[Enquete] Open standaard voor biometrische wachtwoorden

Bestaat het risico niet dat je een wachtwoord na 20 (of 100, of 1000) keer gebruiken door oefening heel anders typt dan de eerste keer dat je het voor ogen krijgt?

[Voor 5% gewijzigd door Anoniem: 9942 op 23-05-2007 08:23]

Helemaal lekker werkt de test nog niet.
Heb hem net doorgelopen maar vaak moest ik een keer of 3 op de ok knop drukken voordat ik opnieuw het username/wachtwoord combo kon invoeren.

Ook krijg ik geen grafiek te zien.

IE7, vista.

Test doorlopen, geen problemen ondervonden (IE6, winxpsp2).
Succes met het onderzoek.

Test gedaan (IE7 x64, Vista) werkt goed, alleen moet ik soms 2 keer klikken op de 'ok' knop om opnieuw het wachtwoord in te voeren (zou fijner werken als je daarvoor ook gewoon op enter mag rammen).

Neok_ schreef op woensdag 23 mei 2007 @ 10:51:
Test gedaan (IE7 x64, Vista) werkt goed, alleen moet ik soms 2 keer klikken op de 'ok' knop om opnieuw het wachtwoord in te voeren (zou fijner werken als je daarvoor ook gewoon op enter mag rammen).

Je kunt op de spatiebalk 'rammen'.

test ook doorlopen... heb "de andere laten inloggen" zelf gedaan alleen met 1 vinger getypt... grappig dat dan die dwell times wel redelijk gelijk blijven...

interessant onderzoek... succes ermee en hou ons op de hoogte...

Biometrische zaken zijn niet "iets wat je hebt" maar "iets wat je bent". Iets wat je hebt is een fysiek iets (een smartcard bv).

De test gedaan en ook de laatste keer door iemand anders in laten loggen. Het verschilde wel maar niet al te veel.
Ik vraag me af of je dwell time niet anders is als je bijvoorbeeld een laptop of flat keyboard hebt. Andere soort toetsen dus aanslag is anders.

zo! graag gedaan hoor veel succes met jullie onderzoek!

Mysteryman schreef op woensdag 23 mei 2007 @ 12:22:
[...]

Oeps, stomme three factor authentication dingen. Ik heb het aangepast in de startpost.

Ook in het onderzoek goed doen he

Ik heb de test nog niet uitgevoerd maar zal dat later nog even doen.

Mysteryman schreef op woensdag 23 mei 2007 @ 12:22:
[...]


Klopt, hebben we al rekening mee gehouden. Je zou bijvoorbeeld een waarschuwing kunnen geven als iemand te dicht bij de rand komt dat deze opnieuw zijn wachtwoord in moet tikken om een 'nieuw' gemiddelde te definieren.

Introduceer je daarmee niet een nieuwe zwakheid? Hoe detecteer je dat het de goede gebruiker is waarvan de typ eigenschappen door de tijd gaan afwijken of dat het iemand anders is die wat betreft typ eigenschappen erg op de "goede gebruiker" lijkt?

Is dit overigens niet erg makkelijk te omzeilen met een keylogger met playback (timed) mogelijkheid (misschien zelfs mechanisch afhankelijk van wat je wilt beschermen / waar iemand zich toegang toe twil forceren) en daarom een minder geschikte biometrische beveiliging?

Mysteryman schreef op woensdag 23 mei 2007 @ 13:12:
Tevens is het heel moeilijke (vrijwel onmogelijk) om het ritme van iemand over te nemen bij ZIJN wachtwoord. Je kan luisteren (naar het typgedrag) wat je wil... maar het is echt heel moeilijk (blijkt ook uit de tests!)

Opnemen, keyloggen etc. Jij gaat uit van een menselijke "luistervink" in deze wat denk ik niet altijd zo zal zijn, zeker niet wanneer deze vorm van authenticatie breed ingezet zal worden om informatie met een behoorlijke waarde te beschermen.

Uiteraard, het is geen 'perfecte' oplossing; maar als je RSA token gestolen wordt dan heb je ook een probleem; als je vinger afgehakt wordt (vingerscan) dan heb je ook een probleem, als je SSH keys gestolen worden heb je ook een probleem enz.

