PassWindow: Ein brandneuer Website-Authentifizierungsprozess

Der IT-Berater Matthew Walker hat PassWindow erstellt. Ein visuelles Authentifizierungssystem, das Mustervergleichstechniken verwendet, um bei jedem Versuch einer Person, sich auf einer Website anzumelden, eine Überprüfung bereitzustellen.

Walkers Motivation

Vor ungefähr acht Jahren wurde Walker selbst Opfer von Online-Kreditbetrug und beschloss, etwas dagegen zu unternehmen. Nachdem Walker den "Eureka-Moment" hatte, den wir uns alle wünschen, experimentierte er drei Jahre lang mit der Musteranalyse und entwickelte die Technologie für PassWindow. Letztendlich hat Walker mehrere Patente für seine Bemühungen erhalten. Nachdem alles endlich in Ordnung ist, kann Walker nun über seine Erfindung sprechen.

Ich hatte das Glück, ein Gespräch mit Mr. Walker zu führen, in dem er erklärte, wie PassWindow funktioniert. Während wir uns unterhielten, versuchte ich immer wieder herauszufinden, wo ich das schon gesehen habe. Endlich wurde mir klar, wo.

Meine Digitaluhr

PassWindow erinnert mich an eine Digitaluhr, bei der einige der Zahlensegmente fehlen. So beschreibt Walker es:

"Durch Halten eines gedruckten eindeutigen Segmentschlüsselmusters auf einer transparenten Plastikkarte über einem synchronisierten Bildschirmmusterbild können jedes Mal, wenn eine Authentifizierung erforderlich ist, beliebig viele eindeutige visuelle dynamische Kennwortkombinationen erstellt werden."

Die folgende Folie zeigt, wie die korrekte Ausrichtung der beiden Muster mit freundlicher Genehmigung von Matthew Walker aussieht:

Software und eine Karte

PassWindow besteht aus drei Komponenten:

  • Schlüsselmustergenerator : Auf dem Webserver installierte Software, die das jedem Benutzer zugewiesene eindeutige Schlüsselmuster generiert.
  • Challenge-Pattern-Generator : Software, die sich ebenfalls auf dem Webserver befindet und die dynamischen Challenge-Patterns generiert, die Benutzer bei der ersten Anmeldung sehen.
  • Musterkarte : Ist das Gerät (universelle Plastikkarte) mit dem eindeutigen Schlüsselmuster des Benutzers aufgedruckt.
Wie PassWindow funktioniert

Der einfachste Weg, um zu erklären, wie PassWindow funktioniert, ist ein Beispiel. Es ist Herbst in Amerika und Sue beginnt mit der Universität. Sue erhält einen Benutzernamen und ein Passwort für ihre vertrauliche Webseite auf dem Webserver der Universität. Sue wird auch ein Universitätsausweis ausgestellt.

Die Karte ist eine normale ID-Karte mit dem erforderlichen Magnetstreifen und geprägten Informationen. Neu ist das transparente Fenster, das Sues spezifisches Schlüsselmuster für PassWindow enthält.

Sue kommt nach Hause und möchte sicherstellen, dass ihr Stundenplan die Arbeit nicht beeinträchtigt. Folgen wir Sue, während sie versucht, sich anzumelden:

  • Sue ruft die Website der Universität auf und gibt ihren Benutzernamen und ihr Passwort ein.
  • Der Webserver erkennt die Kombination aus Benutzername und Kennwort und fordert den Challenge-Pattern-Generator auf, ein einmaliges Muster für diesen Anmeldeversuch zu erstellen.
  • Dieses Muster wird an Sues Webbrowser gesendet und an einer prominenten Stelle angezeigt.
  • Sue richtet dann ihren Personalausweis über dem angezeigten Muster aus und erkennt visuell eine Nummer.
  • Sue gibt die Nummer in das Bestätigungsfeld ein und erhält Zugang zu ihrer Webseite.

Die folgende Folie ist eine grafische Erklärung von Sues Login mit freundlicher Genehmigung von Matthew Walker:

Vorteile von PassWindow

PassWindow ist ein echtes Multi-Faktor-Authentifizierungssystem, das etwas verwendet, das Sie kennen und das Sie haben. Ich vergleiche es mit SecureID-Token, aber einfacher zu verwenden, billiger herzustellen und einfacher zu tragen. Walker listet über 20 Gründe auf, warum PassWindow gegenüber anderen Authentifizierungssystemen einen Vorteil hat. Hier sind einige davon:

