de B voor 'background' staat, breidt dit uit door de gebruiker voor iedere website waar moet worden ingelogd een achtergrond te laten kiezen - denk bijvoorbeeld aan een bloemenachtergrond waarop een vlinder wordt getekend.

Het toevoegen van een achtergrond bleek gevolgen te hebben voor de complexiteit van de plaatjes die de proefpersonen tekenden: gemiddeld bevatten die tien bits aan extra informatie. Daarmee zijn de BDAS-plaatsjes 1024 maal zo veilig als hun DAS-tegenhangers, aldus Yan, die er aan toevoegt dat de veiligheidswinst in vergelijking met de traditionele tekstgebaseerde wachtwoorden nog een stuk groter is. De wetenschapper wijst erop dat mensen, juist door de cognitieve belasting van het onthouden van karakterreeksen, vaak veel te simpele tekstwachtwoorden kiezen. 'Een plaatje zegt meer dan duizend woorden is hier een erg toepasselijk spreekwoord', zo stelt hij.

XP-achtergrond met flauw tekeningetjeVolgens Yan is het een groot voordeel ten opzichte van DAS dat er niet in het midden hoeft te worden begonnen met tekenen - dat maakt het raden van 'passpics' een stuk lastiger. Wel moet de gebruiker weten waar hij met tekenen moet beginnen, maar het plaatje hoeft niet voor de volle honderd procent met het origineel overeen te komen. Microsoft heeft de onderzoeksgroep uit Newcastle blij gemaakt met een bijdrage van 95.000 euro om verder onderzoek te verrichten.

Moderatie-faq Wijzig weergave

Reacties (48)

Het lijkt me alleen niet erg practisch als je moet inloggen met 'meekijkers'. Als die éénmaal gezien hebben dat je een lachend gezichtje tekent, dan kunnen ze dat ook, zeker als je bedenkt dat het plaatje niet voor de volle honderd procent overeen hoeft te komen.
Praktisch is het idd niet echt (gezien je iedere pc met touchscreen, tekentablet of soortgelijke hardware moet gaan uitrusten) en daarbij duurt het tekenen van een wat complexere tekening altijd langer dan het intikken van 20 tekens. En je wachtwoord wil je natuurlijk wel iets duidelijker als een vierkantje ofzo. Daarbij zal ik wel bij de 5% horen, maar een plaatje vind ik lastiger om iedere keer hetzelfde te tekenen dan een wachtwoord iedere keer hetzelfde intikken.

Verder is het aanmaken van standaard wachtwoorden op die manier niet handig (wilt u de eerste keer inloggen, teken een rondje met daaronder een driehoek). Nog maar niet te hebben over de ICT beheerders die de users wachtwoorden moeten gaan vertellen als ze ze weer vergeten zijn, of nieuwe wachtwoorden moeten gaan bedenken.
Als je dit in praktische zin gaat gebruiken zal je waarschijnlijk niet een plaatje tekenen van een figuur, althans ik zou mn handtekening als wachtwoord gaan gebruiken, of een paraaf. Dit is vaak in 1 snelle beweging te doen en komt vaak overeen met wat je in het begin instelt. ook voor meekijkers zou dit redelijk veilig zijn omdat je je handtekening vaak in 1-2 seconden gezet hebt en er zoveel kleine toevoegingen in zitten dat ze niet zo snel kopieerbaar zijn.

Het lijkt me overigens wel handig als men dan ook de volgorde van tekenen gaat bekijken. Dit zal een stuk gecompliceerder wachtwoord opleveren, maar vereist wel dat er continu een verbinding is tussen client en server (het plaatje kan dus niet achteraf worden opgestuurd en gecontroleerd worden door middel van een verzendknop).
Minst veilige wat er bestaat, er zijn zat documenten in omloop met je handtekening. Aangezien het niet geheel hoeft overeen te komen, wat ook onmogelijk is, is het een stukje cake.

gewoon natekenen :)

[Reactie gewijzigd door DarkTemple op 5 november 2007 16:09]

Het hoeft niet perse dezelfde handtekening te zijn als waarmee je documenten ondertekend. Een iets andere paraaf zou wel prima werken, en dan hoef je hiervoor ook geen voorbeeld op het scherm te zien, omdat je uit je hoofd het wel goed genoeg doet. Verder is volgorde van tekenen van een handtekening erg moeilijk goed na te doen, zeker als je maar een paar seconde hebt om hem te zetten.

