x

Einloggen

Hast du noch keinen Account? Jetzt registrieren!

RhythmAuth als Login mit Rhythmus-Prüfung

Login mit Eingaberhythmus-PrüfungStändig ist die Rede von Sicherheit, und wie man es schafft, dass das eigene Benutzerkonto nicht missbraucht werden kann.
Diesem Problem habe auch ich ein paar Stunden gewidmet und habe mit RhythmAuth mal einen ersten (eigenen) Test in Sachen Rhythmus-Prüfung entwickelt.

In diesem Artikel möchte ich kurz erleutern, wie die musikalische Prüfung mehr Sicherheit gegen Missbrauch durch einen anderen Menschen bietet, der sehr viel höhere Mehrwert bei einer Brute-Force-Attacke aber im Moment noch angezweifelt werden darf.
 Das Verfahren:
Das Prinzip hinter RhythmAuth ist simpel. Sobald der Nutzer beginnt sein Passwort einzutippen beginnt ein Timer zu laufen.
Für jedes eingegebene Zeichen wird die Zeit notiert. Aus diesen Zeiten wird ein Hashwert generiert.
Dieser Wert ergibt zusammen mit dem Username und dem eigentlichen Passwort wiederum einen anderen Hashwert, der ab sofort als Key für jede weitere Anmeldung dient.

Somit ist es nicht mehr ausreichend nur Benutzername und Passwort zu kennen — man muss auch das richtige Timing beim Anschlagen haben.

Gut gegen Menschen, aber gegen die Maschine?
Dadurch, dass das Verfahren nun ein ziemlich gutes drittes Prüfkriterium verlangt, sollte es einem Missbrauch durch einen Bekannten, der irgendwie das Passwort erhaschen konnte, gut entgegenwirken. Solang der Eintipp-Rhythmus nicht bekannt ist, wird er mit den anderen Daten nichts anfangen können.

Anders sieht es vermutlich bei einer Maschine aus. Bei einer Brute-Force-Attacke könnte (wenn das Passwort bekannt) ist, bei einem 5 Sekunden langen Passwort (aufgeteilt in jeweils 400ms) beispielsweise, das richtige Timing sehr schnell gefunden werden.
Wie in unserem Blogartikel zu RhythmAuth auch hier der Aufruf: Wenn ein kluges Köpfchen ausrechnen könnte, wie viele Kombinationen denn nun wirklich möglich wären, dann wäre ich sehr dankbar! :-)

Ich möchte in der nächsten Zeit noch ein bisschen weiter dran rum programmieren und werde vermutlich im neuen Jahr ein Tutorial im eigenen Blog dazu veröffentlichen — ihr dürft gespannt sein!

Bis dahin würde mich aber Eure eigene Meinung dazu interessieren. 
Meint ihr das bringt was?

2840 Mal gelesen
+1
25. Dez 2013, 00:05

Kommentare

(0)
RSS

Kommentieren

Fett Kursiv Unterstrichen Durchgestrichen   Link Zitieren Code
Ich bin mit den Nutzungsbedingungen einverstanden.
Zukünftige Kommentare zu diesem Beitrag abonnieren (abbestellbar).
 
Bitte klicke jetzt auf den Bestätigungslink in deiner E-Mail.