211service.com
Handgeschreven wachtwoorden
Een nieuw online authenticatiesysteem genaamd Dynahand zou het inloggen op websites wat makkelijker kunnen maken. Met Dynahand identificeren gebruikers eenvoudig hun eigen handschrift, in plaats van een cryptisch wachtwoord in te voeren of een biometrisch apparaat te kopen om hun vingerafdrukken te scannen.

Kracht van herkenning: In plaats van zich in te spannen om wachtwoorden te onthouden, konden gebruikers toegang krijgen tot online accounts door iets te herkennen dat ze zelf hebben geproduceerd. Met het online authenticatiesysteem Dynahand kunnen gebruikers inloggen door een verzameling willekeurige cijfers in hun eigen handschrift te herkennen (boven). Onderzoekers van de Universiteit van Glasgow werken ook aan grafische systemen (onder), waarvan ze zeggen dat ze dyslectische kinderen en andere mensen die moeite hebben met tekenreeksen kunnen helpen.
Wachtwoorden kunnen veilig zijn als ze op de juiste manier worden gebruikt, maar veel mensen gebruiken ze niet goed. Zwakke wachtwoorden maken die gemakkelijk te hacken zijn, dezelfde wachtwoorden gebruiken voor meerdere accounts, wachtwoorden op papiertjes schrijven - deze slechte gewoonten ondermijnen de veiligheid. Computerwetenschapper van de Universiteit van Glasgow Karen Renaud , die aan Dynahand meewerkte, zegt dat mensen deze onzorgvuldigheid niet kwalijk kunnen nemen. Ik weet niet eens hoeveel wachtwoorden ik heb, zegt ze. Het is belachelijk ... Ik denk dat mensen die websites ontwerpen totaal onrealistisch zijn met de belasting die ze op mensen leggen.
Het vervangen van wachtwoorden door biometrische authenticatie, die gebruikers identificeert op basis van fysieke kenmerken, zoals vingerafdrukken of netvliesscans, is ook niet ideaal omdat gebruikers extra hardware moeten kopen om van dergelijke schema's te profiteren. Daarentegen vereist Dynahand geen extra hardware of geheugenprestaties.
Om een Dynahand-account te openen, dient een potentiële gebruiker verschillende handschriftvoorbeelden in. Om in te loggen op haar account, moet ze haar eigen handschrift selecteren uit een reeks gepresenteerde voorbeelden. Afhankelijk van het gewenste beveiligingsniveau kan het zijn dat ze dit meerdere keren moet doen voor één keer inloggen.
De handschriftvoorbeelden van de gebruiker bevatten alleen cijfers, aangezien cijfers moeilijker te herkennen zijn voor een externe partij dan letters. De weergegeven cijfers zijn willekeurig, dus het handschrift is de enige aanwijzing voor het juiste antwoord. De onderzoekers gebruiken een algoritme om kenmerken van alle gepresenteerde handschriftvoorbeelden te analyseren, zoals de breedte van de streken, om er zeker van te zijn dat de voorbeelden verschillend zijn en een legitieme gebruiker niet in verwarring brengen.
Renaud zegt dat dit type systeem vooral oudere gebruikers aanspreekt, die zich zeer bewust kunnen zijn van de belasting die het onthouden van nog een wachtwoord op hun geheugen zal leggen. Ze merkt dat het systeem ook dyslectische mensen aanspreekt, die soms heel makkelijke wachtwoorden gebruiken omdat ze moeite hebben met het onthouden van complexe wachtwoorden. Beide bevolkingsgroepen, zegt ze, zijn bereid een langzamer systeem te gebruiken in ruil voor het niet hoeven onthouden van een wachtwoord.
Larry O'Gorman , een computerwetenschapper bij Avaya Labs die onderzoek doet naar manieren om beveiliging gebruiksvriendelijker te maken, zegt dat hij het Dynahand-systeem interessant vindt, vooral omdat het gebruikers cijfers laat herkennen. Maar hij is er niet van overtuigd dat het veilig is, aangezien zelfs een enkele login het meerdere keren identificeren van handschriftvoorbeelden inhoudt. Een slimme aanvaller zal voor elke fase dezelfde stijl van handschrift kiezen, zegt O'Gorman. Ik weet niet hoe gemakkelijk het is om handschriftstijlen van de ene fase naar de volgende te matchen, maar ik geloof dat het tot op zekere hoogte kan worden gedaan.
Renaud vindt Dynahand niet veilig genoeg om gevoelige informatie, zoals bankrekeningen of medische dossiers, te beschermen. Ze gelooft eerder dat het nuttig kan zijn voor sociale sites, waar een gebruiker wil dat haar account privé is, maar waar niets rampzaligs zou gebeuren als iemand erin zou inbreken. Het gebruik van Dynahand in die omstandigheden zou het aantal wachtwoorden dat gebruikers moeten onthouden kunnen verminderen, waardoor ze beter in staat zijn om complexe wachtwoorden op te roepen wanneer beveiliging cruciaal is.
De Glasgow-onderzoekers zeggen dat de beveiliging van Dynahand ook kan worden verbeterd door de tijd bij te houden die een gebruiker nodig heeft om te reageren op elke handschriftuitdaging en door te letten op abnormaal lange inlogtijden (wat een signaal zou kunnen zijn dat een indringer de monsters probeert te analyseren in zoeken naar de juiste) of abnormaal korte inlogtijden (wat een signaal zou kunnen zijn dat een indringer probeert in te breken met behulp van een brute-force-techniek waarbij een computer snel alle mogelijke reacties probeert).
Het belangrijkste obstakel om Dynahand op de markt te krijgen, zegt Renaud, is dat het aanmaken van een nieuw account achter de schermen te veel handwerk vergt. Ik stop uren en uren in het handmatig scannen van monsters, zegt ze. Dat is oké, want ik was een idee aan het testen, maar een bedrijf zal dat niet willen doen. Ze werkt nu aan manieren om handschriftvoorbeelden automatisch te verzamelen en te analyseren.