En ik kan me niet voorstellen dat mensen iets als goatse na willen gaan tekenen als wachtwoord. Als je dat uberhaupt uit je hoofd kan uittekenen wordt het tijd voor een afspraak bij de psychiater.
nog leuker: overtrekken :9 Ik kan namelijk papiertjes onder het werkoppervlak van mn tekentablet leggen, dus alleen even een document met handtekening pakken en overtrekken maar.
(Zo zie je maar weer dat de kleuterschool best wel goede ideen kan opleveren)
inderdaad gewoon natekenen... maar dan moet je wel iedere pixel (of bit) heel precies natekenen... Als je je graffiti wachtwoord fout invoert, mag je doodleuk opnieuw beginnen!
Ligt er een beetje aan hoeveel tolerantie er in dit systeem zit, en hoe precies je je handtekening elke keer opnieuw kunt tekenen. Ik bedoel, voor eenvoudigere handtekeningen is het vast wel mogelijk om deze voor 90% na te tekenen wanneer iemand deze een keer gezien heeft.
Maak er een handtekening van die op de derde berg van links begint en je hebt een snelle tekening die altijd redelijk hetzelfde zal zijn. Probleem van onthouden ook weer opgelost. Helemaal mooi dat je dan in plaats van tekst wachtwoorden, geschreven tekst wachtwoorden krijgt =) (Vooruitgang noemen we dat ;) )
Ik denk dat syteembeheerders hier niet op zitten te wachten.
Daarnaast is het een stuk onveiliger, aangezien wachtwoorden met stipjes worden afgeschermd op het moment van invoeren, als je gaat tekenen heb je al snel meekijkers.
Een vingerafdruk of irisscan lijkt me dan stukken beter en veiliger.
een oplossing zou kunnen zijn de lijntjes maar 0.3s te laten zien, zo "zweeft" er een lijntje achter je potlood aan.

Wel lastiger dat je dan zelf moet onthouden/inzien/gokken waar je normale tekening bijvoorbeeld iets kruist.

:)
Ik zie hier wel problemen mee. Mijn wachtwoord op de pc tik ik in een fractie van een seconde in. Als ik een plaatje zou moeten tekenen ben ik daar al snel een paar seconden mee bezig.
Iedereen kan gemakkelijk over je schouder meekijken naar je 'wachtwoord'. Het staat immers in het groot op je scherm.
Ook je wachtwoord even telefonisch doorgeven omdat je collega iets van je pc nodig heeft en jij ziek bent ofzo. "Ja het is vrij abstract mijn wachtwoord. Teken eerst een lijn van 4 cm die schuin naar boven loopt. Aan het einde moet je twee tegen de klik indraaiende krullen maken. Dan moeten er nog twee punten bij komen en veergeet de sierlijke krul daaronder niet"
Misschien is dit wel een goed voorbeeld waarom dit wel veilig is...

Ten eerste bewaar je je bedrijfsgegevens niet op je pc en ten tweede geef je je collega's niet je wachtwoord, ook niet als zij aangeven dat ze iets nodig hebben van jouw pc wanneer jij ziek bent.

Dan is dit een ideale manier om te voorkomen dat wachtwoorden door social engineering gestolen/ontdekt worden.

Dit is de ideale manier om social engineering tegen te gaan. Al denk ik dat er voor "nood" toegang altijd wel een manier is om met je normale username/password in te loggen.
wachtwoorden moet je nooit doorgeven, ook niet aan je collega......een goede filemanagement en gedeelde mappen moet die [problemen oplossen.

Ik heb 5 wachtenwoorden van 14 letters. 1 daarvan is bekend bij mijn ouders en maatje voor websites/mailbox die niet echt belangrijk is, als daarvan mijn ww zou uitlekken.

De andere 4 weet niemand en gebruik ik afwisselend voor verschillende zaken met verschillende prioriteten (sommige websites kunnen je ww monitoren zodat systeembeheer ze kan lezen, en dat willen we natuurlijk niet).

