[go: up one dir, main page]

NL1029679C2 - Werkwijze en systeem voor het genereren van wachtwoorden. - Google Patents

Werkwijze en systeem voor het genereren van wachtwoorden. Download PDF

Info

Publication number
NL1029679C2
NL1029679C2 NL1029679A NL1029679A NL1029679C2 NL 1029679 C2 NL1029679 C2 NL 1029679C2 NL 1029679 A NL1029679 A NL 1029679A NL 1029679 A NL1029679 A NL 1029679A NL 1029679 C2 NL1029679 C2 NL 1029679C2
Authority
NL
Netherlands
Prior art keywords
password
generator
code
obtaining
access
Prior art date
Application number
NL1029679A
Other languages
English (en)
Inventor
Johannes Gerrit De Graaf
Antonius Franciscus De Boer
Original Assignee
Delence B V
A & B Edutainment B V
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Delence B V, A & B Edutainment B V filed Critical Delence B V
Priority to PCT/NL2006/000185 priority Critical patent/WO2006107201A1/en
Application granted granted Critical
Publication of NL1029679C2 publication Critical patent/NL1029679C2/nl

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Description

i ' ~~ I V * WERKWIJZE EN SYSTEEM VOOR HET GENEREREN VAN WACHTWOORDEN.
De uitvinding heeft betrekking op een werkwijze voor het i | reproduceerbaar genereren van wachtwoorden of | 5 (toegangs)codes, in het bijzonder veilige of beveiligde wachtwoorden of (toegangs)codes. Onder "veilige" wachtwoorden en (toegangs)codes wordt in het kader van de onderhavige uitvinding tevens elektronische certificaten en soortgelijke voortbrengselen verstaan.
10 Mensen kiezen van nature voor makkelijk te onthouden | wachtwoorden of (toegangs)codes, veelal gebaseerd op door derden gemakkelijk achterhalen gegevens zoals naam, geboortedatum, merk auto, naam echtgenoten en kinderen. Door | de grote hoeveelheid aan plaatsen waar een wachtwoord of 15 (toegangs)code gebruikt moet worden hebben mensen daarnaast de neiging om vaker of zelfs telkens hetzelfde wachtwoord of dezelfde (toegangs)code te kiezen. Het gevaar van misbruik door kwaadwillende derden is hierdoor groot.
Veilige wachtwoorden en (toegangs)codes zijn een 20 belangrijke eis voor het veilig functioneren van elektronische transacties en fungeren, vaak in combinatie met een zogenaamde inlognaam, voor identificatie. Veilige wachtwoorden en (toegangs)codes bestaan uit een zo min mogelijk logische combinatie van cijfers en letters en 25 eventueel andere tekens, zoals leestekens en valuta- aanduidingen, etcetera. Daarnaast zijn veilige wachtwoorden en (toegangs)codes bij voorkeur voldoende lang. Om veilige wachtwoorden en (toegangs)codes of certificaten te genereren zijn diverse softwareprogramma's beschikbaar in het relevante 30 technische gebied. Deze genereren een willekeurige combinatie van karakters. Nadeel hiervan is echter dat de gegeneerde wachtwoorden moeilijk zijn te onthouden, en, omdat de combinatie willekeurig is, ook meestal niet reproduceerbaar.
1029679 1 ' 2
Als gevolg daarvan worden de wachtwoorden of toegangscodes opgeschreven. Dit brengt een veiligheidsdilemma met zich mee.
Het opgeschreven wachtwoord of de (toegangs)code is immers voor iedereen, die fysiek daartoe toegang heeft, zichtbaar.
5 Anderzijds zou opbergen in bijvoorbeeld een kluis niet praktisch zijn, omdat in dat geval telkens wanneer het wachtwoord of de (toegangs)code nodig is deze opgezocht moet ; worden.
Om het probleem van het veilig opslaan van eenmaal 10 gegenereerde wachtwoorden tegemoet te komen zijn er softwareprogramma's beschikbaar die fungeren als een digitale data-kluis. Meestal worden de wachtwoorden of (toegangs)codes of certificaten versleuteld opgeslagen waarna ze door het invoeren van een hoofdwachtwoord beschikbaar komen. Nadeel 15 hiervan is echter dat deze data-kluis door derden, al dan niet via bijvoorbeeld een medium als internet, zijn te kraken. In dat geval zijn in één keer alle wachtwoorden voor alle beveiligde toepassingen, web-sites, etcetera onbruikbaar. Een ander nadeel is dat de data-kluis niet 20 altijd ter beschikking van de gebruiker staat indien deze op diverse computers werkt.
De werkwijze volgens de uitvinding maakt gebruik van een generator, bij voorkeur doch niet uitsluitend in samenhang met een invoerapparaat en een uitvoerapparaat, waarbij het 25 invoerapparaat kan worden gebruikt om een eerste en een tweede wachtwoord in te geven aan de generator en waarbij de gegenereerde veilige code, zoals een (toegangs)code of een wachtwoord op het uitvoerapparaat wordt weergegeven of het gegenereerde elektronische certificaat wordt opgeslagen, : i 30 bijvoorbeeld in een geheugen. De werking van de generator wordt daarbij bepaald en/of ingesteld met behulp en op basis van het eerste wachtwoord. Het tweede wachtwoord wordt ! versleuteld, gecodeerd of anderszins bewerkt door de aldus ^29679 i » « 3 met het eerste wachtwoord ingestelde generator om de gewenste code te verkrijgen, bij voorkeur op reproduceerbare wijze.
