Danskere udfordrer god latin i passwords: Husk blot mariehøne og helikopter

Det er sikrere at skulle huske to billeder end at taste et langt password fyldt med specialtegn, mener dansk firma, der netop har fået patent på det nye koncept.

Mariehøne og helikopter. Sådan kan dit password blive fremover, hvis en ny løsning fra det danske firma Pamci Networks bliver populær.

I stedet for at brugeren skal indtaste et kodeord, skal man i stedet huske på to billeder ud af 100 mulige, og så skrive de tal, som bliver tilknyttet billederne dynamisk. På login-skærmen vil der således være en oversigt med alle billederne, hvor man kan finde de rette numre. Det skriver Comon.dk.

Udover at den menneskelige hjerne er bedre til at huske i billeder end tilfældige bogstaver, tal og specialtegn sat sammen, er fordelen ved 'billedlotteri'-løsningen, at passwordet ikke kan opsnappes af en keylogger.

Med et statisk password, som skal tastes ind, er der risiko for at malware på computeren sender indtastningen af brugernavn og password tilbage til hackere. Men når passwordet er baseret på billeder, og de tilknyttede tal skifter hele tiden, vil hackerne ikke kunne bruge en keylogger til noget, forklarer Pamci Networks.

Konceptet er netop blevet tildelt et europæisk patent, og potentialet er stort, mener firmaet, for næsten alle websider bruger i dag den klassiske løsning med at indtaste brugernavn og password.

Problemet med afluring af statiske passwords er også grunden til, at den nationale login-løsning NemID, som til sommer afløser den Digitale Signatur, vil bruge engangskodeord, som bliver sendt til brugerne på små laminerede papkort.

Der findes også andre løsninger, der skal forhindre snagen med keyloggere. For eksempel ved at et tastatur popper op på skærmen, og brugeren så klikker på bogstaverne, i stedet for at indtaste dem via tastaturet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Flemming Frandsen

For det første er der for lidt entropi i at vælge billeder, med mindre man forestiller sig at skulle vælge 6-7 billeder ud af en gruppe af 100 mulige, så løsningen er teknisk dårlig og bare fordi løsningen kan besejre en key-logger betyder det jo ikke at den kan besejre en screenshot/muse logger.

For det andet bør det slet ikke kunne lade sig gøre at tage patent på en indlysende metode som bliver benyttet af masser af CAPTCHAs, dør-låse og on-screen keyboards allerede, bare fordi det er mariehøner og helikoptere på skærmen i stedet for et tastatur.

For det tredie er det software og bør som sådan ikke kunne patenteres i .dk og EU.

  • 0
  • 0
#5 Torben Mogensen Blogger

Det er faktisk kun ca. 50000, hvis man har lov til at skrive tallene i vilkårlig rækkefølge.

Den nævnte fordel siges at være, at "kodeordet" ændrer sig hver gang, så man ikke kan bruge key-loggere. Men jeg kan ikke se, at der er nogen speciel sikring af den vej: Godt nok er tasttrykkene forskellige hver gang, men hvis du har både skærmbilledet og tasttrykkene, så kan du identificere billederne, og så kan du komme ind alligevel.

Man kan få lidt ekstra sikkerhed ved at bruge et stort antal billeder for hvert koncept, f.eks. 20 forskellige billeder af mariehøns. Men man kan nemt sætte et menneske til at kategorisere billeder efter koncepter, og så er den fordel væk. Kun hvis man har et næsten uendeligt antal billeder for hvert koncept, kan man sige, at det hjælper. Og det er næppe realistisk.

  • 0
  • 0
#6 Niels Dybdahl

men hvis du har både skærmbilledet og tasttrykkene, så kan du identificere billederne, og så kan du komme ind alligevel.

Hvis flere af billederne har samme tal, så går den alligevel ikke. Men det reducerer antallet af kombinationer drastisk. I praksis ville det dog sikkert være fint nok til at forhindre at nogen aflurer koden ved at kigge over skulderen eller ved at montere spionkameraer på dankortautomaterne.

  • 0
  • 0
#8 Henrik Schmidt

Den nævnte fordel siges at være, at "kodeordet" ændrer sig hver gang, så man ikke kan bruge key-loggere. Men jeg kan ikke se, at der er nogen speciel sikring af den vej: Godt nok er tasttrykkene forskellige hver gang, men hvis du har både skærmbilledet og tasttrykkene, så kan du identificere billederne, og så kan du komme ind alligevel.

Ja, hvis du har kontrol over den PC, som du angriber, så har brugeren tabt, men det gør brute force en del sværere.

