Wetenschappers van een universiteit in New York hebben een inlogmethode ontwikkeld, waardoor phishing vrijwel onmogelijk moet worden. De methode werkt met een set afbeeldingen, waaruit de gebruiker vier plaatjes als wachtwoord kiest.
Het wachtwoord staat niet aan de kant van de server opgeslagen, maar alleen in een bestand op de computer van de gebruiker. Na het invoeren van de gebruikersnaam leest de site het bestand uit en kiest een set van twaalf afbeeldingen, waaronder de vier juiste.
De database bevat echter niet alleen de twaalf plaatjes die de gebruiker te zien krijgt, maar is veel groter. Wil iemand met een valse site het wachtwoord ontfutselen, moet die dus gokken wat voor plaatjes gebruikt zijn in het wachtwoord, leggen de wetenschappers van de Stony Brook University uit in hun paper. Omdat mensen alleen onthouden wat er op het plaatje stond, een boom of een hond bijvoorbeeld, maar de exacte details niet onthouden, is het lastig om het wachtwoord te ontfutselen. De site moet een grote set aan afbeeldingen hebben die kan worden gebruikt als onderdeel van het wachtwoord.
De techniek werkt volgens de wetenschappers, juist omdat mensen de details van de plaatjes uit hun wachtwoord vergeten. Volgens een kleine proef die ze hebben gedaan met enkele tientallen mensen lukte het geen van de deelnemers om hun wachtwoord succesvol in te voeren op een phishing-site. Deelnemers konden op de phishing-site zoeken op afbeeldingen, zoals boom of hond.
Het is onduidelijk of de wetenschappers de techniek gaan aanbieden of verkopen aan sites als inlogmethode. De methode kent ook beperkingen: het wachtwoord moet altijd op het device van de gebruiker opgeslagen staan. Daardoor wordt inloggen vanaf een andere pc of mobiel apparaat onmogelijk. Ook is het onduidelijk hoe het bestand met het wachtwoord op de computer wordt beveiligd tegen diefstal. Inlogmethodes, waarbij gebruikers afbeeldingen moeten selecteren, bestaan al langer.