De ww onderling hebben geen relatie en zijn zelfstandige woorden die gewoon in me opkwamen.

Tis niet zo heel moeilijk om het allemaal in orde te hebben......tekenen is poep, ww zijn gaaf.
Ja, dat zijn allemaal regeltjes waar je je aan moet houden. Of je kan gewoon een plaatje tekenen en je hebt hetzelfde.
zelfstandige woorden hoeven geen zelfstandige naamwoorden te zijn... :P

overigens gebruik ik als wachtwoorden een reeks verspringingen op het toetsenbord. Zo heb ik al gauw 12 verschillende wachtwoorden, waarvan ik slechts het eerste teken hoef te onthouden, b.v. tweakers.net heeft het 'G' wachtwoord, slashdot heeft 'x', hotmail heeft '%', etc. Ik kan mijn meeste wachtwoorden niet eens uit mn hoofd opnoemen! Levert natuurlijk wel een probleem op als iemand het voor elkaar krijgt mn toetsenbord indeling op dvorak te zetten, maar goed, aan de hand van een standard toetsenbordje kom ik er dan ook wel weer achter...
Wedden dat er op de werkvloer de gekste wachtwoorden getekent worden....
Even serieus. Dit is wel een mooi initiatief voor het gewone wachtwoordensysteem.
Zoiets is volgens mij bijna niet te kraken. Met bijvoorbeeld bruteforce moet dan elke pixel berekend worden.
Denk ik niet. Hoe wordt de achtergrond gekozen? uit een serie achtergronden. Als je dus maar vaak genoeg een achtergrond uit de serie kiest heb je dus een redelijke selectie die overeenkomt met de originele collectie. Je hoeft dan alleen maar een serie achtergronden de kiezen en van een screenshot de gekozen achtergrond eraf te halen om de tekening over te houden.
Maar omdat je nooit weet waar de teken-lijn loopt moet je toch iedere pixel varieren t.o.v een achtergrondplaatje.
Of vergis ik me nu?
Hmm, straks moet het scherm eerst mijn vingerafdruk lezen en mijn iris scannen, dan pas kan ik een plaatje tekenen terwijl ik met mijn vrije hand een wachtwoord intyp. Volgens onderzoek blijkt deze methode vele male veiliger dan het BDAS systeem.

Je zal, net als je niet een simpel wachtwoord dient te kiezen, ook geen simpel plaatje moeten kiezen.
Vraag me trouwens af hoe het met de MS policy voor wachtwoorden werkt. Dat je En een cijfer En een hoofdletter in je wachtwoord dient te hebben. Moet je dan aan een minimaal aantal lijntjes voldoen of zo?
ik denk dat je beter je handtekening kunt gebruiken, ziet ook iedereen maar word niet zo makkelijk nagemaakt.
Na enkele keren lukt een handtekening vervalsen wel hoor. Volgens mij is dat idee erg onveilig
Geef mij voor de meeste systemen dan toch maar het oude vertrouwde wachtwoord.
Ik moet er niet aan denken iets te moeten tekenen als ik even snel wil inloggen, typ ik liever even een ww in.
geef mij maar gewoon lekker een wachtwoord met cijfers/letters/andere tekens...
tekenen is niks voor mij.. ben geen kunstenaar!
ben geen kunstenaar!
Hoeft ook niet. Als je het maar steeds op dezelfde manier 'slecht' doet

[Reactie gewijzigd door Ortep op 5 november 2007 15:08]

Ik zal vast niet de enige zijn die meteen aan handtekeningen moest denken?

Toch is dit een goede ontwikkeling. Een wachtwoord als "a9d&2&ld" onthoudt veel minder makkelijk dan een plaatje van - zeg - een diamant (/me luisterd Shine On You Crazy Diamond (Part 1) vandaar :P). Bovendien is een plaatje veel moeilijker na te tekenen, zeker als iemand een bepaalde stijl (of gebrek daaraan :P) heeft.
Zou mooi zijn om deze techniek te combineren met biometrie (handpalm herkenning met levend weefsel controle in muis).
Het meekijkprobleem verdient idd veel aandacht.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True