Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties

Een Amerikaans bedrijf heeft software ontwikkeld die gebruikers kan identificeren aan de hand van hun typgedrag. Gebruikers zouden te onderscheiden zijn op grond van het ritme waarmee ze tikken en de toetsaanslagen die ze doen.

Volgens Matt Shanahan van het analyse- en adviesbureau Scout Analytics zou het systeem een betrouwbaarder beeld van computergebruik geven dan traditionele identificatie-methodes, zoals cookies en het in kaart brengen van browser-eigenschappen. Met die methodes zouden bijvoorbeeld computergebruikers die een account op een online informatiedienst delen, niet onderscheiden kunnen worden. Dat zou inkomstenderving voor een groot deel van de klanten van Scout Analytics, zoals aanbieders van diensten als betaalde content, betekenen.

De biometrische identificatiemethode die Scout ontwikkelde, meet de snelheid waarmee toetsen worden aangeslagen wanneer op een betaalde dienst wordt ingelogd. Ook wordt met de in javascript geschreven software gemeten hoe lang een toets wordt ingedrukt. Het algoritme vergt ten minste vijf inlogpogingen waarbij twaalf of meer karakters moeten worden ingetikt, alvorens een gebruiker met succes geïdentificeerd kan worden. Overigens is het typpatroon van mensen niet volledig uniek: naar schatting delen één op de twintigduizend mensen het gevonden patroon, maar samen met traditionele technieken als cookies zou dat voldoende zijn om individuen te herkennen.

De precisie van de software werd getest door twintig miljoen logins te analyseren: hieruit kwamen honderdvijfenzeventigduizend unieke patronen naar boven. De dataset had echter slechts honderddertigduizend geregistreerde gebruikers, wat zou betekenen dat de rest een account deelde. Het is overigens niet bekend welk percentage van de unieke patronen false positives betreft. Contentaanbieders kunnen van dergelijke data gebruik maken om inkomstenverlies door het delen van logingegevens te voorkomen, maar ook in rechtszaken zou de techniek bewijsmateriaal kunnen opleveren. Zo zouden claims dat een computer door derden gebruikt is voor illegale activiteiten weerlegd of juist bewezen kunnen worden.

Toetsenbord
Moderatie-faq Wijzig weergave

Reacties (77)

Volgens mij begrijpen de meeste hier niet helemaal waar het over gaat. Het gaat niet over een vervangende techniek voor authenticatie, maar voor identificatie, zoals dat nu door tracking cookies e.d. gedaan wordt.

Een cookie verbindt acties op een bepaalde site met een bepaalde browser: niet met een bepaalde gebruiker. Met de techniek die hier gepresenteerd wordt, zou het theoretisch mogelijk om zijn om zonder een cookie o.i.d. een gebruiker te identificeren. Het gaat hierbij niet om te bepalen dat jij Piet Klaasen bent, maar dat jij dezelfde bezoeker bent die gisteren op www.cnn.com zat. Dat verband wordt nu via tracking cookies gelegd en kan straks dus ook op andere manieren.

Het kan natuurlijk alleen werken op websites waar je ook daadwerkelijk iets moet in toetsen.

Uiteraard zou dit in principe deze techniek doorgetrokken kunnen worden naar een sterke authenticatiemethode in aanvulling op username/password, maar hier zitten te veel haken en ogen aan lijkt me, zoals hierboven door anderen ook al aangegeven.

[Reactie gewijzigd door mjax op 20 februari 2010 17:00]

Daaraan toegevoegd, niet zozeer dezelfde bezoeker welk gisteren op cnn.com zat, maar dat jij gewoon de persoon bent welk voor de licentie betaald heeft. Dit draait uiteindelijk om geld. Licenties voor sites waar dit interessant voor zal zijn kunnen wel enkele honderden tot duizenden dollars per jaar kosten. Als zo'n licentie dan vervolgens gedeeld wordt is dat een inkomsten verlies.

Zo is het voor wetenschappelijke journals niet ongewoon om te zien dat mensen vaak hun inlog delen om zo wat kosten te kunnen besparen. En tsja, of je nu 5 mensen hebt welk op 1 account van 250 / jr zitten of ieder voor zich betalen, maakt nogal een verschil.

Met extra tracking middelen als deze kan hierbij nog beter onderscheid gemaakt worden tussen verschillende individuen.
Dit zal zeer nuttig zijn voor grote internetmediabedrijven, aangezien ze zo nog meer gegevens hebben over de gebruiker. Ook kan je uit het type-gedrag afleiden of iemand oud of jong is: de kans is immers groter dat als iemand jong is, ook sneller typet.

