Microsoft wil af van wachtwoord

Die vingerafdrukscanner is blijkbaar te kraken?

Een wachtwoord lijkt mij veel beter dan een deel van u lichaam. Mijn iris / gezicht staan op veel foto's, en mijn stem is ook al een paar keer opgenomen. Dan heb ik mijn "wachtwoord" dus al weggegeven.

Ik ben van mening dat het huidige wachtwoord systeem het veiligst/vriendelijkst is, tenminste wel met de huidige technologie.

Maar nieuwe technologieën komen er niet als grote bedrijven niet erin investeren.

Als je wilt inloggen dan moet je gewoon een willekeurige code krijgen via de mail en daar op klikken(ingelogd :D ). En de volgende keer sturen ze weer een andere code naar je mail. Het enige waar je dan nog een wachtwoord voor gebruikt is voor je email XD

Michael, maar dan heb je alsnog een wachtwoord (namelijk die willekeurige code).

@michael:
(log)inception? Hoe kom ik dan in mijn e-mailaccount? Via een code die naar mijn mail is gestuurd? Waarvoor ik eerst moet inloggen met de code die naar mijn e-mail is gestuurd. xD

@michael:
Hoe kun je dan inloggen in Windows, als je per email een code krijgt die je alleen kunt ophalen als je bent ingelogd?

Ik krijg hier toch het voorgevoel dat de oplossing erger wordt dan het probleem dat nu bestaat.

Kris, hoe kun je dat nou zeggen terwijl het resultaat niet eens bekent is en nog lang niet bekent is? Ik denk dat deze onderzoeken veel verdere dingen onderzoeken dan wat wij kunnen bedenken...

Juist niet, eigenlijk. De techniek/kracht verdubbelt iedere 2 jaar zo'n beetje, wat dus betekend dat wachtwoord-krakende-software steeds sneller worden (toegegeven; is afhankelijk van het type encryptie: x.xxxK MD5 hashes/vs xxx PBKDF2 hashes). Buiten dat zijn het meestal mensen die een wachtwoord verzinnen, wat direct de (voornaamste) zwakke schakel is. Als je iemand persoonlijk kent, kun je er vanuit gaan dat jij zijn/haar wachtwoord weet omdat het 'makkelijk te onthouden moet zijn'.

De wachtwoorden zoals "Xkl32Fzkjd#" die we tegenwoordig verzinnen/krijgen voorgeschoteld zijn eigenlijk makkelijker te kraken dan "EenPaardStaatNietInDeGangMaarBuiten", aan de andere kant ligt het natuurlijk ook weer aan de phrase (gebruik je iets wat in een dictionary kan komen te staan, zoals een muzieknummer, is het eerder te kraken dan wanneer het iets 'unieks' is).

Ik ben dan ook blij, en behoorlijk nieuwsgierig, wat hier uit gaat komen. De huidige technologieën met betrekking tot vinger/hand/irisscans kunnen niet in commerciële apparatuur voor dagelijks gebruik, omdat de benodigde hardware om het goed te doen nu nog niet betaalbaar is. Maar kijk/denk je even logisch na, is dat een kwestie van tijd. Kocht je 8 jaar geleden nog voor €50,- tot €70,- een SATA HDD met 80GB opslag, nu betaal je dat voor 1.500GB, of juist voor SSD (wat dus sneller is dan).

De generatie vinger-afdruk-scanners die er op de standaard laptops zitten, zijn niet bijzonder. De webcams die er standaard in zitten, zijn niet bijzonder (1.3MP vind ik niet bijzonder). In het geval van de webcams, wat dus voor irisscans/gezichtsherkennings-software van belang zijn, moet de kwaliteit hiervan vele malen hoger liggen. Niet alleen de webcam, maar ook de videokaart om de beelden te verwerken moeten van vele malen hogere kwaliteit zijn omdat het anders maar 1 beeld per seconde aan kan; terwijl voor een beetje gezichtsherkenning je minimaal 30FPS (liefste 60+) nodig heb. Het moet alle 'eigenschappen' van een iris/gezicht kunnen zien, berekenen en vergelijken in een fractie van een seconde: iets wat een normale laptop van +/- 500-750 niet aankan (wat de meest verkochte prijzen zijn, muv specifiekere laptops).

NFC met een telefoon kom je uiteindelijk op hetzelfde probleem uit; hoe weet je zeker dat degene met de telefoon is wie die zegt dat hij is? Een pincode is zo af te lezen van een touchscreen, een 'swipe' (android lockscreen met die bolletjes) kun je ook zo aflezen.

Of het omslachtig gaat worden weet niemand totdat ze ergens mee komen; dat het wennen wordt is in ieder geval zeker!

Zelfs een Gelscanner van bijvoorbeeld je duim zal te omzeilen zijn, net als de md5 bruteforce zal het altijd wel komen. De ultieme beveiliging zal nooit bestaan. Dus het zal wel niks niks worden,

Pepijn

Met die gedachte kunnen we nu wel meteen stoppen. Alles wat een mens kan bedenken kan ook door een mens gekraakt worden. En aangezien we nooit iets kunnen maken met meer denkvermogen dan de maker, de mens, zullen we nooit een waterdicht systeem kunnen maken.

Maar we moeten wel steeds de encryptie technieken en versleutel methodes blijven verbeteren. Anders kunnen we over 5 jaar alles zonder wachtwoord en met plain text gebruiken, dat zal er dan hetzelfde uitzien aangezien de ontcijfer methodes dan zo ver zijn dat ze de huidige technieken 1 2 3 oplossen.

In de tijd van ceasar was rot13 al de oplossing, enkele jaren geleden md5, een jaar geleden sha en nu bcrypt en over een paar jaar weer iets anders. Wat dat andere is weten we nu nog niet en daarom is het nodig dat grote bedrijven hier onderzoek naar doen.

+1 voor Wouter