24 januari 2006
Onderzoekers van de Rutgers University-Camden zijn bezig met de ontwikkeling van grafische wachtwoorden om de beveiliging van opgeslagen informatie te beschermen. Een van de grootste problemen in informatiebeveiliging is de neiging van gebruikers om wachtwoorden te kiezen die te simpel zijn en die makkelijk herleidbaar zijn. Complexere wachtwoorden zijn veel moeilijker te onthouden. Om dit probleem te omzeilen hebben hoogleraar informatica Jean-Camille Birget en zijn medewerkers grafische wachtwoorden ontwikkeld. ‘In order to make your password secure enough, you have to make it harder to remember, which means that you’re more apt to forget it’, zo verklaart Birget zijn onderzoek. Een eerste toepassing hiervan werkt met een aantal ‘klikpunten’ op een afbeelding, die door de gebruiker zelf te kiezen is. Ook hier geld dat om eenvoudige herleidbaarheid te voorkomen een afbeelding complex genoeg moet zijn om ingewikkelde patronen van ‘klikpunten’ mogelijk te maken. Te denken valt aan landschapfoto’s, stadsgezichten, foto’s van havens e.d.: afbeeldingen waar een complex aan objecten te zien is, die vele combinaties van ‘klikpunten’ mogelijk maken. Om in te loggen moet de gebruiker een aantal gebieden van het plaatje aanklikken. Deze gebieden worden door de gebruiker zelf gekozen tijdens het aanmaken van het wachtwoord. De keuze van die klikpunten moet en willekeurig zijn en makkelijk te onthouden voor de gebruiker. Hoe meer ‘klikpunten’ worden gebruikt, hoe groter de mate van beveiliging.
De webpagina van het project bevindt zich hier. Grafische wachtwoorden kunnen ook nog op andere manieren worden gebruikt. Een van de andere manieren is bedoeld om te voorkomen dat anderen het wachtwoord kunnen afkijken. ‘There are cameras everywhere’, zegt Birget, ‘and you never know who could be looking over your shoulder in a crowded area, or even in your office’. Een wachtwoord wordt gekozen door tien iconen, ‘wachticonen’, te selecteren, die met tweehonderd andere iconen worden samengevoegd. Slechts een beperkt deel van deze iconen wordt afgebeeld. Bij het inloggen worden een paar wachticonen samen met een willekeurig aantal andere iconen afgebeeld. De ‘guardians’ vormen de hoekpunten van een gedefinieerde vorm en wanneer die ‘virtuele’ vorm wordt aangeklikt worden iconen verwijderd, andere toegevoegd en krijgen ze alle een andere positie. Door de ‘guardians’ voortdurend aan te wijzen via de ‘virtuele vorm’ en het ‘spel’ tien keer te hebben gespeeld, op een zelf in te stellen snelheid, wordt aangetoond dat het wachtwoord bekend is en wordt ingelogd. Dit ‘spel’ kost wel veel meer tijd dan door een ‘simpel’ wachtwoord in te tikken. Het ‘spel’ is volgens Birget verder te ontwikkelen tot een inlogmethode die iedereen prettig vindt om te gebruiken. Het idee achter het model is dat de gebruikers bewijzen dat ze specifieke kennis hebben, zonder die kennis te delen met het systeem of eventuele kijkers. De vraag verandert elke keer en daarmee ook het antwoord. Uiteraard dienen de ‘wachters’ zelf niet met de muis te worden aangeklikt. Dit ‘spel’ is ontwikkeld door Leonoardo Sobrado, een student ten tijde van het onderzoek, die het ook bedoelde als een ‘video game’. Op dit moment werkt het systeem alleen nog op een Windows-platform en is .NET-framework 1.1. noodzakelijk. De software is te downloaden, maar het is ook mogelijk te simuleren zonder de software te downloaden. Voor een artikel van Sobrado en Birget in The Rutgers Scholar klik hier.