De werkwijze en het systeem volgens de uitvinding vertonen de hierboven beschreven nadelen van de bekende 5 technieken niet, of althans in sterk verminderde mate. De werkwij ze bestaat eruit om eerst een eerste wachtwoord via het invoerapparaat in te voeren. Dit kan een aan de persoon van de gebruiker gerelateerde uitdrukking of woord zijn, zoals voorheen een door de gebruiker universeel toegepaste 10 (toegangs)code, zoals een naam, automerk, pincode van een bankpas, combinaties van dergelijke componenten, etcetera.
Daarmee kan de generator worden ingesteld in een op het eerste wachtwoord gebaseerde werking. Vervolgens wordt een tweede wachtwoord ingevoerd, dat bij voorkeur eenvoudig is.
15 Eenvoudig wil hier zeggen kort, gemakkelijk te onthouden en mogelijk gerelateerd aan de applicatie, dienst, faciliteit of web-site, etcetera, waartoe toegang gewenst is en waarvoor de code nodig is. Een geprefereerde uitvoeringsvorm van de werkwijze en inrichting volgens de uitvinding is dan, dat een 20 gebruiker de naam of een daaraan gerelateerd woord of uitdrukking van bijvoorbeeld de web-site, eventueel aangevuld met initialen, als eenvoudig tweede wachtwoord kan kiezen.
Een andere manier is om telkens de inlognaam als eenvoudig tweede wachtwoord te gebruiken. Deze modus operandi is 25 eenvoudig door de gebruiker te onthouden en consequent toe te passen, zolang hij of zij de door hem bedachte aanduiding voor de beveiligde toepassingssoftware, web-site, etcetera ook onthoudt en consequent als het tweede wachtwoord toepast bij het later genereren van de (toegangs)code. Als gevolg van 30 deze werkwijze heeft de gebruiker bij elke applicatie, web- ! i
site enzovoort een unieke en veilige (toegangs)code. Het J
gevaar van diefstal van de (toegangs)code en vervolgens j pogingen tot misbruik bij andere applicaties, web-sites j | ! 0 2 9 6 7 9 I ' 4 enzovoort wordt hiermee effectief voorkomen. Opgemerkt wordt dat het evident is dat het eerste en tweede wachtwoord in functie ook verwisseld kunnen worden (het tweede om de generator in te stellen en het eerste wachtwoord om 5 versleuteld te worden). Ook kan aan het eerste wachtwoord een aan de beveiligde toepassing etcetera gerelateerde betekenis worden gegeven, en aan voor het tweede wachtwoord een aan de gebruiker gerelateerde betekenis kan worden toegekend.
Het eerste wachtwoord bepaalt de manier en/of de volgorde 10 van versleuteling volgens het ten minste ene codeeralgoritme, waarmee het tweede wachtwoord door de generator wordt versleuteld tot een veilige (toegangs)code. De veilige (toegangs)code kan in een geprefereerde uitvoeringsvorm tenslotte via het uitvoerapparaat aan de gebruiker worden 15 getoond. Doordat het eerste woord de manier van versleuteling bepaalt is het proces voor het genereren van de (toegangs)code reproduceerbaar. Hetzelfde tweede eenvoudige wachtwoord geeft een volledig ander resulterende veilige (toegangs)code als niet hetzelfde eerste wachtwoord wordt 20 gebruikt.
Als eerste wachtwoord kan bijvoorbeeld de pincode van een bank-pinpas dienen, al dan niet aangevuld met andere letters of cijfers, zoals bijvoorbeeld naam of initialen, zoals door veel gebruikers al als universeel toegepaste (toegangs)code 25 wordt gebruikt. Het voordeel van gebruik van de pincode van een bankpas is dat hiervan algemeen aanvaard is dat dit geheime informatie is en dat vrijwel iedereen deze uit het hoofd kent. Het tweede wachtwoord kan daardoor een eenvoudig te onthouden tekst- en/of cijfercombinatie (een zgn "string" 30 met bijv. ook leestekens of willekeurige andere te kiezen elementen) zijn, mogelijk met een voor de gebruiker eigen betekenis, die kan zijn gerelateerd aan de beveiligde toepassing, web-site, etcetera, waartoe men toegang wenst.
1029679 . -- - --- -1 5 t '
Er wordt bij voorkeur geen (enkele) informatie in de generator zelf opgeslagen. Hierdoor is digitale inbraak door hackers en/of spionage onmogelijk.
Indien de uitvinding wordt verwezenlijkt in een op 5 computersoftware gebaseerde uitvoeringsvorm, dan is het voor de gebruiker mogelijk dezelfde of een soortgelijke generator op meerdere plaatsen, d.w.z bij meerdere computers, te gebruiken. De generator kan door middel van extern medium (zoals een elektronisch geheugen) wereldwijd te gebruiken.
10 Naar de huidige stand der techniek zou dat kunnen zijn bijvoorbeeld een diskette, CD-rom, een DVD-ROM of een zgn "USB-memorystick". Tevens is het mogelijk, dat een als softwareprogramma verwezenlijkte uitvoeringsvorm van de uitvinding op afstand van de gebruiker "draait" en 15 bijvoorbeeld via een bij voorkeur beveiligde internetverbinding kan worden benaderd om op afstand te worden uitgevoerd, of om gedownload te worden en op de computer van de gebruiker te worden geïnstalleerd en op afroep uitgevoerd.