Bij het geval van een RSA token heb je inderdaad nog het wachtwoord over. Het kwijt zijn van een RSA token is echter wel iets wat opvalt EN de code op de token is iets wat steeds wijzigd en ook nog eens in lijn moet lopen met de seed op de RSA server. Dit is imho moeilijker te omzeilen. Bovendien is een RSA token replay bestendig wat de hier voorgestelde methode voor zover ik kan zien niet is. Sterker nog, zoals ik het nu zie is deze methode erg replay gevoelig. Helemaal omdat de attacker zelf minimale wijzigingen kan aanbrengen in het eenmaal opgenomen signaal.

Authenticatie is gewoon heel moeilijk waterdicht te krijgen, wij zoeken gewoon naar een versterkte manier van authenticatie.

Zeker is dat moeilijk en ik vind dit onderzoek dan ook heel interessant. Ik denk alleen dat deze vorm van authenticatie een iets minder grote barriere op zal werpen dan bv 2 factor authenticatie op basis van bv de door jou aangehaalde RSA tokens. Meestal zie je biometrische toepassingen trouwens als 3e factor worden toegepast.

Heb je zelf een risico analyse of SWOT analyse uitgevoerd op de voorgestelde authenticatiemogelijkheid? Ben je van plan dit ook echt in te gaan zetten / aan te bieden of blijft het in eerste instantie bij een onderzoek?

[Voor 4% gewijzigd door Bor op 23-05-2007 13:27]

Anoniem: 9942 schreef op woensdag 23 mei 2007 @ 08:23:
Bestaat het risico niet dat je een wachtwoord na 20 (of 100, of 1000) keer gebruiken door oefening heel anders typt dan de eerste keer dat je het voor ogen krijgt?

iedere keer dat je inlogt kun je toch weer opnieuw toevoegen aan het leeralgoritme... zo blijft het systeem leren en zich aanpassen aan je (verbeterde?) typesnelheid...

done.

werkt wel aardig, user,pass,enter,spatie,herhaal.

Hoeveel resultaten willen jullie in totaal verzamelen, en kan je hier af en toe wat info posten over wat jullie bereikt hebben, dit vindt ik namelijk wel een aardig onderzoek.

Mysteryman schreef op woensdag 23 mei 2007 @ 12:22:
Klopt, hebben we bewust voor gekozen. Je tikt toch ook standaard je wachtwoord niet 20x achter elkaar. Het zorgt er voor dat je gewoon 'even' een denk pauze nodig hebt en dus stopt.

Hmm ik heb gewoon enter gebruikt om in te voeren en dat werkte elke keer gewoon. Wat ik wel weer irritant vond is dat je bij het volgende scherm weer niet door kunt met enter en daar weer spatie moet gebruiken, maar na 2x heb je dat ook wel door. Nu gaat je onderzoek natuurlijk niet over usuability maar goed. In ieder geval is het wel zo dat ik, vooral de laatste 15 wachtwoorden, in een flow heb ingetypt (naam tab wachtwoord enter spatie - repeat). Aangezien je dat blijkbaar wilt voorkomen zou ik daar dus nog even wat aan doen . Aan de andere kant type ik normaal mijn wachtwoorden ook in een 'flow' in... ik denk er nooit over na eigenlijk, zeker niet wachtwoorden die ik veel gebruik, dus is het ook belangrijk dat zoiets terug komt in het biometrische patroon. Lijkt me .

Mysteryman schreef op woensdag 23 mei 2007 @ 13:12:
Nope, je zou natuurlijk de wijziging pas door kunnen laten komen als de gebruiker meerdere keren tegen de rand aan zit (er vanuit gaant dat de 'slechte' gebruiker niet iedere keer inlogd). Daarnaast heb je ook nog steeds het 'wachtwoord' gedeelte wat een extra beveiliging is.

Waar ik eerder aan denk is elke keer als het wachtwoord goed wordt ingevoerd (en het dus ook binnen het biometrische patroon valt) deze nieuwe invoer aan de dataset toe te voegen en oudere data te verwijderen, zodat de data mee-evolueert met de gebruiker.

Verder nog een puntje om op te letten: je gebruikt Flash (of Flex, maar de interpreter is hetzelfde) en die timers zijn echt ontzettend onnauwkeurig. Daar ben ik al regelmatig tegenaan gelopen in mijn projecten. Nu weet ik niet of jullie timers gebruiken (het kan makkelijker en logischer zonder, maar geheel onlogisch zouden timers nu ook weer niet zijn) maar dan hoop ik dat je iets hebt om daar rekening mee te houden.

Last but not least: heel interessant onderzoek dit, succes!

Edit: ohja... ik heb de test 2x moeten doen omdat m'n pc vastsloeg (ligt niet aan jullie app, iets met het geheugen zit ws niet helemaal lekker) tijdens de eerste keer, de eerste (onvolledige) set van [ip] kan je dus negeren.

