Het wachtwoord zoals we dit nu kennen is langzaam aan het verdwijnen. De verificatiemethode zoals we gewend zijn wordt langzamerhand overgenomen door een modernere, betrouwbare en toegankelijke wijze om in te loggen.
De laatste twee jaar werd de zwakheid van de wachtwoorden die we hanteren zichtbaar. Miljoenen gegevens van gebruikers werden ontvreemd via een lek in de beveiliging, maar de onlangs ontvreemde naaktfoto’s van celebraties maken ook zichtbaar hoe eenvoudig het is om met listige e-mails of intelligent gokwerk binnen te dringen in de account van een derde.
Komend jaar bevinden we ons in een nieuwe wereld, denkt Michael Barrett. Barrett is de CEO van de FIDO Alliance, een alliantie die zich richt op de ontwikkeling van een verificatiestandaard die onder andere biometrische identificatiemiddelen hanteert.
Met andere woorden: FIDO wil het wachtwoord zoals we dat nu kennen met modernere, gestandaardiseerde methodes die zoal gebruikmaken van een vingerafdruklezer, stemherkenning of tweestapsidentificatie via een enkele code op je telefoon. Op dit moment bestaat er nog geen algehele autenticatiemethode. Onder andere BlackBerry, Google, Lenovo, MasterCard, Microsoft, PayPal en Visa maken gebruik van FIDO. Aan het einde van dit jaar moet de eerste openbare versie beschikbaar worden. De vingerafdruklezer van de Samsung Galaxy S5 is al ‘Fido klaar’.
Apple, die deze week de betalingsdienst Apple Pay introduceerde gaat ook de kant op van nieuwe vormen van verificatie en is niet aangesloten bij FIDO. Apple is soms wat terughoudender bij het gebruiken van deze standaarden. Hiernaast nam Apple dit jaar zijn vingerafdruklezers ook voor derden in gebruik, waarmee een FIDO-app een stukje dichterbij is gekomen.
De zestiger jaren
Het hanteren van een toegangscode om ergens in te kunnen is al zo oud als de weg naar Rome, maar in digitale vorm werd de toegangscode waarschijnlijk voor de eerste keer toegepast in 1961, door het Amerikaanse technologie-instituut MIT. Door iedere bezoeker van de computerterminal een unieke toegangscode te verstrekken, konden de individuele bezoekers hun eigen gegevens afdekken voor de andere bezoekers.
De traditionele toegangscode werkte volgens Barrett uitstekend in de zestiger jaren, maar dat is ook meteen de context waarin we de toegangscode moeten zien. “Het laatste decennium is het gebruik van het internet enorm gestegen, maar het verificatiemechanisme is achter gebleven.”
“Waar het overgrote deel van de computergebruikers tien jaar geleden nog zo’n vier of vijf toegangscodes hadden, is dat momenteel ongeveer vijfendertig”, vertelt Barrett.
Zo kwam dit al eerder naar voren. Microsoft-deskundigen adviseerden begin dit jaar om vooral zwakke toegangscodes te gebruiken. Op deze wijze zou er meer ‘ruimte’ in het brein overblijven voor unieke, moeilijke toegangscodes voor de websites die werkelijk belangrijk zijn.
Uit een onderzoek van Hacks bleek eerder al dat ’123456′, ’123456789′ en ‘password’ de meest gebruikte toegangscodes zijn. Toegangscode-managers zoals Lastpass en 1Password bieden een oplossing, maar verleggen ook het probleem; wanneer een hacker de toegangscode van de toegangscode-manager weet, heeft hij of zij ook direct toegang tot alle overige toegangscodes.
Gebruiksvriendelijkheid
Barrett had tussen 2006 en 2013 als ‘Chief information security officer’ bij PayPal de verantwoording voor de 130 miljoen actieve accounts dat de onderneming wereldwijd heeft en heeft dus de nodige know how als het gaat om het beveiligen van gevoelige data.
“We hebben bij PayPal wel geïnnoveerd met bijvoorbeeld tweestapsverificatie, waarbij gebruikers een unieke code genereren op een dongel. Toen we dat ontwikkelden wisten we dat we beter dan dat konden. De vraag blijft altijd: ‘Gaan onze klanten dit echt gebruiken?” Barrett denkt dat beveiliging en gebruikersgemak in verhouding tot elkaar in verband staan: hoe veiliger de site, des te moeilijker het is om te hanteren (en vice versa). FIDO Alliance is hiervan niet overtuigt en wil af van de moeilijke toegangscode, maar ook de veiligheid laten toenemen.
Vingerafdruk
FIDO’s standaard werkt op de volgende manier: je gebruikt je tablet, telefoon of PC om jezelf te kenbaar te maken met het gebruik van een pincode, stemherkenning of vingerafdruk. Die unieke code of biometrische data staan opgeslagen op het device zelf; niet op een server. Je vingerafdruk verlaat dus nooit je device.
Als de gebruiker door het device is herkend, zendt het device op zijn beurt een unieke eenmalige code naar de dienstdoende server. De data die daar worden bewaard zijn ook nog versleuteld en kunnen alleen geopend worden met een digitale key die alleen de gebruiker zelf in bezit heeft (wat dat betreft lijkt de FIDO-standaard een beetje op de versleutelmethode PGP).
Het is ook mogelijk om diverse authorisatiemethoden toe te passen naar gelang de situatie. Ben je op pad en heb je geen tijd, gebruik je je vingerafdruk. Zit je met je laptop op schoot en heb je geen vingerafdruklezer in de buurt, is er de mogelijkheid om een dongel te gebruiken waarbij je alleen even op een knopje hoeft te drukken.
“Het enige nadeel in de komende versie is dat je elk apparaat opnieuw moet autoriseren” vertelt Barrett. Als je je tablet hebt ingesteld om met een vingerafdruk te kunnen inloggen op bijvoorbeeld Facebook, is je telefoon nog niet direct ‘meteen klaar om te gaan’; elk device moet afzonderlijk worden ingesteld. Aan dat ongemak wordt gewerkt en moet in een volgende versie van de FIDO-standaard zijn opgelost.
Honderden miljoenen
Bij grote ondernemingen als Google en PayPal die gebruik maken van de alliantie, is Barrett er zeker van dat 2015 het jaar wordt waarin alles zal veranderen.
“Samsung alleen al verkoopt tientallen miljoenen apparaten per jaar, en Samsung apparaten zijn al volledig gereed voor onze standaard” verkondigt Barrett. “Twee- of driehonderdmiljoen FIDO-geschikte apparaten aan het eind van 2015 is een reëel aantal.”
Heeft het wachtwoord zijn langste tijd gehad?
Geen opmerkingen:
Een reactie posten