  • Unbegrenzte Lebensdauer, Lebensdauer ist nicht auf die Batterielebensdauer beschränkt.
  • Keine teuren dedizierten Token für elektronische Hardware und Schutz vor den unzähligen damit verbundenen elektronischen Schwachstellen.
  • Im Gegensatz zur SMS-basierten Authentifizierung werden die Codes sicher über SSL direkt an den Client geliefert, nicht über unzuverlässige Telekommunikationsnetze von Drittanbietern. (GSM ist geknackt)
  • Phishing-Abschreckung: Stellen Sie die E-Mail-Kommunikation mit Ihren Kunden wieder her, indem Sie ein PassWindow-Musterbild hinzufügen, mit dem die E-Mail-Nachricht speziell für diesen Kunden authentifiziert wird. Phishing-Angreifer können diese legitimen Herausforderungsmuster nicht generieren.
Einige Fragen

Ich hatte einige Fragen, die ich Walker gestellt habe, um sicherzustellen, dass ich die Technologie verstanden habe:

1. Welche Art von Drucker wird benötigt, um die Karten herzustellen? Wie stabil ist die Tinte?

"Generell stelle ich mir vor, dass das PassWindow in bestehende Kartensysteme integriert wird, die mit normalen Kartendruckern für 500 bis 5000 US-Dollar gedruckt werden.

Für billige einfache Implementierungen kann es jedoch mit einem normalen Drucker auf transparente Aufkleber gedruckt und auf eine stabilere transparente Oberfläche oder sogar die Ecke Ihres Bildschirms geklebt werden. "

2. Wie initiiert der Benutzer die Authentifizierung? Wird ein Benutzername auf der Website eingegeben? Ihre Website erklärt dies nicht klar.

"Ja, es würde in Kombination mit vorhandenen Benutzernamen- und Passwortsystemen oder zumindest einem Benutzernamen verwendet. Ich gehe davon aus, dass es zusammen mit anderen Authentifizierungsmechanismen integriert wird, jedoch für Benutzer, die sich nichts merken möchten, von selbst funktionieren könnte. ""

3. Wenn ich verstehe, ist das Schulter-Surfen kein Problem, da die erstellte Nummer ein einmaliges Ereignis ist. Ist das korrekt?

"Ja, Sie haben Recht, aber es ist tatsächlich schwierig, PassWindow zu surfen. Der geringe Abstand zwischen dem Kartenmuster und den Bildschirmpixeln erzeugt einen begrenzten Betrachtungswinkel. Der Schulter-Surfer müsste sich direkt hinter Ihrem Kopf befinden.

Außerdem könnte auf der Musterkarte ein Farbton um das Muster gedruckt sein, wie auf meiner Sicherheitsseite gezeigt. Dies ist einfach ein grauer Hintergrund auf dem Schlüsselmusterbild, der gut gegen jemanden funktioniert, der versucht, das Schlüsselmuster zu erfassen. "

4. PassWindow scheint mir anfällig für Key Logger und Screen-Capture-Anwendungen zu sein.

"Abgesehen von dem dynamischen Aspekt des Passworts springen die Zeichenpositionen zufällig in einem größeren segmentierten Matrixmuster herum. Dies bedeutet, dass der Angreifer selbst bei geheim auf dem Computer eines Opfers installierten Screenshot- und Key-Logger-Anwendungen nicht genug abfangen kann Daten zur Berechnung des Schlüsselmusters, bevor das Schlüsselmuster mit einer neuen Jahreskarte erneuert wird. "

Was kommt als nächstes

Walker wurde bereits von der australischen Fernsehsendung The New Inventors mit dem People's Choice Award ausgezeichnet. Walker verhandelt derzeit auch mit mehreren Kreditkartenunternehmen, darunter CARDPro.

Es scheint, dass die Verwendung von PassWindow nur durch die eigene Vorstellungskraft begrenzt ist. Walker erwähnte, dass eine angesehene Mikrokreditstiftung PassWindow verwenden möchte, jedoch auf dem Papier:

"Eine in Ländern der 3. Welt tätige Mikrokreditstiftung möchte PassWindow in Papierbüchern verwenden, um Transaktionen mit den Dorfbewohnern zu authentifizieren, die Kredite haben. Die Leute halten einfach ihre Karte über das gedruckte Muster auf dem Papier und schreiben den Authentifizierungscode auf wird dann wieder in der Niederlassung bestätigt.

Später werden sie die Informationen in digitale Datenbanken migrieren, sobald das Internet verfügbar ist. Unter den gegenwärtigen Bedingungen sind alle elektronisch basierten Lösungen unter Kosten- und Implementierungsgesichtspunkten unmöglich. "

Abschließende Gedanken

Das Denken "außerhalb der Box" beeindruckt mich immer wieder und PassWindow veranschaulicht dies. Es ist nicht schwer zu erkennen, wo unsere Online-Sicherheit von dieser Technologie profitieren würde.

© Copyright 2021 | pepebotifarra.com