20 Het invoerapparaat kan bestaan uit een toetsenbord, al dan niet geïntegreerd in de generator, die in een uitvoeringsvorm van de uitvinding een gehele computer kan omvatten. Typische voorbeelden uitvoerapparaten zijn computermonitoren of LCD-displays. Een mobiele telefoon is 25 een voorbeeld van een apparaat waarin invoerapparaat, uitvoerapparaat en generator in kunnen zijn geïntegreerd.
Ook externe bronnen kunnen fungeren als invoerapparaat ·*· en/of uitvoerapparaat. Voorbeelden hiervan zijn bijvoorbeeld apparaten die gebruik maken van radiogolven (bijvoorbeeld de 30 zogenaamde 'Bluetooth'), infrarood of bepaalde netwerkprotocollen (zoals bijvoorbeeld in gebruik op internet en intra-netwerken), of zelfs een bijv. met de generator samenhangend computergeheugen.
10296/9 6 . ·
Indien de gegenereerde veilige code via elektronische weg naar een externe bron wordt gezonden, is er feitelijk sprake van een elektronisch certificaat. Ook digitale handtekeningen zijn met behulp van deze werkwijze veilig en eenvoudig te 5 realiseren.
Voor de diverse toepassingsmogelijkheden van deze uitvinding kunnen verschillende generatoren worden gebruikt. Deze versleuteleenheden kunnen gebruik maken van uiteenlopende versleutelmethoden of codeeralgoritmes, zowel 10 klassiek (eenvoudige tekstvercijfering door verschuiving of verplaatsing van letters) als modern (encryptie op bestandsniveau zoals RSA, DES en triple DES).
In een bijzondere uitvoering van de uitvinding omvat het eerste of tweede wachtwoord een biometrische eigenschap van 15 de gebruiker, of is zulk een biometrische eigenschap een aanvulling op de eerste en tweede wachtwoorden. Te denken valt aan een irisscan, vingerafdruk en/of spraakherkenning, etcetera. Extra voordeel bij het gebruik van een biometrische eigenschap is dat dit niet door de gebruiker onthouden hoeft 20 te worden, hij of zij draagt de eigenschap altijd bij zich. Alleen het eerste en/of tweede wachtwoord hoeft/hoeven onthouden te worden. Dit kan dan, zoals hierboven is uiteengezet, een wachtwoord zijn met een aan de beveiligde toepassing, applicatie of web-site, waartoe toegang gewenst 25 is, gerelateerde betekenis, of een aan de gebruiker gerelateerd wachtwoord.
Naast de voordelen voor de eigenlijke gebruiker wordt er een groot maatschappelijk veiligheidsvoordeel voor de aanbieders van elektronische diensten in het elektronische 30 (internet)verkeer gerealiseerd. Misbruik van hun diensten, zoals bijvoorbeeld bestellingen van goederen via internet op naam van een ander, worden een stuk moeilijker, doordat een 1029679 7 . < 'gestolen' code uitsluitend nog kansen biedt bij alleen die beveiligde applicatie of web-site, waar deze is gestolen.
Een bijzondere uitvoeringsvorm van de uitvinding kan een software programma omvatten voor bijvoorbeeld een personal 5 computer. Zo een programma kan als afzonderlijk programma worden gestart, wanneer daartoe een behoefte bestaat, d.w.z. wanneer een gebruiker op een beveiligde web-site of applicatie wil inloggen. Benadrukt wordt, dat de onderhavige uitvinding zowel on-line als off-line toepasbaar is. Tevens 10 is de onderhavige uitvinding bij voorkeur te integreren of geïntegreerd in een applicatie, zoals een web-browser of een applicatie-programma. Ook kan een uitvoeringsvorm van de onderhavige uitvinding toegang door een gebruiker reguleren tot een deel van het besturingssysteem, bijv. dat deel, 15 waarmee computer- of netwerkinstellingen kunnen worden veranderd, hetgeen bij voorkeur is voorbehouden aan een netbeheerder, waarbij en gebruiker alleen via een met de uitvinding te verkrijgen (toegangs)code toegang kan verkrijgen tot dat deel van het besturingssysteem of netwerk. 20 Tevens kan de toegang tot dergelijke delen door een netwerkbeheerder eventueel via een programma als uitvoeringsvorm van de onderhavige uitvinding worden gereguleerd.
Bij voorkeur heeft een softwareprogramma als mogelijke 25 uitvoeringsvorm van de onderhavige uitvinding prioriteit over : alle op een computer lopende programma's in die zin, dat bij het opstarten van een programma als uitvoeringsvorm van de werkwijze volgens de uitvinding, een invoerscherm wordt geopend over (alle) reeds geopende schermen heen. Die 30 situatie is dan bij voorkeur alleen door een gebruiker ongedaan te maken, bijvoorbeeld om in een dan achterliggend scherm verder te kunnen werken, door het programma af te sluiten of ten minste één (toegangs)code door het programma 1029679 > 8 te laten genereren. Het programma zet bij voorkeur automatisch een cursor in het vak waar het eerste wachtwoord moet worden ingevuld. De gebruiker toetst met behulp van het toetsenbord zijn eerste wachtwoord in, gevolgd door een 5 aanslag op de "Enter"- of de "Tab"-toets of een klik in het (volgende) invoerveld, bijvoorbeeld voor het tweede wachtwoord. In beide gevallen kan de gebruiker direct het tweede (mogelijk aan de applicatie of website, etcetera, gerelateerde) wachtwoord invoeren. De invoer wordt ook nu 10 weer afgesloten door een aanslag op de "Enter"-toets of door op de knop "Genereer Wachtwoord" te klikken.
