Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties

Wetenschappers van een universiteit in New York hebben een inlogmethode ontwikkeld, waardoor phishing vrijwel onmogelijk moet worden. De methode werkt met een set afbeeldingen, waaruit de gebruiker vier plaatjes als wachtwoord kiest.

Het wachtwoord staat niet aan de kant van de server opgeslagen, maar alleen in een bestand op de computer van de gebruiker. Na het invoeren van de gebruikersnaam leest de site het bestand uit en kiest een set van twaalf afbeeldingen, waaronder de vier juiste.

De database bevat echter niet alleen de twaalf plaatjes die de gebruiker te zien krijgt, maar is veel groter. Wil iemand met een valse site het wachtwoord ontfutselen, moet die dus gokken wat voor plaatjes gebruikt zijn in het wachtwoord, leggen de wetenschappers van de Stony Brook University uit in hun paper. Omdat mensen alleen onthouden wat er op het plaatje stond, een boom of een hond bijvoorbeeld, maar de exacte details niet onthouden, is het lastig om het wachtwoord te ontfutselen. De site moet een grote set aan afbeeldingen hebben die kan worden gebruikt als onderdeel van het wachtwoord.

De techniek werkt volgens de wetenschappers, juist omdat mensen de details van de plaatjes uit hun wachtwoord vergeten. Volgens een kleine proef die ze hebben gedaan met enkele tientallen mensen lukte het geen van de deelnemers om hun wachtwoord succesvol in te voeren op een phishing-site. Deelnemers konden op de phishing-site zoeken op afbeeldingen, zoals boom of hond.

Het is onduidelijk of de wetenschappers de techniek gaan aanbieden of verkopen aan sites als inlogmethode. De methode kent ook beperkingen: het wachtwoord moet altijd op het device van de gebruiker opgeslagen staan. Daardoor wordt inloggen vanaf een andere pc of mobiel apparaat onmogelijk. Ook is het onduidelijk hoe het bestand met het wachtwoord op de computer wordt beveiligd tegen diefstal. Inlogmethodes, waarbij gebruikers afbeeldingen moeten selecteren, bestaan al langer.

Phorcefield

Moderatie-faq Wijzig weergave

Reacties (77)

Vraag me af hoe veilig zoiets is. Moet toch makkelijker te kraken zijn.
Hoezo denk je dat makkelijk te kraken is? De phishing sites hebben inderdaad een probleem. Omdat de normale site de vier juiste er tussen zet kunnen de gebruikers succesvol inloggen. Maar de phishing site weet natuurlijk de vier juiste niet en doordat mensen blijkbaar de details van de plaatjes vergeten zullen ze dus daar niet succesvol kunnen inloggen.
En wat nu als de phising-site contact neemt met de echte server achter de rug van de gebruiker om (een eitje op zich), de gebruikersnaam + het bestand van de user invoert, en vervolgens domweg de plaatjes die de echte site aanlevert weer doorstuurt naar de gebruiker?

Een site die deze inlogmethode gebruikt zal immers de plaatjes moeten tonen voordat de user is ingelogd. Prima, welke dat zijn valt af te lezen uit een bestand op de PC van de gebruiker, hoe voorkom je dat een andere site daar ook bij komt? Een beetje trojan draait zijn hand hier echt niet voor om.

Je kan lagen toe blijven voegen tot je een ons weegt, wanneer je nog steeds van 1 medium gebruik maakt blijf je het risico lopen op phising. Betere oplossingen zijn dan bijvoorbeeld SMS-authenticatie of token generators. Deze "oplossing" maakt inloggen lastiger voor de gebruiker (immers, hij kan alleen vanaf 1 PC inloggen), meer moeite (plaatjes selecteren) en bied enkel schijnveiligheid.
De dingen die je noemt zoals een MiM en een Trojan hebben niets met Phishing te maken. Phishing is het tonen van een nepwebsite aan gebruikers, met als doel ze te laten denken dat het de echte website is om ze zo hun wachtwoord te ontfutselen. Je hebt dan geen virus of trojan op hun computer staan, en je hebt de situatie ook niet zo gemaakt dat je een MiM-aanval kunt uitvoeren. Je laat mensen gewoon naar je website surfen in de hoop dat ze denken dat het de echte is.

