211service.com
Waarom autocorrectie voor wachtwoorden een goed idee is
De meesten van ons hebben op een of ander moment een wachtwoord opnieuw moeten invoeren omdat we het verkeerd hebben getypt. Misschien bent u zelfs na te veel typefouten buitengesloten van een account.
Nieuw onderzoek toont aan dat die frustraties kunnen worden vermeden met dezelfde aanpak die wordt gebruikt om typefouten in sms-berichten en documenten te corrigeren: autocorrectie.
Onderzoekers analyseerden logins bij de gegevensopslagdienst Dropbox om te bewijzen dat het toelaten van mensen, zelfs als ze een paar tekens verkeerd hebben, hoofdpijn kan verminderen zonder de veiligheid aanzienlijk te schaden.
Dit is naar onze mening een behoorlijk groot probleem, zegt Ari Juels , een professor aan het Jacobs Technion-Cornell Institute in Cornell Tech, in New York City. Websites zouden hun wachtwoordbeleid moeten veranderen om het leven van gebruikers gemakkelijker te maken. De achteruitgang van de beveiliging is vrij klein.
Op het eerste gezicht klinkt het als een slecht idee om wachtwoorden met typefouten een account te laten ontgrendelen. Een aanvaller die uw wachtwoord probeert te raden, hoeft het immers niet precies goed te krijgen. Facebook is bekritiseerd omdat het mensen toestaat in te loggen, zelfs als ze het eerste teken van hun wachtwoord verkeerd hebben of per ongeluk caps lock hebben ingeschakeld.
Maar Jules en medewerkers van Cornell Tech, MIT en Dropbox zeggen dat het idee niet gevaarlijk is als het wordt geïmplementeerd op een manier die rekening houdt met hoe mensen wachtwoorden kiezen en de typefouten die ze maken. hun papier werd vorige week gepresenteerd op het IEEE Symposium on Security and Privacy.
Ze verzamelden gegevens over typefouten door 24 uur aan logins te analyseren bij Dropbox, dat honderden miljoenen gebruikers heeft. Bijna 10 procent van de mislukte inlogpogingen was het gevolg van een handvol gemakkelijk te corrigeren typefouten, zoals het aan laten staan van caps lock. Ongeveer 3 procent van de gebruikers die niet in hun account kwamen, had dit kunnen doen als autocorrectie de drie meest voorkomende typefouten had gedekt: caps lock aan laten staan, de verkeerde hoofdletter gebruiken voor het eerste teken of het laatste teken verwijderen.
Door die gegevens te vergelijken met patronen op wachtwoorden die zijn onthuld door gegevensinbreuken, zoals de 32 miljoen die zijn gelekt door het sociale gamingbedrijf RockYou, blijkt dat het corrigeren van die veelvoorkomende fouten een aanvaller die wachtwoorden probeert te raden niet veel voordeel geeft. In de meeste gevallen zijn de gratis gissingen die worden gemaakt door typefouten te accepteren niet veel waard. Aanvallers gebruiken wachtwoordlijsten om eerst algemene wachtwoorden uit te proberen, en het toepassen van typefouten op die wachtwoorden zorgt meestal voor rommel, niet voor een ander veelvoorkomend wachtwoord.
Het accepteren van veelvoorkomende typefouten kan een aanvaller echter een voorsprong geven op sommige wachtwoorden. Als uw wachtwoord bijvoorbeeld 12345 is en een aanvaller raadt 123456, kan hij binnenkomen. Om zich tegen dergelijke gevallen te beschermen, hebben Juels en zijn medewerkers twee typotolerante wachtwoordcontroles gemaakt die geen typefouten accepteren voor bepaalde wachtwoorden waar dit riskant zou kunnen zijn, op basis van informatie uit gelekte wachtwoordlijsten.
Die checkers werden getest in scenario's die simuleerden wat er zou gebeuren als een aanvaller 1.000 pogingen zou krijgen om het wachtwoord van een account te raden (in de praktijk onwaarschijnlijk aangezien bedrijven onjuiste logins beperken). De aanvaller kreeg nooit een voorsprong van meer dan 0,2 procent. De onderzoekers zeggen dat dit suggereert dat de voordelen voor mensen die toegang proberen te krijgen tot hun accounts, opwegen tegen de mogelijke nadelen van het accepteren van typefouten.
In sommige gevallen zien we vrijwel geen achteruitgang van de beveiliging door een handvol correcties toe te passen, zegt Juels. We hopen dat dit document de praktijk in de sector zal veranderen.