Vervolgens wordt elk karakter of element van de string, waaruit het eerste wachtwoord is gevormd, geanalyseerd. Elk karakter of element heeft een bijbehorende getalswaarde, bv. 15 1 = 1, 2 = 2 enz., a = 123, b = 234, c = 456 enz., A = 342, # = 865 enz. De relaties kunnen op voorhand zijn vastgesteld, bijvoorbeeld in een met de ASCII-code overeenkomende tabel. Alle cijfers van deze getalswaarden kunnen achter elkaar worden gezet in een volgorde die met de string van elementen 20 overeenkomt, of in een willekeurige andere volgorde. Het eerste wachtwoord "123aA" levert zo in dit voorbeeld de volgende rij cijfers op: 123123342. Deze cijferreeks bepaalt met welke eneryptiemethode(n) of codeeralgoritme(s), of met welke parameters in een vast algoritme, het tweede wachtwoord 25 wordt versleuteld om de veilige code te genereren. Een eenvoudig voorbeeld van deze werkwijze omvat, dat er 10 encryptieroutines zijn (Al tot en met AIO), waarbij elke encryptieroutine een andere zogenaamde mono-alfabetische substitutie uitvoert. Bij een mono-alfabetische substitutie 30 wordt elk karakter veranderd door een vast ander karakter, bijv.: a wordt z, b wordt y, c wordt b enz. Deze substitutie heeft tot gevolg dat een encryptievolgorde van parameter 1 gevolgd door één met als parameter 2 een ander eindresultaat 1029679
, I
9 oplevert dan met parameters 2 gevolgd door 1. Het tweede wachtwoord kan nu worden versleuteld door van links naar rechts de cijfers in de reeks, gedestilleerd uit de string elementen van het eerste wachtwoord, te gebruiken als 5 parameters van een vast codeeralgoritme of als aanduiding van een selectie van één uit een aantal mogelijke codeeralgoritme of een combinatie van dergelijke mogelijkheden.
De aldus gegenereerde (toegangs)code kan tenslotte door middel van programmatische toetsaanslagen naar de 10 applicatie/website worden gestuurd, waartoe toegang gewenst is en waarvoor de (toegangs)code nodig is. Met programmatische toetsaanslagen wordt bedoeld: invoeren in de computer, die niet door de gebruiker fysiek zijn gedaan. Andere uitdrukkingen hiervoor kunnen zijn: "softwarematige 15 toetsaanslagen" en/of "virtuele toetsaanslagen". De besturing van een computer interpreteerd deze signalen wel als fysieke toetsaanslagen, en hiertoe kan gebruik worden gemaakt van een zgn "sendkeys" commando of routine. De gegenereerde code hoeft dan niet door de gebruiker met fysieke toetsaanslagen 20 ingevoerd te worden in een invoerveld van de web-site, of applicatie, etcetera, maar een een uitvoeringsvorm van de onderhavige uitvinding vormend programma kan de overdracht verzorgen van de gegenereerde code naar dat invoerveld. Om het inloggen in de applicatie/website nog verder te 25 vergemakkelijken, kan na de (toegangs)code ook een "Enter"-aanslag worden meegezonden. Na het verzenden van de (toegangs)code kan het programma vanzelf worden afgesloten, bij voorkeur zonder vertrouwelijke gegevens op de harde schijf of in het werkgeheugen te hebben gezet, of te hebben 30 achtergelaten. Een programma voor het verwezenlijken van de uitvinding kan nog worden uitgevoerd met extra beveiligingsopties. Om "meekijken" te voorkomen, kunnen de invoervelden van zowel het eerste wachtwoord als van het 1029679 10 , tweede wachtwoord zijn voorzien van zogenaamde "wachtwoordkarakters". Welk karakter er ook wordt ingetypt, op het scherm verschijnt dan altijd hetzelfde karakter (typisch een "*" of een "@"). Om registratie of opslag 5 (afvanging) van het eerste wachtwoord en/of het tweede wachtwoord en/of de gegenereerde (toegangs)code door een bijv. kwaadaardige keylog-programma te voorkomen, kan een algoritme worden ingeschakeld, die geregeld "virtuele" toetsaanslagen produceert. Het keylog-progratnma vangt dan 10 weliswaar de invoer van de wachtwoorden of een gegenereerde (toegangs)code af, maar daarnaast zonder onderscheid ook een wirwar van andere tekens (bijvoorbeeld 20 tekens per seconde), die geen deel uitmaken van de beide wachtwoorden of de gegenereerde code. In een logfile van zulk een keylog-15 programma is het niet meer mogelijk om de handmatig ingetypte karakters te identificeren. Indien de (toegangs)code niet automatisch naar de ontvangende applicatie/website wordt gestuurd, kan het mogelijk zijn, dat de op het scherm getoonde, gegenereerde veilige (toegangs)code bijvorbeeld 20 door een gebruiker naar het klembord wordt gekopieerd. Het programma als uitvoeringsvorm van de uitvinding kan dan een routine omvatten, die na verloop van tijd (bijvoorbeeld na 20 tot 30 seconden) het klembord leegmaakt om te voorkomen, dat bij een (korte) afwezigheid van de gebruiker kwaadwillende 25 derden zich de gegenereerde (toegangs)code kunnen toe-eigenen.