En dáár helpt deze methode dus goed tegen, omdat mensen op die phishingwebsites hun wachtwoord niet in kunnen vullen.
Je kan best een phishing aanval uitvoeren door die te combineren met een MITMA.
Je sluist dan de beveiligingsvraag van de server via je phishingsite door naar de gebruiker die het netjes in jouw nep site invult waarna je het het antwoord eventueel weer doorstuurt naar de server (zodat jij ingelogd bent. in feite kun je dan al de verbinding met het slachtoffer droppen).
Exact, een meest simpele vorm van MiM attack werkt nogsteeds, verder is er nu nog een extra afhankelijkheid toegevoegd (het bestand) dat ook weer beveiligd moet worden. Ook moet de browser met het bestand kunnen communiceren. Dus het bestand moet beveiligd worden, met een wachtwoord misschien? En dan heeft de volgende stap geen nut meer...

Er zal nog wat meer achter zitten, maar zo 1,2,3, scannend zie ik nog erg veel problemen. Alleen het concept: visuele wachtwoorden is wel solide, maar deze uitvoering nog niet.
Vraag me ook af of er gebruikt gemaakt kan worden van cache/cookie data.
Het idee erachter is dat je als gebruiker niet makkelijk opmerkt dat de url niet de juiste is.

Bijvoorbeeld, in plaats van paypal.com staat er paypalbank.com ofzo.

Door nu een plaatje (of meerdere) te koppelen aan een url wordt het voor de gebruiker makkelijker om te detecteren dat er iets mis is.

Meer zit er volgens mij niet achter, maar het zou wel effectief kunnen zijn.
Nou...Of juist niet. Als de phising site zegt dat er iets geïnstalleerd moet worden om in te kunnen loggen, en dan dat programmaatje het bestand wat op de PC staat doorstuurt ben je al halverwege. Laat dan de gebruiker op die site 4 plaatjes zoeken zodat je weet dat op de 4 plaatjes een hond, huis, boom en zon te zien moeten zijn. Dat bestandje zet je op je eigen pc, combineert dat met de 4 soorten plaatjes die de gebruiker heeft ingevoerd en je bent klaar.
Is natuurlijk wel wat lastiger dan de normale manier, maar deze manier brengt veel nadelen met zich mee. Ik vind het ideaal dat als iets online staat dat ik het overal kan bekijken en niet alleen op 1 PC op 1 OS. Even switchen van Linux naar Windows en je kan niet meer inloggen.

Geef mij maar gewoon een applicatie op mijn Android-telefoon waarmee ik in kan loggen, doe ik met 2-step verification ook en dat werkt gewoon goed en zonder veel gedoe.
Het zou nog veiliger zijn als de plaatjes een onderwerp bevatten, maar de vorm kan telkens anders zijn. Dus je kiest bijvoorbeeld een hond, maar bij elke inlogpoging krijg je een andere hond te zien. Je weet dat één van je plaatjes een hond is dus dan klik je net zo makkelijk op de Jack Russel dan op de Labrador. Op die manier wordt het kraken van een wachtwoord nog vele malen moeilijker.
Dan moet een hacker eerst alle duizenden plaatjes categoriseren wil hij uiteindelijke de juiste combinatie weten.
Het idee hiervan is dus juist dat de server misschien wel duizenden plaatjes van een hond heeft, maar alleen maar degene laat zien die jij heb geselecteerd: Als een phishing site jouw dus allemaal plaatjes van een hond laat zien, is de kans groot dat jij een verkeerde aanklikt, jij heb namelijk alleen maar onthouden dat het bijvoorbeeld een zwarte hond is. Hierdoor kan de phishing site niet precies achterhalen welk plaatje hij nodig heeft om in te loggen. De echte website zorgt er echter voor dat er geen plaatjes worden laten zien die voor verwarring kunnen zorgen. Daarom klik je daar dus wel altijd op de goede.
Een phising site zou dus eerst moeten achterhalen welke plaatjes de echte site laat zien. Daarvoor moet die site dan weer eerst toegang krijgen tot het bestand op je computer, en moet die vervolgens dan weer doorspelen naar de server.
Stel dat de gegevens in n cookie worden opgeslagen, dan zou n phishing site daar al niet zomaar meer bij kunnen komen. Dit betekend dus dat n phishing site opeens gebruik moet gaan maken van browser-lekken of virussen om die zelfde gegevens te achter halen, in plaats van dat ze gewoon 2 login velden neerzetten, en die gegevens doorspelen.
Daarmee haal je juist een deel van de veiligheid eruit. Mensen onthouden 'hond' en ook welke. Bij het kiezen pakken ze ook nog de juiste hond. Als je honderd verschillende honden hebt en elke hond is goed dan wordt de entropie veel kleiner dan in het geval dat je ook per se de juiste hond moet kiezen.
die phishing-site is misschien niet eens meer nodig. alleen een virus/malware die dat ene, of meerdere bestandjes opzoekt en doorstuurt. de hacker kraakt "even" het wachtwoord en logt daarmee in.
ik denk dat juist de faal er in zit dat het wachtwoord "onthouden" wordt. zoiets gaat gewoon weer gekraakt worden.
Mij lijkt dat het bestandje op je computer dusdanig geëncrypt wordt dat dit niet zomaar te kraken is, en dat het bestand alléén niet voldoende is om het wachtwoord te achterhalen (bijvoorbeeld: de server kan aan de hand van de combinatie gebruikersnaam en bestand bepalen wat het juiste wachtwoord is. Zonder dus het algoritme wat de server gebruikt, kan het wachtwoord alsnog niet achterhaald worden).

Als het wachtwoord met alléén het bestand achterhaald kan worden, dan is het wachtwoord niet nodig: het bestand zelf fungeert dan namelijk al als inlogmethode.
Dat kan alleen als de site de gegevens onversleuteld opslaat. En dat is weer niet veilig.
Het staat toch in het artikel? In het bestand op de pc staan niet enkel de 4 afbeeldingen die de gebruiker als wachtwoord gebruikt, maar ook een heleboel andere. De site onthoud welke afbeeldingen hij uit de file moet halen en zet deze tussen een reeks van andere afbeeldingen.
Bij een phishing site weet de server niet welke afbeeldingen hij uit het bestand moet halen en kan hij dus ook niet de juiste tonen (of t moet al heel toevallig zijn). De gebruiker gaat zijn afbeeldingen dan dus niet in de reeks vinden.

Ik ben er niet zo voor, als je niet op andere systemen als je pc kan inloggen heb je er niet veel aan in mijn ogen. Voor Tweakers alleen gebruik ik wekelijks al 6 a 7 verschillende toestellen om me in te loggen.
maar de phishing site kan natuurlijk wel categorieën maken, met daarin alle plaatjes die in die categorie toebehoren, een gebruiker die voor een plaatje met een rode auto kiest als wachtwoord zal dan voor de categorie auto's gaan en zal de kleur van zijn autootje wel onthouden
Volgens mij is dat dus het hele idee van deze methode: Stel dat een phishing site een hele database heeft opgebouwd met alle mogelijke plaatjes die er zijn voor het wachtwoord. En stel dat de gebruiker een mooie rode Ferrari heeft gekozen als 1 van de plaatjes. Op de website om in te loggen, wordt altijd maar 1 rode Ferrari laten zien als het juiste bestand wordt aangeleverd, namelijk de Ferrari die oorspronkelijk gekozen is. In de database van de website zitten echter honderden vrijwel identieke plaatjes van rode Ferraries. Als gevolg hiervan zal de gebruiker hoogstwaarschijnlijk niet exact de goede Ferrari aan kunnen wijzen op de phishing site, laat staan dan de gebruiker dit perfect goed kan doen met 4 verschillende plaatjes.
In het artikel staat ook letterlijk dat deze methode juist werkt omdat mensen de details van plaatjes vergeten, en daarom hun juiste wachtwoord simpelweg niet kunnen invoeren op een phishingsite.
Ik snap niet hoe het plots zo speciaal is om een wachtwoord lokaal op te slaan (en dat als "de oplossing die beter is als wat er nu bestaat")... Dit is toch absoluut niet nieuw? Het enige dat deze manier van "controle" moeilijker maakt is een man-in-the-middle attack (dmv DNS spoofing ofzo) of phising via email/links (ww.wpaypal.com/secure bv.) (omdat het wachtwoord niet "verstuurd" wordt). Maar het valt genoeg voor dat er gewoon een virus bij de client staat, dat de gebruiker doorstuurt naar een phising pagina of bepaalde elementen vervangt in de echte pagina. Datzelfde virus kan evengoed dat wachtwoordbestand, hier lokaal opgeslagen, uitlezen en zélf gebruiken lijkt mij.

