Dit næste kodeord skal måske bestå af emojis

28. december 2015 kl. 14:0111
Forskere fra Plymouth Universitet foreslår nyt kodeordssystem baseret på billeder som erstatning for traditionel to faktor autentificering
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Et godt kodeord skal gerne ramme en balance. Det skal både være sikkert og samtidig muligt at huske for brugeren. Men hvad nu hvis brugeren blot skulle kunne huske fire forskellige billeder, for at få adgang til sin netbank.

Forskere tilknyttet Centre for Security Communication and Network Research (CSCAN) ved Plymouth Universitet mener, at deres nye autentificeringsystem GOTPass, der kombinerer mønstre, billeder og numeriske engangskoder, kan udgøre et anvendeligt alternativ til eksisterende to faktor autentificeringssystemer.

»Traditionelle kodeord er uden tvivl meget anvendelige, men uanset hvor sikre folk føler sig, så er sårbarhederne ved kodeord velkendte. Der er alternative systemer på markedet, men de er enten meget omkostningstunge eller kan være svære at integrere på en brugervenlig måde med eksisterende systemer,« fortæller PhD-studerende Hussain Alsaiari, der har stået i spidsen for projektet, i en pressemeddelelse fra Plymouth.

Vælg fire billeder som dit kodeord

For at benytte GOTPass skal brugeren oprette sig med et unikt brugernavn og tegne et mønster i et 4x4 felt, som det kendes fra blandt andet Android-telefoner. Dernæst skal brugeren vælge blandt 30 forskellige ikoniske billeder i fire tilfældigt valgte temaer – fire billeder i alt.

Artiklen fortsætter efter annoncen

Når brugeren senere skal logge på for eksempel sin netbank, skal brugernavnet indtastes og mønsteret tegnes. Dernæst dukker en skærm med 16 billeder frem – to af dem hører til brugerens tidligere valgte billeder, mens resten er tilfældige billeder. Ved at klikke på de korrekte to billeder genereres en numerisk engangskode, der dernæst skal indtastes for at få adgang.

Forskerholdets indledende sikkerhedstest af GOTPass viser, at ud af 690 forsøg på at hacke brugere med en kombination af gætværk og mere målrettede metoder, lykkedes det i 23 tilfælde at få adgang.

»For at onlinesikkerhed skal være effektivt, skal det være svært at hacke. Vi har påvist, at det kan opnås ved at bruge en kombination af billeder og engangskoder. Vi planlægger nu yderligere test for at vurdere GOTPass-systemets effektivitet og brugbarhed i det lange løb,« udtaler Dr Maria Papadaki, der underviser i netværkssikkerhed ved Plymouth University.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
29. december 2015 kl. 13:51

Uanset hvad, så vil ethvert password kunne gættes. Hvis angriberen er heldig nok. Også selv om det er sidste bogstav i hvert ord i Johannes Åbenbaring, bagfra og fra Vulgata med indskudte cifre fra Pi startende fra position 127. [Emoji af mand der græder foran en skærm]

10
29. december 2015 kl. 12:06

Jeg fandt lige på en ny ide. Udvælg en tilfældig SMS og brug bogstaverne fra denne. Den vil være relativt nem at huske og du har jo automatisk en kopi liggende hvis du skulle glemme den. Selv hvis angriberen har fat i din telefon vil han/hun ikke ane, at koden er gemt i den.

Min ville fx være "Gn:)Mdvnotis..." - "Godt nok :) Men der var nu også tun i skabet...".

Eller "ehitt222i2pk" - "Elgiganten har igen tassimomaskinen til 222 inkl 2 pakker kapsler"

Mulighederne er uanede :)

9
29. december 2015 kl. 11:34

Det er ikke random, ikke nær arbitrært

Det er altså langt fra et krav for at være sikker.

Det er stadig muligt at lave et modificeret ordbogs angreb

Du kan jo ændre metoden til kun at bruge forbogstavet og inkludere numeriske tal og stednavne med stort bogstav. Så vil du stadig kunne lave lidt statistik via ord og grammatik, men udfaldsrummet vil være næsten (i kompleksitet) det samme som med tilfældige strenge. Fx

"Js20ppefiRmjdspv" - "Jeg spiste 20 pizzaer på en fortovscafe i Rom mens jeg diskuterede sikkerhed på version2".

Kald lige metoden usikker igen ;)

Derudover har du glemt, at angriberen jo på forhånd skal vide, at du bruger denne metode, for at få gavn af det.

8
29. december 2015 kl. 09:06

Jeg har en Nokia 3210 - nuvel, det er ikke det mest højteknologiske stykke værktøj men det virker. Emojis eller emoticons eller hvad fanden det nu hedder, bliver altid præsenteret ca. sådan her: [] [] [] . Det er meget bekvemt, for så kan jeg selv udlede hvad jeg vil. "Du er en nar [] [] []" - nåh, det var nok nogle søde blinke-smileyer..."

... Men det lader til at ikke-emoticon-verdenen skal være en saga blot... Suk.

7
29. december 2015 kl. 08:47
  1. Det er ikke random, ikke nær arbitrært
  2. Det er stadig muligt at lave et modificeret ordbogs angreb
  3. Skal denne metode bruges, så smid nogle andre tegn ind, og/eller skriv i l33t-skrift
6
29. december 2015 kl. 03:09

Bare husk en sætning og brug de første to tegn fra hvert ord som din kode. Eksempelvis "husk en sætning og brug". Her bliver koden "huensæogbr". Vupti, 10 random tegn. Fyld lidt store tegn og tal for enden hvis det kræves.

5
28. december 2015 kl. 16:54

Der er intet er skal være revisions sikkert (indrømmet man kan møde it-revisioner der køre en teoretisk smører af). It Revisorens opgave er at spørge dumt, på til områder, og håbe at ramme områder som klienten ikke har tænkt på, og derved få klienten til at udvide sin tankegang, og dermed lave bedre beviste valg.

PS. Ethvert tegn vil være repræsenteret ved en binær værdi. Et billed der erstattet bogstavet T (stort t) giver ikke mere sikring, hvis billedet er en repræsentation af en unicode karakter, giver det ikke mere sikkerhed end unicode karaktersættet (højt) osv

4
28. december 2015 kl. 15:56

Held og lykke med at huske/indøve mere end to af disse ad gangen.

De klassiske hukommelsespaladser tilsiger jo, at det er nemmere end at lære f.eks. FJAXHIU udenad. Og man kunne overføre billederne i et forplumret format, så de ikke let kunne genkendes af et program, men nok af et menneske. Ved at manipulere paletten i en GIF f.eks., spejlvende dem og andre julelege.

1
28. december 2015 kl. 14:51

Efter at vi i rundt regnet 2800 år har brugt det alfabet, som Kadmos siges at have givet grækerne, er vi nu ramt af atavisme og skal til at skrive med hieroglyffer?