Dit næste kodeord skal måske bestå af emojis

Forskere fra Plymouth Universitet foreslår nyt kodeordssystem baseret på billeder som erstatning for traditionel to faktor autentificering
11

Et godt kodeord skal gerne ramme en balance. Det skal både være sikkert og samtidig muligt at huske for brugeren. Men hvad nu hvis brugeren blot skulle kunne huske fire forskellige billeder, for at få adgang til sin netbank.

Forskere tilknyttet Centre for Security Communication and Network Research (CSCAN) ved Plymouth Universitet mener, at deres nye autentificeringsystem GOTPass, der kombinerer mønstre, billeder og numeriske engangskoder, kan udgøre et anvendeligt alternativ til eksisterende to faktor autentificeringssystemer.

»Traditionelle kodeord er uden tvivl meget anvendelige, men uanset hvor sikre folk føler sig, så er sårbarhederne ved kodeord velkendte. Der er alternative systemer på markedet, men de er enten meget omkostningstunge eller kan være svære at integrere på en brugervenlig måde med eksisterende systemer,« fortæller PhD-studerende Hussain Alsaiari, der har stået i spidsen for projektet, i en pressemeddelelse fra Plymouth.

Vælg fire billeder som dit kodeord

For at benytte GOTPass skal brugeren oprette sig med et unikt brugernavn og tegne et mønster i et 4x4 felt, som det kendes fra blandt andet Android-telefoner. Dernæst skal brugeren vælge blandt 30 forskellige ikoniske billeder i fire tilfældigt valgte temaer – fire billeder i alt.

Når brugeren senere skal logge på for eksempel sin netbank, skal brugernavnet indtastes og mønsteret tegnes. Dernæst dukker en skærm med 16 billeder frem – to af dem hører til brugerens tidligere valgte billeder, mens resten er tilfældige billeder. Ved at klikke på de korrekte to billeder genereres en numerisk engangskode, der dernæst skal indtastes for at få adgang.

Forskerholdets indledende sikkerhedstest af GOTPass viser, at ud af 690 forsøg på at hacke brugere med en kombination af gætværk og mere målrettede metoder, lykkedes det i 23 tilfælde at få adgang.

»For at onlinesikkerhed skal være effektivt, skal det være svært at hacke. Vi har påvist, at det kan opnås ved at bruge en kombination af billeder og engangskoder. Vi planlægger nu yderligere test for at vurdere GOTPass-systemets effektivitet og brugbarhed i det lange løb,« udtaler Dr Maria Papadaki, der underviser i netværkssikkerhed ved Plymouth University.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ditlev Petersen

Held og lykke med at huske/indøve mere end to af disse ad gangen.


De klassiske hukommelsespaladser tilsiger jo, at det er nemmere end at lære f.eks. FJAXHIU udenad. Og man kunne overføre billederne i et forplumret format, så de ikke let kunne genkendes af et program, men nok af et menneske. Ved at manipulere paletten i en GIF f.eks., spejlvende dem og andre julelege.

Claus Juul

Der er intet er skal være revisions sikkert (indrømmet man kan møde it-revisioner der køre en teoretisk smører af). It Revisorens opgave er at spørge dumt, på til områder, og håbe at ramme områder som klienten ikke har tænkt på, og derved få klienten til at udvide sin tankegang, og dermed lave bedre beviste valg.

PS. Ethvert tegn vil være repræsenteret ved en binær værdi. Et billed der erstattet bogstavet T (stort t) giver ikke mere sikring, hvis billedet er en repræsentation af en unicode karakter, giver det ikke mere sikkerhed end unicode karaktersættet (højt) osv

Bjarke Haack Jørgensen

Jeg har en Nokia 3210 - nuvel, det er ikke det mest højteknologiske stykke værktøj men det virker. Emojis eller emoticons eller hvad fanden det nu hedder, bliver altid præsenteret ca. sådan her: [] [] [] . Det er meget bekvemt, for så kan jeg selv udlede hvad jeg vil. "Du er en nar [] [] []" - nåh, det var nok nogle søde blinke-smileyer..."

... Men det lader til at ikke-emoticon-verdenen skal være en saga blot... Suk.

Lasse Lasse

Det er ikke random, ikke nær arbitrært

Det er altså langt fra et krav for at være sikker.

Det er stadig muligt at lave et modificeret ordbogs angreb

Du kan jo ændre metoden til kun at bruge forbogstavet og inkludere numeriske tal og stednavne med stort bogstav. Så vil du stadig kunne lave lidt statistik via ord og grammatik, men udfaldsrummet vil være næsten (i kompleksitet) det samme som med tilfældige strenge. Fx

"Js20ppefiRmjdspv" - "Jeg spiste 20 pizzaer på en fortovscafe i Rom mens jeg diskuterede sikkerhed på version2".

Kald lige metoden usikker igen ;)

Derudover har du glemt, at angriberen jo på forhånd skal vide, at du bruger denne metode, for at få gavn af det.

Lasse Lasse

Jeg fandt lige på en ny ide. Udvælg en tilfældig SMS og brug bogstaverne fra denne. Den vil være relativt nem at huske og du har jo automatisk en kopi liggende hvis du skulle glemme den. Selv hvis angriberen har fat i din telefon vil han/hun ikke ane, at koden er gemt i den.

Min ville fx være "Gn:)Mdvnotis..." - "Godt nok :) Men der var nu også tun i skabet...".

Eller "ehitt222i2pk" - "Elgiganten har igen tassimomaskinen til 222 inkl 2 pakker kapsler"

Mulighederne er uanede :)

Log ind eller Opret konto for at kommentere

Pre-installeret antivirus var sikkerhedshul på Xiaomi-smartphones

4

ITU-forsker bliver leder af OWASP i København

0

Offentlig-privat udvikling: Machine learning skal forhindre cyberangreb og netsvindel

1
Mest debatteredeMest læste
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Lær hvordan din it-afdeling effektivt kan standardisere og automatisere processer i SMV'er
Whitepaper
Whitepaper
Sådan vælger du det bedste intranet
Webinar
Webinar
Ny software-defined storage løsning leverer over 1 million IOPS
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder
Brugerundersøgelse Version2
maximize minimize