[Reactie gewijzigd door Kosty op 5 november 2011 15:10]

Ja maar...
Als op de client enkel wat nummertjes staan (1365 = hond , 2469 = trein , 6420 = voetbal)
moet je dus zowel die numers uit de client "vissen" wat niet meer via de gebruiker gaat aangezien die enkel de plaatjes HERkent. En ook niet via de server want die weet niet welke bij welke gebruiker horen. Een hacker moet dan al de database van de serverplaatjes en het bestand van de client in bezit krijgen. Wat toch een heel pak moeilijker is als een fake site waar de gebruiker zijn paswoord en login gewoon intypt.

De vraag is natuurlijk als je dat op verschillende plekken/sites doet , kan je dan met dezelfde plaatjes wegkomen , zolang er andere code's onder zitten. Want als ik combinatie van plaatjes moet onthouden op 17 verschillende websites met 17 compleet verschillende databases an plaatjes dan vrees ik mn geheugen me in de steek zal laten.
Hehe ja en wat nu als je vanaf meerdere computers inlogt... moet je die plaatjes dan altijd met je meezeulen op een memory stick ofzo?
Maar het valt genoeg voor dat er gewoon virus bij de client staat, dat de gebruiker doorstuurt naar een phising pagina of bepaalde elementen vervangt in de echte pagina.
Dan ben je al aan de phishingproblematiek voorbij. Dat is gewoon geen phishing meer. De methode helpt tegen phishing zoals een kogelwerend vest tegen kogels werkt. Als je daar vervolgens met een kanon (virus) op gaat schieten, dan werkt het daar natuurlijk niet meer tegen.
maarre. op een gegeven moment zie je toch een patroon.. dezelfde 4 plaatjes als het wachtwoord zullen blijven verschijnen? :) :+
We hebben toch al de e-readers/e-dentifiers etc. ?

Banken gebruiken het, Blizzard gebruikt het ook voor battle.net.

Waarom in gods naam plaatjes?

Embed de code van de e-reader en alles gaat automatisch, wederom bestaat dit ook al in vorm van USB sticks, iPhone apps etc.

Mis ik iets essentieels? Of is dit plaatsjes systeem gewoon erg stom?
Wat een briljante FP :) Heel het artikel gaat juist over hoe het moeilijk te kraken is
Hoe moeilijk één deel te kraken is. De gebruiksvriendelijkheid laat echter te wensen over...
Lijkt me juist gebruiksvriendelijker. Gewoon 4 plaatjes onthouden. :)
Lijkt me juist gebruiksvriendelijker.
Nee, mij niet:
Daardoor wordt inloggen vanaf een andere pc of mobiel apparaat onmogelijk.
Ohnee? Keyloggers? Andere malware die bijhoud wat je doet?