In een rechtzaak heb je in europa niet zoveel hieraan denk ik. 1 op de 20.000 is zeer inaccuraat.
Ik reageer nu op de hypothetische cijfers van 1 op 20.000 en niet met betrekking tot de techniek zelf, maar je moet weten dat indien je een verdachte hebt en dat je tot op 99.995% zekerheid kan zeggen of hij het nu was of niet, wel, dat je dan een verdomd accurate methode hebt.

Getuigenissen wegen het zwaarste door in rechtzaken, ik kan je met zekerheid zeggen dat dit ook n van de minst accurate methodes is om iemand zijn veroordeling op te basseren. Hoe vreemd het ook mag klinken, dit is pure psychologie. Het is echter nog steeds beter dan kop of munt te doen, maar de accuraatheid zal zeker lager liggen dan 99.995%.


Voorbeeld
Stel nu dat een meisje wordt verkracht en vermoord, een getuige twijfelt of het de hoofdverdachte was of niet, echter neigt ze eerder er naar toe dat hij het was maar ze durft geen concrete uitspraken maken. Dit zorgt ervoor dat, zonder extra bewijsmateriaal, je in veel gevallen geen uitspraak krijgt.

Als ze dan kijken naar de chatlogs van een voorafgaand gesprek van het meisje en de 'anonieme' dader, en ze vergelijken het typprofiel van de dader met die van de verdachte. Het is hetzelfde profiel. De kans is nu 0.005% dat hij niet de dader is... Hier zal 100% zeker een uitspraak op volgen.
Toch verwacht ik niet dat het zo'n vaart zal lopen. Je hebt gelijk dat, als je kijkt naar de pure uitspraak een op twintigduizend, dat je een kans kan uitrekenen of hij wel of niet de dader is. Er komt echter te veel bij kijken om dit te kunnen doen.

Er staat niets over hoe die n op twintigduizend verdeeld is. Alle Nederlanders kunnen hetzelfde typgedrag hebben en alle Belgen een ander typgedrag en nog steeds kan je dan wiskundig uitkomen op n op de twintigduizend mensen heeft hetzelfde typgedrag. Echter kun je nu onmogelijk een rechtzaak oplossen met deze gegevens, immers alle Nederlanders kunnen het gedaan hebben.

Zo kun je bedenken dat mensen met dezelfde leeftijd, dezelfde afkomst en/of dezelfde familie misschien een grotere kans hebben op een vergelijkbaar typgedrag. Zolang hierover niets bekend is, kan je niets zeggen over de kracht van deze methode om te zeggen of iemand de dader is.
Je voorbeeldje met die landen is een beetje vreemd, maar opzich klopt wat je zegt wel.

Het is eerder te koppelen aan de leeftijdsgroep en de ervarenheid met de pc.

Op tweakers.net bijvoorbeeld zal minder verschil in typgedrag zijn dan op een meer all-round website, omdat de meeste tweakers hier wel een beetje fatsoenlijk typen. Op een all-round site heb je veel meer niveau's en zullen er dus meer verschillen zijn. Als die 1 op 20.000 gebaseerd is op een all-round site dan zal op tweakers.net het getal dus lager liggen.

Nu is natuurlijk de vraag hoeveel dit soort dingen gaan schelen, en ik denk dat er toch nog wel met een redelijk goede zekerheid is te zeggen of iemand iets wel of niet heeft getypt. Ervanuitgaand natuurlijk dat die persoon het systeem niet omzeilt door een hack of door simpelweg zijn typstijl aan te passen.

Het is dus wel redelijk te bevestigen of iemand iets wel heeft getypt, maar het is absoluut niet te bevestigen of iemand iets niet heeft getypt. Het is veel te makkelijk om eventjes een andere typstijl aan te nemen. Maar het faken van een typstijl van iemand anders is vele malen moeilijker. Met een speciale keylogger en een goede dosis programmeerkennis wel te doen, dus wie weet komen er in de toekomst apps om iemands typgedrag te loggen en te kunnen immiteren..
De 0.005% (wat weinig lijkt, maar in een land met veel inwoners is dit nog steeds een aanzienlijk aantal) die regelmatig onschuldig worden weggezet zitten waarschijnlijk te springen voor zulks een "accurate" tool.

Geen 99.9999% zekerheid maakt het een nutteloze tool gezien het over mensenlevens gaat. Of gaan ze autocomplete/roboforms/copy paste/je-toetsen-te-lang-inhouden ook strafbaar stellen?
Dan is het nog steeds geen nutteloze tool. In het geval van bovenstaande verkrachting is er ook nog een DNA spoor en is ook bekend waar de verkrachting gebeurd is. Heb je een type-afdruk hetzelfde als de dader, een DNA-profiel hetzelfde als de dader en was je in de omgeving van de verkrachting, dan ben je op zijn minst verdacht.
je zal maar zat of slaperig zijn en plots niet meer kunnen inloggen, terwijl je ZEKER bent dat je paswoord juist is :+
Ik kan wel meer redenen bedenken waarom mijn typ-gedrag verandert.. stel dat ik op een totaal ander keyboard zit (virtueel onscreen als ik op mijn mobieltje internet bv) of als ik met n hand aan het typen ben.. kan ik dan niet meer inloggen? :/
ze wijten nu meer unieke typpatronen dan geregistreerde gebruikers aan gedeelde accounts en durven niets bekend te maken over false positives.. voor mij is dit niet bepaald overtuigend genoeg om het binnenkort overal te willen zien.
Tja, ik merk ook dat ik beduidend anders type naar gelang het keyboard dat ik gebruik.

Een klassiek hoge toetsen keyboard is toch heel anders als zo'n oprolbaar labkeyboard, of een isolated style notebook toetsenbord. En dan nog telefoon qwerty, of onscreen keyboards op telefoons.

Maar behalve voor passwords, kan dit ook voor persoonsgerichte reclame dienste worden gebruikt. Een bijzonder onwenselijke ontwikkeling.
Goed gezegt op een laptop toetsenboard, logitec, standaard HP toetsenboard, toetsenboard van mijn E90 type ik ook anders.
Daarnaast type ik als ik aan het bellen ben of iets met een hand doe vaak 1 handig en dan wijk ik dus ook af van mijn normale typepatroon.

Deze software lijkt me vrij nuteloos aangezien mensen die dezelfde typecursus gevolgd hebben ook vergelijkbaar zullen typen.
Nee, het heeft te maken met je lichaamshouding, of je linker pink net iets langer of korter is, of je meer links dan rechtshandig bent of andersom. Ze kijken naar het ritme waarmee je tikt. En zelfs al heeft iedereen die dezelfde cursus heeft gevolgt in eerste instantie bijna hetzelfde ritme, dan nog gaat dat binnen korte tijd uit elkaar lopen doordat je andere dingen gaat typen. Mensen die veel woorden als BrEeZaH gebruiken of vaak Twitteren en extreem korte tweets sturen zullen anders met hun toetsenbord omgaan dan mensen die uitgebreide meta-analyse publiceren over extrachromosomale erfelijkheid en de invloed daarvan op het endoplasmatisch reticulum.

En als je op een ander toetsenbord werk dan nog zal de een bv zijn 'T' sneller op een 'K' laten volgen dan de 'W' op de 'F'. Misschien gaat het tempo omhoog of omlaag, maar de relatieve verschillen blijven.

Ik merk zelf heel duidelijk dat ik mijn eigen naam in een bepaalt ritme tik omdat ik dat zo vaak moet doen. En dat gebeurt op een PC in een internet cafe in Bangkok net zo goed als op mijn laptop op mijn werk

[Reactie gewijzigd door Ortep op 21 februari 2010 09:15]

En dat gebeurt op een PC in een internet cafe in Bangkok net zo goed als op mijn laptop op mijn werk
Daar zit welzeker een probleem:

Op een Azerty toetsenbord, een Noorse, Duitse of Dvorak toetsenbord typ je totaal anders. Daar houdt dit systeem vziw geen rekening mee.

Windows is zo'n dom systeem dat als je eerst inlogt hij altijd op Qwerty staat, maar als je dan standaard Dvorak hebt ingesteld en je logt uit en wil weer opnieuw inloggen (of je drukt per ongeluk op Alt-Shift wat de halve tijd gebeurt) staat 'ie op Dvorak. Dus op Windows loop ik de halve tijd in Dvorak en de halve tijd in Qwerty te typen, en dat is echt verschillend!
En dan hangt het ook nog af van de hoogte waarop het toetsenbord staat of ligt. Immers, je typt anders met je notebook op schoot dan met het notebook op tafel.
Inderdaad, wat reclame betreft inderdaad onwenselijk.

En in die context ook verschrikkelijk arrogant om over inkomstenderving te spreken omdat bepaalde mensen bereid zijn hun account te delen.

