Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Authenticatiemethode moet mens van spoofing-bot onderscheiden

Twee Amerikaanse wetenschappers hebben een nieuwe methode ontwikkeld om spoofing-bots van mensen te onderscheiden. De methode is gebaseerd op de snelheid van de toetsaanslagen en is bedoeld voor authenticatieservers.

Om aanvallen van spoofing-bots op individuele computers tegen te gaan, hebben Danfeng Yao en Deian Stefan TUBA ontwikkeld. Deze nieuwe authenticatiemethode houdt rekening met de snelheid waarmee url's, mailadressen en wachtwoorden wordt ingetikt.

Danfeng Yao is assistant professor bij Viriginia Tech en Deian Stefan is doctoraalstudent aan de computer science-afdeling van de Stanford University. Als hun nieuwe methode op een authenticatieserver wordt geïmplementeerd, bepaalt TUBA de snelheid van de gebruiker. Als TUBA genoeg gegevens heeft verzameld, verwerkt het de informatie in een profiel van de gebruiker.

Nadat de trainingsfase is afgerond kan een verdachte handeling bij de authenticatie van een gebruiker worden gedetecteerd. De gebruiker moet dan van TUBA een aantal namen, url's en e-mailadressen invoeren. De server genereert de gegevens die de gebruiker moet tikken aan de hand van informatie uit de trainingsfase. Als deze gegevens zijn ingevoerd, kan TUBA beoordelen of het door een menselijke gebruiker of door een bot is gedaan.

"De snelheid van een toetsaanslag is een goedkope manier om individuele gebruikers te authenticeren", zegt Yao. Volgens het onderzoek gaf TUBA in 4,2% van de gevallen een false positive of een false negative. In zo'n geval werd de persoon geblokkeerd of de bot doorgelaten.

Yao, houdster van een patent op het gebied van computerbeveiliging, waaronder deze anti-spoofingtechniek, gaat hiervoor een bedrijf oprichten. Hierover vindt overleg plaats met Virginia Tech en haar voormalige werkgever Rutgers University. Er is dus kans dat de authenticatietechnologie op de markt komt.

Door Elke Ross

Stagiair

02-11-2010 • 17:47

92 Linkedin Google+

Reacties (92)

Wijzig sortering
Het lijkt mij dat er vooral gekeken wordt naar de snelheid tussen lettercombinaties (in procenten) dan in eigenlijke snelheid.

Zo zal er wel een verband te leggen zijn tussen de procentuele snelheid tussen 2 letters onderling ten opzichte van de hele zin. Het verschil in snelheid tussen de 'd' en de 'e' zal sneller liggen dan bv. de 'b' en de 'p'. Als je dan met een handicap zit waardoor je trager typt, dan gaat meestal de snelheid tussen 2 verschillende letters nog wel hetzelfde zijn als je dit projecteerd op de snelheid van het intikken van het hele woord/zin.

Zoiets lijkt me eerder aan de basis te liggen van dit systeem dan te kijken naar absolute tijden zoals door velen als probleem geopperd wordt.
Is het niet makkelijker om te kijken of input afkomstig is van software, of van een toetsenbord? Het OS weet dit (of hoort dit te weten) en kan het dus vast wel doorgeven aan dergelijke software.

Sowieso vind ik het wel erg elaboraal om zoiets te gebruiken. Je bent wel ultra-paranoide als je zoiets op je PC zet, terwijl een virusscanner al alarm slaat vóórdat het kwaad geschied heeft.
Een toetsenbord geeft het signaal ook door aan software, al kan dat misschien getraceerd worden tot peripheral input oid. En wat nou als je een touchscreen gebruikt? Dan is er geen peripheral input.. Of wordt de touch-laag in het scherm dan gezien als peripheral?
Beste manier om spambots tegen te gaan: http://imgs.xkcd.com/comics/constructive.png

:'D

[/off-topic]
Erg recent ook, deze comic. Zijn ze helderziend?

Ot: lijkt me idd niet practisch. Testen of een wachtwoord in < 1 sec ingevoerd wordt is net zo makkelijk.
Zou kunnen :p

Ik vond hem wel leuk bij het nieuwsartikel passen. Zou helemaal cool zijn als het nog werkt ook *droomt verder*

Ot: Lijkt me inderdaad niet erg praktisch nee. Die < 1 sec methode lijkt me dan misschien beter, al weet ik niet precies hoe de methode met die vingeraanslagen/typstijl werkt. Beide methodes zijn op zich wel interessant.
Copy paste, en je kunt niet inloggen.
Nu dus wachten op de 1 vinger per hand intoest techniek
max 2 vingers plus 1 a 2 seconde om de vinger te verplaatsen
Met 2 vingers typ ik ook meer dan 1 teken per 2 á 3 seconden.
Klinkt typisch als: publicatie scoren, persberichtje bouwen, publiciteit genieten, en af en toe geciteerd worden als leuk academisch idee dat niemand in de praktijk gebruikt.
Jammer dat we nog steeds zo druk zoeken naar methoden om het voor gewone mensen lastiger te maken in plaats van boteigenaren en zo aan te pakken....
Sinds kort heb ik interesse voor het DVORAK toetsenbord layout. QWERTY toetsen borden zijn er op gemaakt zodat de armen van een typmachine niet in elkaar kwamen (ergens gelezen) :P DVORAK typ je vooral op de basislijn van je vingers, en dus vele malen sneller (na veel oefenen). Zou dit vaker tot een false fositive gezien worden? Er is welliswaar een trainingsfase las ik, maar als je ergens anders wilt inloggen en even met Qwerty moet typen? :?
Je bent aant werk hebt een koek in je hand en iemand aan de lijn dus de hoorn in je andere hand, je typt met je rechterpink langzaam je wachtwoord in....... ACCES DENIED
Wat is er mis met een vraag van:

"Geef de vorm en kleur van een sinaasappel"

Knappe bot...
Knappe bot...
Simpel gezegd: kwestie van text analyse en het aanleggen van een database van mogelijke onderwerpen / vraagcombinaties en bruteforcen maar..
Knappe Engelsman of Koreaan die dat snapt...
Een rijpe sinaasappel? Bedoel je de 3D-vorm, of 2D, ofwel een bol, of een cirkel?
Dit haalt niks uit , weet ieder wel denkend mens.
aleen het patent levert $$$ op...
het is ook zo te kraken door zelf te gaan meten als bot.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True