Ergens moet de computer in verbinding staan met de server van de website die je bezoekt, en via die verbinding moet worden verstuurd welke plaatjes je aanklikt. Dan is een Man in the middle attack nog steeds mogelijk.
Maja, het gaat hier dan ook om phishing en niet om Man in the middle Attacks. Maar los daarvan, het zou toch net zo goed werken als alle afbeeldingen bij de serverkant staan en de server dus - door een selectie te maken - aantoont dat hij weet wie je bent waardoor phishing dus sowieso onmogelijk zou worden zonder al dat gedoe met het uitlezen van bestanden. Enige probleem hiermee is dat iedereen die meekijkt zonder enig probleem onthoud wat je wachtwoord is. Ik slaap en denk niet na... natuurlijk kan de phishing site hetzelfde doen...

[Reactie gewijzigd door David Mulder op 5 november 2011 14:03]

Wat ik denk dat je krijgt als het ook aan server kant staat, dat je dan gewoon laten we 20 keer probeert in te loggen en er komen telkens andere foto's maar die 4 die je nodig hebt blijven staan, dan weet je zo welke 4 dat zijn...
Ja blijkbaar dus niet anders stond het niet op de homepage he
Wel vriendelijk blijven, maar lees de eerste zin nog eens:
Wetenschappers van een universiteit in New York hebben een inlogmethode ontwikkeld, waardoor phishing vrijwel onmogelijk moet worden.
Tot nu toe is er nog geen enkel onkraakbaar systeem en ik zie hier ook wel wat flaws in. Via een virus kunnen dit soort bestanden toch vrij eenvoudig naar een centrale server toegestuurd? Onfeilbaar, nee. Moeilijker, waarschijnlijk wel.
Uiteindelijk zouden ze die data gewoon in de database bij kunnen houden in plaats van in een bestand op de computer. Ik vind het eigenlijk een beetje bizar dat ze het zo niet doen.
inderdaad, dan kunnen de gebruikers ook meteen inloggen op al hun devices.

dit brengt een ander probleem met zich mee: een user moet eerst inloggen vooraleer de site weet wie het is, maar dan is de inlogpagina generiek en dus phisbaar.

met cookies misschien, maar als een gebruiker die dan verwijderd lukt het weer niet.

[Reactie gewijzigd door AndrewF op 6 november 2011 18:05]

Ow dus alles wat Tweakers post is meteen super goed ? Beetje stomme redenatie..
Ik vind de titel verkeerd.

Dat vind ik jammer. Want op zich is het best wel een interessant artikel. Het idee dat je mensen een vorm van veiligheid kan bieden met iets dat ze moeilijk kunnen onthouden is heel bijzonder.

[Reactie gewijzigd door Magalaan op 5 november 2011 16:44]

Je zou hier ook direct een captcha aan kunnen verbinden, door een random eis aan de set geselecteerde plaatjes te stellen, zoals selecteer onder andere 1 afbeelding met een boom. Maar ik voel me toch niet helemaal veilig als het bestand met het wachtwoord op mijn computer staat opgeslagen.
Ik heb serieus mijn twijfels bij dit artikel. Als een gebruiker een set van 12 afbeeldingen te zien krijgt uit een pool van x aantal duizende afbeeldingen, is het enkel maar x aantal keer proberen om te zien welke 4 afbeeldingen er steeds terug komen.

Daarnaast is het gebruik van een password manager zoals lastpass een stuk voordeliger, hiermee kan je voor elke site een ander wachtwoord nemen, onthoud je enkel je master wachtwoord (wat natuurlijk complex genoeg moet zijn 20 char of meer).

Ik denk niet dat ze hiermee een serieus succes te pakken hebben, als gebruikers dan toch perse een makkelijkere manier willen van wachtwoorden, waarom dan niet op alle sites de beperking van een max aantal tekens weghalen en gewoon werken met wachtwoord zinnen.

Achjah, ze moeten zich met iets bezighouden he.
Een password manager is nog steeds gevoelig voor phishing: hoe ingewikkeld je password ook is, als je hem invoert op een phishing site ben je hem kwijt. Een password manager zorgt er alleen maar voor dat jouw wachtwoord niet met bruteforcen te kraken is. Dat heeft helemaal niks te maken met phising.