Wat stellen ze zich daarbij voor? Als je broer langs komt en hij je MSN account gebruikt dat je account geblokkeert wordt ofzo?
Of dat als je online gamed en je gasten op bezoek hebt dat die hun eigen account afsluiten?
Of denk ook bijvoorbeeld aan gekneusde of gebroken vingers en handen, dergelijke blessures kunnen je typgedrag zelfs permanent veranderen. Ben het met je eens dat de onderbouwing ook niet echt sterk klinkt... het meest interessant om te weten is natuurlijk hoe vaak het algoritme fout zit.

Het algoritme heeft wel 5x een input van 12 tekens nodig voor herkenning, dat lijkt mij erg omslachtig en geeft al aan dat het dus niet echt bepaald accuraat werkt. En 1 op de 20.000 mensen hebben exact hetzelfde patroon (lijkt mij erg sterk), waardoor de 'ouderwetse' cookies alsnog nodig zijn voor een accuraat resultaat? Tis volgens mij allemaal een beetje grootspraak, al helemaal omdat ze dus niet bekend maken hoe vaak het algoritme ernaast zit.

Er zijn nu al betere biometrische methodes om gebruikers te kunnen herkennen; zoals je unieke vingerafdruk, iris, stem, gezicht... Ik denk niet dat deze methode het gaat halen naast deze veel accuratere methodes, in theorie klinkt het al behoorlijk omslachtig.
Maar dat is niet hetzelfde:

Bij deze methode ligt het initiatief bij de aanbieder die iets wil weten,
bij biometrie ligt het initiatief bij de gebruiker die deze methode wil gebruiken, en als hij daar door de aanbieder door verplicht wordt moet hij daar eerst mee akkoord gaan.

De methode uit het artikel kan ook gebruikt worden voor mensen die er helemaal niet mee akkoord gaan met de apparatuur uit de jaren 80,, biometrie niet.
Behalve omslachtig werkt het denk ik ook nog eens niet.

Zo kan het type gedrag van personen ook veranderen. Bij mezelf bijvoorbeeld zat ik 10 jaar terug op 120 aanslagen per minuut. Inmiddels zijn dat er 540 per minuut (9 per seconde).

Ik zit zelf inmiddels voor mijn gevoel wel aan het maximale wat ik zou kunnen typen. Er zijn echter zat mensen die dagelijks nog sneller en sneller gaan typen. Als je sneller typt worden toetsaanslagen korter en zou dit systeem dus gaan falen.

Wat nou als je een paar maanden niet inlogt op dit systeem en je type gedrag veranderd is, hoe moet dit systeem jou dan nog herkennen als correcte gebruiker? Ik zeg FAIL. :)
En als je een finger hebt gekneusd of iets dergelijks... of als je met 1 hand aan het typen bent want je eet/drinkt/belt...
Zelfs zomer/winter, glijden je fingers weg van zweterige handen of ben je tragen omdat je handen nog ijskoud zijn van buiten?

Onschuld tot schuld is getoond, dus toon maar aan dat er iemand anders zat en niet een van die dingen. Kan me niks bedenken waarmee het daadwerkelijk gebruikt kan worden, behalve een schatting te geven van het aantal unieke content gebruikers.

[Reactie gewijzigd door Xanaroth op 20 februari 2010 15:51]

Daar zat ik ook aan te denken inderdaad. En dan zijn er ook nog verschillende emoties bijv. als je boos bent heel snel typt en als je slaperig bent je langzaam typt.
Het zal dan denk ik ook niet gaan om de absolute tijden dat iemand een toets indrukt. Om een fingerprint te maken moet je vooral gaan kijken naar de relatieve tijden (dus de verhoudingen tussen de tijden).

@Lord Daemon: Deze methode is ook alleen maar mogelijk als je flash of javascript aan hebt staan.
"En toen henkie zijn pols brak, kon hij niet meer inloggen."

Ik vraag me af hoe goed dit werkt - in een standaard situatie geloof ik wel dat het prima doet wat er gevraagd wordt, maar in speciale situaties denk ik dat dit een legitieme gebruiker buiten zal sluiten.
Het is overigens niet de bedoeling om in te loggen zoals de meesten hier denken. Tweakers weet zonder ingelogd te zijn ook dat je bevoorbeeld gisteren ook al op tweakers zat. Dat heet tracking cookies, en sommige van die trackers worden verwijderd door bevoorbeeld Norton, anderen niet. Je zou verbaasd kunnen zijn hoeveel sites kijken of je ooit al eens de site bezocht hebt en hoeveel pagina's etc aan de hand van cookies, omdat IPs nogal eens veranderen.
Ik snap er niets van. Hoe kan je nu server-side meten hoe lang iemand een toets ingedrukt houdt en met welk ritme hij typt? Als ik hier in dit "Reageer"-vak aan het schrijven ben krijgt tweakers.net toch helemaal niets te zien totdat ik op "Versturen" druk, en dan krijgen ze simpelweg mijn tekst? En al laat je mij ergens inloggen waar ik wel een directe verbinding heb die elke toetsaanslag registreert, dan is dus het enige wat ik nodig heb om deze "beveiliging" te omzeilen een programmatje dat mijn toetsaanslagen normaliseert voordat deze aan de applicatie in kwestie worden doorgegeven. Lijkt me volkomen lek.
het is geschreven in javascript... dus clientside... wel heel makkelijk te omzeilen idd
cookies zijn ook clientside en aanpasbaar. Dus als je zo gaat vitten...
Het punt is dat deze techniek bedoeld is om het delen van (betaalde) accounts tegen te gaan. Daar zijn (neem ik aan) nu al een aantal technieken voor, maar kennelijk werken die niet of niet voldoende. Vermoedelijk is het vooral lastig om meerdere gebruikers die dezelfde pc gebruiken uit elkaar te houden (omdat alle technische eigenschappen, zoals IP, OS-versie, browser-merk en -versie, opgeslagen cookies, identiek zijn).
Aangezien het daarvoor bedoeld is, moet je het ook daarop beoordelen. En in die sitiuatie denk ik dat het best zou kunnen werken (met "werken" bedoel ik dat er weinig false-positives zullen zijn, een hoog aantal false-negatives zou (te beoordelen naar het artikel) wel een probleem kunnen worden).

Uiteraard gaat het hier om betaalde accounts, dus zit er geld in, dus is er iemand die hier een "fix" voor verzint. Als je goed bent in het schrijven van drivers, begin vast te schrijven aan een progje dat toetsaanslagen filtert en ze allemaal even lang laat duren en even ver uit elkaar legt, daar zou over een paar maanden best opeens vraag naar kunnen zijn. :p
Door middel van AJAX kan je al informatie naar de server versturen voordat je op verzenden drukt.
Maar iemand zet JavaScript uit en je hebt niets meer ;)

[Reactie gewijzigd door Psycho-18 op 20 februari 2010 18:31]

In de tekst hadden ze het over Javascript.
Ook wordt met de in javascript geschreven software gemeten hoe lang een toets wordt ingedrukt.
Om maar n van de vele voorbeelden te noemen die je typ gedrag benvloeden. Ik denk niet dat dit soort toepassingen van beveiliging op dit niveau zullen gaan werken.

Kom je lekker strontlazerus terug van het stappen, wil je nog even snel wat checken op je pc, kan je niet inloggen.. :)
Soms zou dat best een goede methode zijn tegen het typen van "verkeerde" berichten ;).
Dan moeten we toch maar eens uitzoeken wat betrouwbaarder werkt, typegedrag vergelijken of de "mail goggles" (dat "Labs" ding) van GMail. ;)

[Reactie gewijzigd door robvanwijk op 22 februari 2010 00:48]

Op zich een leuke gimmick, maar het praktisch nut ervan valt nogal te betwijfelen. Zelfs al zou ik de hele dag met hetzelfde typritme of typpattroon typen, dan gebruik ik nog steeds meerdere computers. Dagelijks gebruik ik ongeveer 4 tot 5 toetsenborden die allemaal net wat anders typen (wat je zelf ook kan voelen als je na een tijdje typen een ander toetsenbord neemt), dus dat zijn al 5 verschillende patronen.

En dan nog, over het algemeen typ ik 's ochtends bij lange na niet zo snel als 's middags, en ook nog wel sneller dan 's avonds. Bij mensen die dus veel typen zal je dus ook opmerken dat het patroon veranderd afhankelijk van het moment van de dag.

Als laatste zijn er ook genoeg mensen die een wachtwoordbeheerder gebruiken (ik dus ook). Nu weet ik dat Opera niet zon heel erg groot marktaandeel heeft, maar toch wel groot genoeg denk ik dat veel mensen zijn die met hetzelfde patroon ctrl+enter gebruiken :)
Hmm, hoe meer ik een paswoord heb getypt, hoe vlotter dat gaat. En wat als je in een enthousiaste bui bent? Of juist moe? :P
Denk niet dat ze het kunnen patenteren. BioPassword doet dit al jaren. Kortom weinig nieuws onder de zon. Overigens een erg matige biometrische techniek is aanslagherkenning.
Sterker, ik heb het 20 jaar geleden al eens bedacht als idee. Maar toen nog onuitvoerbaar geacht. Ik had het moeten patenteren...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True