Elk jaar delen computerbeveiligingsbedrijven hun bevindingen over wachtwoorden en datalekken. Opnieuw en opnieuw, ze waarschuwen computergebruikers om complexe wachtwoorden te gebruiken en niet dezelfde wachtwoorden voor verschillende accounts te gebruiken. En, nog, datalekken en andere bronnen tonen aan dat te veel mensen dezelfde eenvoudige wachtwoorden herhaaldelijk gebruiken en dat sommige van die wachtwoorden belachelijk eenvoudig zijn, het woord "wachtwoord" of het nummer "123456" is eigenlijk helemaal geen wachtwoord, zelfs niet voor de minst geavanceerde hack- en kraaksoftware die tegenwoordig beschikbaar is voor kwaadwillende derden.

Inertie is een belangrijk probleem:het is moeilijk om gebruikers, op hun manier zetten, om hun oude te veranderen, gemakkelijk te onthouden wachtwoorden tot complexe, moeilijk te onthouden codes. Het is nog moeilijker om dergelijke gebruikers wachtwoordmanagers of multifactorauthenticatie te laten gebruiken, wat een extra beveiligingslaag zou toevoegen aan hun aanmeldingen.

Nutsvoorzieningen, schrijven in het International Journal of Information and Computer Security, Jaryn Shen en Qingkai Zeng van het State Key Laboratory voor nieuwe softwaretechnologie, en Afdeling Computerwetenschappen en Technologie, aan de Nanjing-universiteit, China, hebben een nieuw paradigma voor wachtwoordbeveiliging voorgesteld. Hun aanpak richt zich op online en offline aanvallen op wachtwoorden zonder dat de gebruiker meer moeite hoeft te doen om zijn wachtwoorden te kiezen en te onthouden.

"Wachtwoorden zijn de eerste beveiligingsbarrière voor online webservices. Zolang aanvallers wachtwoorden van gebruikers stelen en kraken, ze verkrijgen en beheren de persoonlijke informatie van gebruikers. Het is niet alleen een inbreuk op de privacy. Het kan ook leiden tot ernstigere gevolgen, zoals gegevensbeschadiging, economisch verlies en criminele activiteiten, ’, schrijft het team.

Hun aanpak houdt in dat ze een inlogsysteem hebben op basis van twee servers in plaats van één. De gebruiker heeft een korte, gedenkwaardig wachtwoord om toegang te krijgen tot hun langere, door de computer gegenereerde "gehashte" wachtwoorden op een andere server, de sleutel tot "de-hashing" die langere wachtwoorden worden opgeslagen op de tweede server, maar het daadwerkelijke wachtwoord wordt ook op het apparaat van de gebruiker opgeslagen en dus fungeert het gedenkwaardige wachtwoord als een token voor tweefactorauthenticatie. De aanpak betekent dat aanvallers met zelfs de meest geavanceerde hacktools een offline woordenboek en brute-force-aanvallen niet effectief kunnen toepassen.