Een phishing site kan overigens niet zien welke plaatjes jij te zien krijgt zonder jouw key bestand in handen te krijgen. Hiervoor moeten ze dus trojans kunnen maken wat toch wel een stuk lastiger is dan n phishing site. Daarom werkt deze methode dus.
De methode kent ook beperkingen: het wachtwoord moet altijd op het device van de gebruiker opgeslagen staan. Daardoor wordt inloggen vanaf een andere pc of mobiel apparaat onmogelijk.
Dit is voor mij genoeg reden om te roepen dikke FAIL!

Op die manier heb je dus helemaal niets aan deze methode stel je gaat naar het buitenland op vakantie dan kan je niet eens inloggen bij je bank etc. hier schiet je dus helemaal niets mee op. Tenzij je een laptop meeneemt die je daar altijd voor gebruikt...
natuurlijk geen directe fail, maar een goede toevoeging Misschien. als ik kan bankieren op mijn smartphone: geen punt, ook niet in het buitenland :-)
Dit lijkt me meer een toevoeging dan een "complete" oplossing. Het is vergelijkbaar met de "Login Seal" van Yahoo. Die dient ook alleen maar als extra bescherming op je vast PC.

Het hele doel van die seal is om EXTRA bescherming te bieden op de PC waarmee je altijd inlogt. De ervaring leert dat mensen op hun eigen PC niet al te best op de beveiliging letten, want tsja het is hun eigen PC en die is toch echt veilig. Hoe vaak tuimen mensen niet in verkeerde inlog sites van banken, compleet met spellingsfouten en verkeerde adres in de adresbalk?
Hiervoor is het wel degelijk nuttig.

Op vakantie werkt het inderdaad niet, maar goed je kunt niet alles hebben. Als site kun je verschillende opties bieden:
- plaatjes voor je vaste PC
- SMS/smart reader voor op vakantie
Kun je thuis lekker snel inloggen, heb je toch veiligheid voor op vakantie.
De methode kent ook beperkingen: het wachtwoord moet altijd op het device van de gebruiker opgeslagen staan. Daardoor wordt inloggen vanaf een andere pc of mobiel apparaat onmogelijk. Ook is het onduidelijk hoe het bestand met het wachtwoord op de computer wordt beveiligd tegen diefstal.
Lijkt me dus niet bruikbaar voor de meeste systemen. Cookies zijn/waren ook niet veilig, dus waarom plaatjes wel? En wat is het voordeel hiervan boven een client certificate?
Prima, mits je dus een opslagmethode hebt die specifiek is aan de site. Want een onversleuteld, bovendien kort wachtwoord is voor elke andere soort aanval alleen maar extra kwetsbaar. Maar het is interessant om te zien dat het uitbuiten van zwakheden in onze cognitie twee kanten opgaat.
Vergelijkbaar met de sign-in seal van Yahoo?

Ook bedoeld om phising tegen te gaan, enkel wat simpeler in opzet.
Het wachtwoord staat niet aan de kant van de server opgeslagen, maar alleen in een bestand op de computer van de gebruiker.

Cookies...

Nou, dat wordt moeilijk te phishen zeg :+


Ik hoop niet dat dit er door komt, want CTRL+Enter (= Opera vult gebruikersnaam, wachtwoord in en logt in).
Met plaatjes gaat dat niet werken.
En een nieuw soort 'keylogger' is geboren: Een stukje software die een screencapture inclusief wat succesievelijke muisklick locaties bijhoudt en deze naar 'huis' stuurt. Nu nog even zorgen dat de argeloze gebruiker in kwestie vatbaar wordt voor een man-in-the-middle attack en je weet wat je hem moet presenteren en waar hij op zal klikken.
Johnny Mnemonic. Password via random plaatjes gecapped van de televisie. Het gehele concept maakt het niet helemaal nieuw.

http://www.technovelgy.co...ion-News.asp?NewsNum=1739

[Reactie gewijzigd door SkyStreaker op 5 november 2011 14:14]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True