Juist vanwege dit zwakke punt, hebben jonge onderzoekers van de Universiteit van Winsconsin een wachtwoordmanager ontwikkeld die bij een verkeerd opgegeven wachtwoord een kluis vol nepwachtwoorden laat zien. Omdat dit constant gebeurt, raken hackers in de war.

Compleet de weg kwijt

"Als hacker heb je geen idee meer wanneer je de juiste kluis te pakken hebt", zegt masterstudent Rahul Chatterjee van de universiteit. "Als aanvaller heb je dan geen andere optie dan deze nepwachtwoorden gewoon op sites te proberen."

Het Amerikaanse project heet NoCrack en wordt op 19 mei gepresenteerd op een IEEE-symposium in het Californische San Jose. Met het systeem Kamouflage werd eerder hetzelfde beoogd, maar volgens Chatterjee kent deze software een zwak punt in het aanmaken van fake masterwachtwoorden. Deze zijn namelijk gebaseerd op het origineel terwijl NoCrack natural language encoding (NLE) algoritmes gebruikt.

CAPTCHA, maar dan net even anders

Het probleem van de software is nu nog hoe om te gaan met het per ongeluk verkeerd typen van het hoofdwachtwoord door de gebruiker. Een mogelijke fix is het aanmaken van een hash van het hoofdwachtwoord en die koppelen aan een specifieke afbeelding die wordt getoond bij invoer van het juiste wachtwoord. Bij andere wachtwoorden komt er een ander plaatje. Niet bekend is of NoCrack binnenkort al ergens te downloaden is.