Een werkwijze en/of inrichting volgens de uitvinding zou ook gebruikt kunnen worden in situaties waarbij twee gebruikers samen akkoord moeten zijn om in te loggen in een 30 applicatie en/of web-site. Dit kan worden verwezenlijkt op een wijze, die vergelijkbaar is met hetgeen bij een bankkluis gebruikelijk is. Daarbij zijn twee sleutels nodig om de kluis te openen. Volgens de onderhavige uitvinding zijn dan twee 1029679 ψ ---- -------
I I
11 wachtwoorden nodig, bijv als aankopen worden overwogen op een account op een website, waarbij bijv. een kind en een ouder samen elk een eigen wachtwoord invoeren. Hiermee kunnen de | ouder en het kind gezamenlijk inloggen met elk een eigen 5 wachtwoord, maar ieder voor zich afzonderlijk niet.
De onderhavige uitvinding zal hieronder worden beschreven aan de hand van een in de bijgevoegde tekeningen getoonde uitvoeringsvorm daarvan, waartoe de onderhavige uitvinding echter niet is beperkt en waarin gelijke of dezelfde 10 referentienummers zijn toegepast voor gelijke of soortgelijke componenten en elementen, en waarin:
Fig. 1 een inrichting toont voor het ten uitvoer brengen van de werkwijze, beide volgens de onderhavige uitvinding; en
Fig. 2 een invoerscherm toont, zoals dat aan een 15 gebruiker kan worden getoond op een beeldscherm of willekeurig ander middel voor het bewerkstelligen van de onderhavige uitvinding.
In fig. 1 is een inrichting 12 getoond als mogelijke uitvoeringsvorm van een werkwijze, waarbij zowel de werkwijze 20 als de inrichting 12 uitvoeringsvormen zijn van de onderhavige uitvinding.
De inrichting 12 omvat een generator 1. Deze krijgt via een invoerapparaat 2 een tweetal wachtwoorden aangeleverd, te weten een eerste wachtwoord 4 en een tweede wachtwoord 5.
25 Opgemerkt wordt, dat één van de eerste en tweede wachtwoorden 4, 5 kunnen zijn opgeslagen in een geheugenmodule 7, die deel uitmaakt van de generator 1, of hiermee althans samenhangt. In de generator 1 kan een aantal codeeralgoritmes Al, A2, ... AIO zijn opgeslagen voor het 30 aanroepen daarvan. Dit kan op een met een subroutine of
willekeurig algoritme overeenkomende wijze gebeuren. Daarbij kunnen in de afzonderlijke codeeralgoritmes Al, A2, ... AIO
parameters worden ingevoerd om de wijze van functioneren van 1029679 % 12 die codeeralgoritmes te beïnvloeden, waarbij deze parameters voortvloeien uit het eerste wachtwoord 4. Tevens kan een keuze voor één van de in de generator 1 aanwezige codeeralgoritmes Al, A2, ... AIO worden gemaakt op basis van 5 een enkelvoudige parameter, die kan voortvloeien uit het eerste wachtwoord 4. Diverse permutaties van het voorgaande zijn mogelijk, waar het de keuze van een specifiek codeeralgoritme betreft, of instelling van specifiek in een dergelijk codeeralgoritme te gebruiken parameters.
10 Het via het invoerapparaat 2 ingevoerde tweede wachtwoord 5 wordt onderworpen aan het aldus ingestelde of geselecteerde codeeralgoritme in de generator 1.
De verkregen uitkomst van het onderwerpen van het tweede wachtwoord 5 aan één of meer dan één van de codeeralgoritmes 15 Al, A2, ... AIO op basis van de instelling met behulp van uit het eerste wachtwoord 4 verkregen parameters is de code 6, die vanuit de generator 1 kan worden gestuurd naar een beoogde toepassing, applicatie of web-site 3, waartoe toegang gewenst is. Het versturen van de eerste en tweede 20 wachtwoorden 5 en van de code 6 kan draadloos of via kabels gebeuren. Het hele proces kan zich ook afspelen in een computer of op een netwerk.
De wijze van invoer van de diverse benodigde componenten voor het bewerkstelligen van de onderhavige uitvinding is 25 getoond in fig. 2.
Daar is getoond, dat als het programma wordt aangeroepen, automatisch een cursor 8 in één van de twee invoervelden verschijnt. De twee invoervelden voor code 1 en code 2 betreffen respectievelijk het eerste wachtwoord 4 en het 30 tweede wachtwoord 5. In de weergave van fig. 2 is het eerste wachtwoord 4 al ingevuld en staat de cursor 8 bij de tweede positie van het tweede wachtwoord 5. Als de gebruiker klaar is met de invoer van ook het tweede wachtwoord 5 in het veld, 1029679 4 » 13 dat is aangeduid met "code 2", dan kan de gebruiker drukken op de button "Enter" (10). Als de gebruiker zich voordien heeft bedacht, of zelfs na volledige invoer van beide wachtwoorden 4, 5, kan het gehele proces geaborteerd worden 5 door op de button "Stop" (9) te drukken.
Als de gebruiker echter op de button "Enter" (10) drukt, wordt in het veld "code" (6) de met de generator 1 gegenereerde code weergegeven. Dit kan een leesbare weergave zijn, of een gemaskeerde, die bijvoorbeeld alleen maar "#", 10 "@" of iets soortgelijks weergeeft. In een uitvoeringsvorm met een vrije, open weergave van de gegenereerde code in het veld 6, kan deze met een knip-en-plak bewerking worden gestuurd naar de applicatie of web-site, etc. 3, waartoe toegang gewenst is. Tevens is het mogelijk, dat in een 15 specifieke uitvoeringsvorm van de onderhavige uitvinding de gegenereerde code 6 direct naar de applicatie of web-site 3 wordt gestuurd, waarvoor deze bedoeld is.
Er zijn diverse beveiligingsmogelijkheden om te verzekeren, dat toetsaanslagen niet worden geregistreerd of 20 onherkenbaar worden gemaskeerd in bijvoorbeeld wat bekend staat als een "key-log" programma, dat de toetsaanslagen kan bijhouden. Door dummy-gegevens te genereren voor het key-log programma, kan reconstructie van de ingevoerde eerste en tweede wachtwoorden 4, 5 onherkenbaar worden gemaakt in een 25 bestand, waarin de toetsaanslagen kunnen worden bijgehouden, omdat deze "vervuild" zijn door de dummy-gegevens.
De onderhavige uitvinding is niet beperkt tot hetgeen direct hierboven is beschreven in samenhang met de figuren. Er zijn namelijk diverse andere mogelijkheden binnen het 30 kader van de onderhavige uitvinding volgens de bijgevoegde conclusies, in het bijzonder de hoofdconclusies, en aanvullende of alternatieve mogelijkheden zijn slechts dan geen uitvoeringsvormen van de onderhavige uitvinding, als 1029679 t 1 14 deze afwijken van de letter of de geest van de onderhavige uitvinding volgens de bijgevoegde conclusies, in het bijzonder de onafhankelijke conclusies 1, 12. Zo is het mogelijk, dat er diverse parameters kunnen worden 5 gedestilleerd uit het eerste wachtwoord 4 om een enkel codeeralgoritme in te stellen met één of meer dan één uit het eerste wachtwoord 4 gedestilleerde parameter, en kunnen allerlei iteratieve processen worden ontwikkeld, waarvan de opeenvolging of parameter-instelling worden bepaald door 10 gegevens, die kunnen worden gedestilleerd uit het eerste wachtwoord 4. Tevens is het mogelijk, dat het eerste wachtwoord een string omvat van tenminste één element, en dat aan elk element uit de string een getalwaarde kan worden toegekend, waarbij elk getal tenminste één cijfer omvat. Die 15 cijfers kunnen op een op voorhand bepaalde wijze in een reeks worden geplaatst, bijvoorbeeld een reeks waarvan de volgorde overeenkomt met die van de oorspronkelijke string van elementen, die elk zijn omgezet in een cijferwaarde. Elk getal kan daarbij een aanduiding zijn van een iteratie of 20 parameter. Daarenboven kan de reeks cijfers van de getallen bij elkaar worden opgeteld om een enkele parameter op te leveren, hetgeen ook een indicatie kan zijn van één van een aantal mogelijke codeeralgoritmes, waarbij derhalve de gedestilleerde parameter een aanduiding is voor het te 25 selecteren codeeralgoritme. Vele andere permutaties zijn tevens mogelijk.
Aan de in te geven wachtwoorden kunnen binnen het kader van de onderhavige uitvinding eisen worden gesteld, zoals dat een wachtwoord een minimale lengte dient te hebben. Als 30 daaraan niet is voldaan, kan een als programma vormgegeven uitvoeringsvorm van de onderhavige uitvinding echter de geprogrammeerde maatregel omvatten, dat een ten opzichte van de vereisten te kort wachtwoord ten minste één maal 1029679 } - ---------------- .
« * 15 verdubbeld, bijv. door de string van elementen van het ingevoerde wachtwoord te herhalen. Een alternatieve of aanvullende eis kan zijn, dat het of elk wachtwoord ten minste één letter en ten minste één cijfer omvat.
5 Voor een verdere verbetering van de effectiviteit van de uitvinding kan een verdere maatregel worden overwogen, dat ten minste één van de eerste en tweede wachtwoorden automatisch wordt aangevuld met een supplement. Dit supplement kan een door de uitvinders of een distributeur of 10 een producent aan een bijv. als programma vormgegeven uitvoeringsvorm van de uitvinding toe te kennen serienummer daarvan zijn, in het bijzonder als de gebruiker die op meerdere computers met de uitvinding wil kunnen werken, de uitvinding met zich mee kan dragen (bijvoorbeeld op een 15 informatiedrager als een floppy, USB-stick, etc.). Voor meer stationaire gebruikers, die bijvoorbeeld maar op een enkele terminal werken, kan het supplement allerlei aan de computer of terminal gerelateerde informatie omvatten, zoals het serienummer van een harddisk, een vast nummer in een 20 geheugenchip, etcetera. Vanzelfsprekend kan een dergelijk supplement ook geheel de plaats innemen van ten minste één van het eerste en tweede wachtwoord.
De generator kan volledig in software, firmware of hardware-matig worden verwezenlijkt. De generator kan zijn 25 verbonden met middelen voor het als één van de eerste en tweede wachtwoorden verkrijgen van biometrische eigenschappen van een gebruiker, zoals middelen voor het lezen van een irisscan etc. Een gebruiker hoeft dan alleen een aan de beoogde toegang gerelateerd wachtwoord te onthouden, waarbij 30 uit zijn irisscan of andere biometrische eigenschap, of uit het nog handmatig door de gebruiker in te voeren wachtwoord de parameters of algoritmeselectie kunnen of kan worden gedestilleerd, die nodig is om op basis daarvan de 1029679 Γ - ' ! 16 biometrische eigenschap of het andere wachtwoord te onderwerpen aan de bewerking door de generator.
j 1029679

Claims (20)

1. Werkwijze voor het reproduceerbaar genereren van een code (6) met een op ten minste één instelbaar codeeralgoritme 5 gebaseerde generator (1), omvattende: - het verkrijgen van een eerste wachtwoord (4); - het op basis van het eerste wachtwoord instellen van het codeeralgoritme, de werking en/of functionering van de generator; 10. het verkrijgen van een tweede wachtwoord (5); en - het met de generator na instelling daarvan op basis van het eerste wachtwoord coderen van het tweede wachtwoord en het aldus verkrijgen van de code (6).
2. Werkwijze volgens conclusie 1, waarbij de generator 15 (1) met een geheugen samenhangt, welke werkwijze verder omvat het opslaan van één van het eerste en het tweede wachtwoord in het geheugen.
3. Werkwijze volgens conclusie 1 of 2, verder omvattende het verkrijgen van ten minste één van het eerste en het 20 tweede wachtwoord via een invoerapparaat (2).
4. Werkwijze volgens conclusie 1, 2 of 3, verder omvattende het aan een gebruiker beschikbaar stellen van de code.
5. Werkwijze volgens conclusie 4, verder omvattende het 25 voor een met een computer te bewerkstelligen knip-en-plak bewerking vrijgeven van de code.
6. Werkwijze volgens conclusie ten minste één van de voorgaande conclusies, verder omvattende het verkrijgen van een set instructies of parameters uit eerste wachtwoord, en 30 het daarmee instellen van het codeeralgoritme, de werking en/of functionering van de generator.
7. Werkwijze volgens conclusie 6, waarbij het eerste wachtwoord een string van ten minste één element omvat, en de 1029679 werkwijze verder omvat: het op basis van een op voorhand vastgestelde relatie, bijvoorbeeld in een tabel, toekennen van een getal van ten minste één cijfer aan elk element van de string.
8. Werkwijze volgens conclusies 7, verder omvattende het in een reeks plaatsen van de cijfers van de getallen in een op voorhand bepaalde volgorde, bijvoorbeeld een met de string overeenkomende of daaraan gerelateerde of andere volgorde. j
9. Werkwijze volgens conclusie 8, verder omvattende het 10 uit de reeks destilleren van ten minste één parameter voor instelling van het codeeralgoritme, de werking en/of functionering van de generator, bijvoorbeeld door de cijfers op te tellen.
10. Werkwijze volgens conclusie 8 of 9, verder omvattende 15 het in de volgorde van de reeks iteratief instellen van ten minste één paramater van het codeeralgoritme, de werking en/of functionering van de generator.
11. Werkwijze volgens ten minste één van de voorgaande conclusies, verder omvattende het voor een omgeving, zoals 20 een key-log programma, genereren van dummy-gegevens om de daadwerkelijke gegevens te maskeren.
12. Werkwijze volgens ten minste één van de conclusies 1-11, omvattende het als aanvulling op of als alternatief voor ten minste één van de eerste en tweede wachtwoorden 25 verkrijgen van een supplement-wachtwoord.
13. Werkwij ze volgens conclusie 12, waarbij het supplement is gerelateerd aan ten minste één van de informaties uit de groep, welke omvat: een serienummer van een uitvoeringsvorm van de werkwijze; een serienummer van een 30 component van een computer of terminal; etcetera.
14. Inrichting voor het reproduceerbaar genereren van een code (6), omvattende een op ten minste één instelbaar codeeralgoritme gebaseerde generator (1), omvattende: j 1029579 4 * - middelen voor het verkrijgen van een eerste wachtwoord (4); - middelen voor het op basis van het eerste wachtwoord instellen van het codeeralgoritme, de werking en/of functionering van de generator; 5. middelen voor het verkrijgen van een tweede wachtwoord (5); en - middelen voor het met de generator na instelling daarvan op basis van het eerste wachtwoord coderen van het tweede wachtwoord en het aldus verkrijgen van de code (6). 1
15. Inrichting volgens conclusie 13, waarbij de generator, het invoerapparaat en het uitvoerapparaat in ten | minste één fysiek apparaat zijn geïntegreerd, mogelijk als j software of programmatuur.
16. Inrichting volgens conclusie 14 of 15, verder 15 omvattende een externe bron, welke met de generator is verbonden of te verbinden is, waarbij het eerste of het tweede wachtwoord automatisch vanaf de externe bron in te lezen is in de generator.
17. Inrichting volgens conclusie 16, waarbij de externe 20 bron van het eerste wachtwoord via een draadloze communicatietechniek in verbinding staat met de generator.
18. Inrichting volgens ten minste één van de voorgaande conclusies 14 - 17, verder omvattende middelen voor het in de generator ingeven van een biometrische eigenschap van een 25 betreffende gebruiker.
19. Inrichting volgens ten minste één van de voorgaande conclusies 14 - 18, verder omvattende middelen voor het bij voorkeur automatisch versturen van de gegenereerde veilige code naar een externe bron of bestemming, zoals een 30 beveiligde web-site of applicatie.
20. Inrichting volgens ten minste één van de voorgaande conclusies 14 - 19, verder omvattende middelen om de gegenereerde code door middel van een draadloze - 0 2 § § 71 Γ--- , 4 communicatietechniek naar de ontvangende externe bron of bestemming, zoals een beveiligde web-site of applicatie, te verzenden. i j i | I 1 1029679
NL1029679A 2005-04-08 2005-08-04 Werkwijze en systeem voor het genereren van wachtwoorden. NL1029679C2 (nl)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/NL2006/000185 WO2006107201A1 (en) 2005-04-08 2006-04-10 Method and system for generating passwords

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
NL1028721A NL1028721C2 (nl) 2005-04-08 2005-04-08 Werkwijze voor het genereren van veilige wachtwoorden en elektronische certificaten en een systeem voor het uitvoeren van de werkwijze.
NL1028721 2005-04-08

Publications (1)

Publication Number Publication Date
NL1029679C2 true NL1029679C2 (nl) 2006-10-10

Family

ID=35613702

Family Applications (2)

Application Number Title Priority Date Filing Date
NL1028721A NL1028721C2 (nl) 2005-04-08 2005-04-08 Werkwijze voor het genereren van veilige wachtwoorden en elektronische certificaten en een systeem voor het uitvoeren van de werkwijze.
NL1029679A NL1029679C2 (nl) 2005-04-08 2005-08-04 Werkwijze en systeem voor het genereren van wachtwoorden.

Family Applications Before (1)

Application Number Title Priority Date Filing Date
NL1028721A NL1028721C2 (nl) 2005-04-08 2005-04-08 Werkwijze voor het genereren van veilige wachtwoorden en elektronische certificaten en een systeem voor het uitvoeren van de werkwijze.

Country Status (1)

Country Link
NL (2) NL1028721C2 (nl)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5719941A (en) * 1996-01-12 1998-02-17 Microsoft Corporation Method for changing passwords on a remote computer
US20010000045A1 (en) * 1998-12-09 2001-03-15 Yuan-Pin Yu Web-based, biometric authentication system and method
WO2003088558A1 (en) * 2002-04-05 2003-10-23 Ipass, Inc. Method and system for changing security information in a computer network
WO2004081766A2 (en) * 2003-03-13 2004-09-23 Quard Technology Aps A computer system and an apparatus for use in a computer system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5719941A (en) * 1996-01-12 1998-02-17 Microsoft Corporation Method for changing passwords on a remote computer
US20010000045A1 (en) * 1998-12-09 2001-03-15 Yuan-Pin Yu Web-based, biometric authentication system and method
WO2003088558A1 (en) * 2002-04-05 2003-10-23 Ipass, Inc. Method and system for changing security information in a computer network
WO2004081766A2 (en) * 2003-03-13 2004-09-23 Quard Technology Aps A computer system and an apparatus for use in a computer system

Also Published As

Publication number Publication date
NL1028721C2 (nl) 2006-10-10

Similar Documents

Publication Publication Date Title
CN112534434B (zh) 数据管理系统及数据管理方法
RU2639674C2 (ru) Способ и система аутентификации
US20210294887A1 (en) Authentication Methods and Systems
US8473355B2 (en) System and method for electronic wallet conversion
US8407762B2 (en) System for three level authentication of a user
CN110741369A (zh) 使用电子身份进行安全生物统计认证
KR20020059764A (ko) 소프트웨어 또는 서비스에 대한 데이타 애플리케이션을인증하기 위한 컴퓨터 장치
US10523654B1 (en) System and method to integrate secure and privacy-preserving biometrics with identification, authentication, and online credential systems
NL1029679C2 (nl) Werkwijze en systeem voor het genereren van wachtwoorden.
AU2011100338A4 (en) Method and /or device for managing authentication data
EP1877887B1 (en) A system and method for protecting the privacy and security of stored biometric data
CN108701183A (zh) 利用垃圾数据是否一致的用户认证方法及认证系统
CN112307449A (zh) 权限分级管理方法、装置、电子设备和可读存储介质
WO2016051353A1 (en) System and ergonomically advantageous method for performing online secure transactions on trusted personal device
WO2006107201A1 (en) Method and system for generating passwords
JP7002616B1 (ja) 認証装置、認証方法、およびプログラム
JP6670976B1 (ja) データ管理システムおよびデータ管理方法
WO2026015661A1 (en) Systems for secure transaction authentication and methods of use thereof
Wagner Online sales pose security concerns
Anthes Industry to Clinton: drop encryption policy
Vaithyasubramanian et al. Research Article Access to Network Login by Three-Factor Authentication for Effective Information Security
HK1235882A1 (en) Computer security system and method to protect against keystroke logging
KR20100005962A (ko) 실제 무선단말 사용자에 대한 맞춤형 광고 제공 방법 및시스템과 이를 위한 기록매체

Legal Events

Date Code Title Description
PD2B A search report has been drawn up
VD1 Lapsed due to non-payment of the annual fee

Effective date: 20090301