  • 0
  • 0
#9 Torben Mogensen Blogger

Ja, hvis du har kontrol over den PC, som du angriber, så har brugeren tabt, men det gør brute force en del sværere.

Tværtimod. Når kombinationerne skifter tilfældigt, så kan et brute force angreb bare gætte på de samme fire cifre hver gang, og efter gennemsnitligt 5000 forsøg er de inde.

Det betyder ganske rigtigt, at man skal lave et nyt brute-force angreb, når man vil ind næste gang, men i reglen er det nok for en hacker at komme ind en gang.

  • 0
  • 0
#10 Niels Dybdahl

Tværtimod. Når kombinationerne skifter tilfældigt, så kan et brute force angreb bare gætte på de samme fire cifre hver gang, og efter gennemsnitligt 5000 forsøg er de inde.

Og med intruder detection lockout efter 3 gange, så er det sjældent at det lykkes at komme ind.

  • 0
  • 0
#12 Deleted User

Og med intruder detection lockout efter 3 gange, så er det sjældent at det lykkes at komme ind.

Kun hvis man går efter en specifik konto. Hvis man går efter et system med f.eks. 100.000 konti, vil man statistisk få adgang til omkring 60 konti (hvis jeg ellers har regnet rigtigt).

  • 0
  • 0
#13 Kim Storm

Hvis de tilfældige tal der tildeles hvert billede er på mere end 2 cifre, så giver 100 x 100 billeder mange flere muligheder for mulige en-gangs passwords.

Fx hvis man bruger 4-cifrede tal, så får man 9999 x 9998 mulige passwords ud fra de 100 billeder. Dette gør brute force langt mindre succesfuld.

  • 0
  • 0
#15 Klavs Klavsen

Endnu et eksempel på noget der absolut ikke bør være patenterbart.

Jeg har f.ex. altid haft mine kodeord som et billede, og det er da IMHO en kendt huskeregel - og så har jeg bare en fast regel med bestemte tegn og bogstaver jeg skriver på en bestemt måde.

F.ex. kan mit kodeord være billedet af 2 heste i stald. Så er det bare at lave en fast regel for hvordan det skrives som kodeord - f.ex. #2H3st3ISt@ld - simpel erstatning og # foran tal.

  • 0
  • 0
#16 Henrik Schmidt

Tværtimod. Når kombinationerne skifter tilfældigt, så kan et brute force angreb bare gætte på de samme fire cifre hver gang, og efter gennemsnitligt 5000 forsøg er de inde.

Jeg udtrykte mig tydeligvis ikke klart nok. Under antagelse af, at de bruger mere end 2 cifre pr. billede, gør det brute force en del sværere.

  • 0
  • 0
#17 Henrik Schmidt

Jeg udtrykte mig tydeligvis ikke klart nok. Under antagelse af, at de bruger mere end 2 cifre pr. billede, gør det brute force en del sværere.

Ah, det viste sig, at min antagelse var forkert. De har lagt en demo up på http://www.one-time-password.net/k2/ , og der bliver ganske rigtigt brugt to cifre i titalssystemet.

Havde de nu i stedet brugt et alfabet indeholdende alle cifre og lowercase engelske bogstaver, fraregnet 0 og o, som kan forvirre, og brugt 2 tegn mere pr. billede, så er vi oppe på 34 muligheder pr tegn. Hvis vi antager, at det tager 100 ms at checke et engangspassword, så ville det tage 5659 år at gå alle muligheder igennem, så det med bare at vælge et og brute force ville være en længere historie.

Men det var så ikke det de gjorde. Det virker ellers ret nærliggende.

  • 0
  • 0
#18 Henrik Schmidt

Og ovenstående er naturligvis noget vrøvl, da man bare kan forsøge alle kombinationer af billeder i stedet. Uanset hvordan man skærer kagen, så kan der kun være 10000 muligheder, med mindre man kan lave x antal billeder af det samme motiv, som en maskine vil have svært ved at sammenligne. Så er vi tilbage i noget captcha lignende.

  • 0
  • 0
#19 Thorbjørn Andersen

Uanset at idéen er god, er der meget svært at se, at der ikke er tale om software som sådan. (Derudover kan man i høj grad diskutere om idéen er ny).

Dog udsteder EPO jo patenter til højre og venstre - men der er [b]heldigvis[/b] god mulighed for, at disse patenter i retssager ikke er mere værd end det papir, som de står på.

Som jeg ser det er EPOs praksis med udstedelse af patenter (som dette) et klokkeklart brud på patentkonventionen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere