Handskrivna lösenord

Ett nytt online-autentiseringssystem kallat Dynahand kan göra inloggningen på webbplatser lite enklare. Med Dynahand identifierar användare helt enkelt sin egen handstil, istället för att ange ett kryptiskt lösenord eller köpa en biometrisk enhet för att skanna sina fingeravtryck.





Igenkänningskraft: Istället för att anstränga sig för att komma ihåg lösenord, kunde användare komma åt onlinekonton genom att känna igen något de producerade själva. Dynahands onlineautentiseringssystem låter användare logga in genom att känna igen en samling slumpmässiga siffror i sin egen handstil (överst). University of Glasgow-forskare arbetar också med grafiska system (nederst), som de säger skulle kunna hjälpa dyslektiska barn och andra människor som har problem med teckensträngar.

Lösenord kan vara säkra när de används på rätt sätt, men många använder dem inte bra. Att skapa svaga lösenord som är lätta att hacka, använda samma lösenord för flera konton, skriva ner lösenord på papperslappar – dessa dåliga vanor undergräver säkerheten. Datavetare vid University of Glasgow Karen Renaud , som arbetade på Dynahand, säger att folk inte kan klandras för denna slarv. Jag vet inte ens hur många lösenord jag har, säger hon. Det är löjligt ... jag tror att människor som designar webbplatser är helt orealistiska med den belastning de lägger på människor.

Att ersätta lösenord med biometrisk autentisering, som identifierar användare baserat på fysiska egenskaper, såsom fingeravtryck eller näthinneskanningar, är inte heller idealiskt eftersom användarna måste köpa extra hårdvara för att dra fördel av sådana system. Däremot kräver Dynahand ingen extra hårdvara eller minnesprestationer.

För att öppna ett Dynahand-konto skickar en potentiell användare en mängd olika handstilsexempel. För att logga in på sitt konto måste hon välja sin egen handstil ur en serie prover som presenteras. Beroende på önskad säkerhetsnivå kan hon behöva göra detta flera gånger för en enda inloggning.

Användarens handskriftsexempel innehåller endast siffror, eftersom siffror är svårare för en extern part att känna igen än bokstäver. Siffrorna som visas är slumpmässiga, så handstilen är den enda ledtråden till rätt svar. Forskarna använder en algoritm för att analysera egenskaperna hos alla handskriftsprover som presenteras, såsom bredden på strecken, för att vara säkra på att proverna är distinkta och inte förvirrar en legitim användare.

Renaud säger att den här typen av system tilltalar särskilt äldre användare, som kan vara mycket medvetna om den påfrestning som att komma ihåg ännu ett lösenord kommer att belasta deras minnen. Hon har upptäckt att systemet även tilltalar dyslektiker, som ibland använder väldigt enkla lösenord eftersom de har svårt att komma ihåg komplexa lösenord. Båda populationerna, säger hon, är villiga att använda ett långsammare system i utbyte mot att de inte behöver komma ihåg ett lösenord.

Larry O'Gorman , en datavetare vid Avaya Labs som forskar om sätt att göra säkerheten mer användarvänlig, säger att han tycker att Dynahand-systemet är intressant, särskilt på det sättet att det låter användarna känna igen siffror. Men han är inte övertygad om att det är säkert, eftersom även en enda inloggning innebär att man identifierar handskriftsprover flera gånger. En smart angripare kommer att välja samma stil av handstil för varje steg, säger O'Gorman. Jag vet inte hur lätt det är att matcha handstilar från ett stadium till nästa, men jag tror att det kan göras till viss del.

Renaud tror inte att Dynahand är tillräckligt säkert för att skydda känslig information, såsom bankkonton eller hälsojournaler. Snarare tror hon att det kan vara användbart för sociala webbplatser, där en användare vill att hennes konto ska vara privat men där inget katastrofalt skulle hända om någon bröt sig in på det. Att använda Dynahand under dessa omständigheter kan minska antalet lösenord som användare måste komma ihåg, vilket gör dem mer kapabla att återkalla komplexa lösenord när säkerheten är avgörande.

Glasgow-forskarna säger att Dynahands säkerhet också kan förbättras genom att hålla reda på den tid det tar för en användare att svara på varje handskriftsutmaning och genom att se upp för onormalt långa inloggningstider (vilket kan signalera att en inkräktare försöker analysera proverna i sökning efter den korrekta) eller onormalt korta inloggningstider (vilket kan signalera att en inkräktare försöker bryta sig in med en brute-force-teknik som innebär att en dator snabbt försöker alla möjliga svar).

Det främsta hindret för att få Dynahand på marknaden, säger Renaud, är att skapande av ett nytt konto kräver för mycket manuellt arbete bakom kulisserna. Jag lägger ner timmar och timmar på att skanna in prover manuellt, säger hon. Det är okej eftersom jag testade en idé, men ett företag kommer inte att vilja göra det. Hon arbetar nu med sätt att automatiskt samla in och analysera handskriftsprover.

Dölj