[Voor 5% gewijzigd door Punksmurf op 24-05-2007 09:32]

Mysteryman schreef op woensdag 23 mei 2007 @ 12:22:

Als er teveel backspace gebruikt wordt, kunnen we geen 'goede' meting doen. Het zou kunnen zijn dat dat het probleem was.

Heb de backspace knop zo goed als niet (volgens mij helemaal niet) gebruikt.
Ik kreeg ook helemaal geen uitslag te zien. Ik klik na de laatste maal het wachtwoord invoeren op ok, en de test begon opnieuw.

[Voor 6% gewijzigd door job op 23-05-2007 20:19]

Mysteryman schreef op woensdag 23 mei 2007 @ 20:11:
[...]

Daarom gebruiken we ook een swf, omdat het gevoelig is... En ja, we gebruiken timers

overigens tnx voor het doorgeven! ik heb je IP genoteerd dus je mag hem weer weghalen uit dit voor-zeer-veel-mensen-dus-ook-voor-scriptkidies-toegankelijke forum

Volgens jou zijn de timers in Flash wel nauwkeurig dan? 't Veroorzaakt hier niets dan problemen (behalve getTimer(), maar die lanceert dan ook geen events), omdat ze nogal eens in de war worden gebracht door de framerate. Ik moet nu weg, ga hier straks op verder [to be edited].

Nu, ik heb voor je gezocht maar ik kan het helaas niet meer vinden. Er is in ieder geval een stukje tekst van Adobe waarin aan wordt gegeven waarom ze niet nauwkeurig zijn het het heeft er mee te maken dat Timer Events gelanceert worden om en nabij het frame dat het dichtst in de buurt komt van het moment waarop het event gelanceert moet worden, maar ook weer niet helemaal precies. Zou je dus een filmpje hebben op 25fps dan is de resolutie van de timer ongeveer 1000/25 = 40ms, maar dit gaat ook weer niet altijd op.

[Voor 28% gewijzigd door Punksmurf op 24-05-2007 19:53]

Mysteryman schreef op woensdag 23 mei 2007 @ 20:11:
[...]

De risico analyse hebben we uitgevoerd. We hebben namelijk eerst een uur het Internet en de UvA bibliotheek doorgeneusd om te kijken wat voor previous work er al aan gedaan was. Toen viel het ons op dat de resultaten heel erg uiteen liepen. Daarom voor ons een rede om uit te zoeken hoe het precies zit.

Ik doel meer op een analyse van de methode op zich waarbij je kijkt wat de zwakheden in de bedachte authenticatie methode zijn en hoe je deze zo optimaal mogelijk het hoofd zal kunnen bieden. Dit in release tot keyloggers, audio recording etc.

Mysteryman schreef op woensdag 23 mei 2007 @ 13:12:
Nope, je zou natuurlijk de wijziging pas door kunnen laten komen als de gebruiker meerdere keren tegen de rand aan zit (er vanuit gaant dat de 'slechte' gebruiker niet iedere keer inlogd). Daarnaast heb je ook nog steeds het 'wachtwoord' gedeelte wat een extra beveiliging is.

En hoe gaat het systeem om met bijvoorbeeld dronkenschap? Het lijkt me dat mensen die onder de invloed staan van alcohol en drugs, anders typen dan als ze nuchter zijn. Soms wil ik na een avondje stappen nog even snel iets doen op mijn computer. Moet ik dan voortaan maar eerst mijn roes uitslapen?

Er staat op dit moment ook een item op de frontpage waar jullie misschien iets aan kunnen hebben:

nieuws: Authenticatie via typemethode

Ik gebruik dvorak in plaats van qwerty als ik tik (ik kan qwerty wel gewoon natuurlijk). Werkt dit nu veel beter voor mij omdat ik een heel andere manier van tikken heb door de andere indeling dan op een qwerty tobo?

[Voor 7% gewijzigd door Quarin op 17-06-2007 00:36]

Ik zie een ding fout aan je test. Je vraagt om patrick:water83 20 keer in te typen. Nu heb ik een paar biertjes gehad en ging dat een paar keer fout. Geheel nuchter zou mijn patroon er wellicht anders uitzien

Mijn eigen wachtwoorden welke ik al jaren gebruik (een voor webbased dingen, een voor offline dingen) typ ik met mijn ogen dicht foutloos zelfs als ik zwaar beschonken ben.