“Veiligheid inlogsystemen niet goed onderzocht”

Inlogsystemen vaak slecht getest, zeggen Ruthersonderzoekers

Veel inlogsystemen werken nog met een gebruikersnaam en een wachtwoord

Volgens onderzoekers van de Amerikaanse Rutgersuniversiteit is de veiligheid van inlogsystemen, die moeten bepalen of de inlogger is wie hijzij voorgeeft te zijn, niet goed onderzocht (pdf-bestand). Ze bieden een recept voor tests die beter doen.
“Ons onderzoek vormt een belangrijke vooruitgang in het doorgronden van identificatiesystemen”, zegt onderzoeker Janne Lindqvist bescheiden. “Het was verbazingwekkend te vinden dat de manier waarop die systemen getest worden niet deugt. Dat zou kunnen betekenen dat ze helemaal niet werken en dat kan natuurlijk ernstige gevolgen hebben.”
Inlogsystemen zijn bedoeld om te achterhalen dat iemand die zich aanmeldt ook is die hijzij voorgeeft te zijn. Zonder inloggen komt je in onze gedigitaliseerde samenleving bijna nergens meer. Wil je digitale post ophalen, geld overmaken, je telefoon ontgrendelen, je moet je steeds identificeren. Vaak gebeurt dat met gebruikersnaam en wachtwoord, maar steeds vaker kunnen biometrische kenmerken zoals vingerafdrukken je digitaal toegang verschaffen. Banken gebruiken apparaatjes die getallen produceren en lijsten met getallen om er zeker van te zijn dat de juiste klant bij de juiste bankrekening kan komen.
De onderzoekers bekeken 35 recente publicaties over 35 verschillende identificatiesystemen en 33 daarvan bleken fouten in de rapportage te bevatten, zo staat er in het persbericht (ik ga er dan maar even van uit dat het om die systemen en niet de ie 35 onderzoeken gaat; as). De onderzoekers stellen ook dat er geen consistente (ik neem aan gestandaardiseerde; as) aanpak is voor de rapportage over de prestaties van identificatiesystemen. Ook zou de manier waarop die gemeten wordt niet in de haak zijn.

Nieuwe aanpak

Je kunt je vinger op de zere plek leggen, maar je kunt ook proberen de wond te genezen en dat zouden de onderzoekers hebben gedaan. Ze ontwikkelden een methode die de gebruiker juiste informatie geeft over de effectiviteit van een inlogsysteem en ook hoe die effectiviteit verbeterd kan worden. Daarbij combineerden de onderzoekers analysemethoden die nu al gebruikt worden met die uit andere vakgebieden e.d. Daarmee zouden gebruikers/kopers een reëel beeld krijgen van de veiligheid van inlogsystemen.

Bron: EurekAlert

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.