Het wachtwoord zoals we het kennen sterft een langzame maar welkome dood. De vertrouwde authenticatiemethode wordt langzaam maar zeker vervangen met nieuwere, veiligere en makkelijkere manieren om in te loggen.
De afgelopen twee jaar werd de kwetsbaarheid van de wachtwoorden die we gebruiken pijnlijk duidelijk. Miljoenen gebruikersgegevens werden gestolen via gaten in de beveiliging, maar de recent gestolen naaktfoto’s van sterren maken ook pijnlijk duidelijk hoe makkelijk het is om met misleidende e-mails of slim gokwerk in te breken in de account van iemand anders.
Volgend jaar leven we in een nieuwe wereld, denkt Michael Barrett. Barrett is de directeur van de FIDO Alliance, een samenwerkingsverband dat zich bezighoudt met de ontwikkeling van een authenticatiestandaard die onder meer biometrische identificatiemiddelen ondersteunt.
In normalemensentaal: FIDO wil het traditionele wachtwoord vervangen met nieuwere, gestandaardiseerde methodes die bijvoorbeeld gebruikmaken van een vingerafdrukscanner, stemherkenning of tweestapsverificatie via een eenmalige code op je telefoon. Er bestaat momenteel nog geen universele authenticatiemethode.
Onder meer BlackBerry, Google, Lenovo, MasterCard, Microsoft, PayPal en Visa zijn aangesloten bij FIDO. Eind dit jaar moet de eerste publieke versie beschikbaar worden. De vingerafdrukscanner van de Samsung Galaxy S5 is al ‘Fido ready’.
Apple, dat deze week met betalingsdienst Apple Pay ook flinke stappen nam in de richting van nieuwe vormen van authenticatie, is niet aangesloten bij FIDO, maar Apple is vaker afwachtend bij het toepassen van dit soort standaarden. Bovendien opende Apple dit jaar zijn vingeradrukscanners ook voor derden, waarmee de deuren dus in theorie zijn geopend voor bijvoorbeeld een FIDO-app.
Het gebruik van een geheim woord om toegang te krijgen tot iets is zo oud als de mensheid, maar in digitale vorm werd het wachtwoord vermoedelijk voor het eerst gebruikt in 1961, door het Amerikaanse technologie-instituut MIT. Door iedere gebruiker van de computerterminal een eigen wachtwoord te geven, konden de individuele gebruikers hun eigen data afschermen van de andere gebruikers.
Het traditionele wachtwoord werkte volgens Barrett prima in de jaren zestig, maar dat is ook direct de context waarin we het wachtwoord moeten zien. “De afgelopen tien jaar is het internetgebruik ontzettend toegenomen, maar het authenticatiemechanisme is niet meegegroeid.”
“Waar de meeste computergebruikers een jaar of tien geleden nog zo’n vier of vijf wachtwoorden hadden, ligt dat nu rond de vijfendertig”, zegt Barrett.
Dat blijkt ook uit eerder onderzoek. Microsoft-wetenschappers raadden eerder dit jaar om vooral zwakke wachtwoorden te gebruiken. Op die manier zou er meer ‘ruimte’ in het brein overblijven voor unieke, moeilijke wachtwoorden voor de sites die er echt toe doen.
Uit een analyse van hacks bleek eerder al dat ‘123456′, ‘123456789′ en ‘password’ de meest voorkomende wachtwoorden zijn. Passwordmanagers zoals Lastpass en 1Password bieden een uitkomst, maar verplaatsen het probleem; wanneer een hacker het wachtwoord van de passwordmanager weet, heeft hij of zij ook direct toegang tot alle andere wachtwoorden.
Barrett was tussen 2006 en 2013 als ‘Chief information security officer’ bij Paypal verantwoordelijk voor de 130 miljoen actieve accounts dat het bedrijf wereldwijd heeft, en heeft dus de nodige ervaring op het gebied van het beveiligen van gevoelige gegevens.
“We hebben bij Paypal wel geïnnoveerd met bijvoorbeeld tweestapsverificatie, waarbij gebruikers een unieke code genereren op een dongel. Toen we dat ontwikkelden wisten we dat we beter dan dat konden. De vraag blijft altijd: ‘Gaan onze klanten dit echt gebruiken?’”
Volgens Barrett wordt er te vaak gedacht dat beveiliging en gebruikersgemak evenredig tot elkaar in verband staan: hoe veiliger de website, des te ingewikkelder het is om te gebruiken (en omgekeerd). FIDO Alliance gelooft daar niet in en wil af van het ingewikkelde wachtwoord, maar tegelijkertijd de veiligheid verbeteren.
FIDO’s standaard werkt als volgt: je gebruikt je tablet, telefoon of computer om jezelf te identificeren door middel van een pincode, stemherkenning of vingerafdruk. Die persoonlijke code of biometrische gegevens staan opgeslagen op het apparaat zelf; niet op een server. Je vingerafdruk verlaat dus nooit je telefoon.
Nadat de gebruiker door het apparaat is geïdentificeerd, stuurt het apparaat op zijn beurt een unieke eenmalige code naar de desbetreffende server. De gegevens die daar staan opgeslagen zijn bovendien versleuteld, en kunnen alleen ontgrendeld worden met een digitale sleutel waarover alleen de gebruiker zelf beschikt (wat dat betreft lijkt de FIDO-standaard een beetje op encryptiemethode PGP).
Het is bovendien mogelijk om verschillende authorisatiemethoden te gebruiken, afhankelijk van de situatie. Ben je onderweg en heb je haast, gebruik je je vingerafdruk. Zit je achter je laptop en heb je geen vingerafdrukscanner bij de hand, is het mogelijk om een dongel te gebruiken waar alleen even op een knopje hoeft te worden gedrukt.
“Het enige nadeel in de komende versie is dat je elk apparaat opnieuw moet autoriseren”, legt Barrett uit. Als je je tablet hebt ingesteld om met een vingerafdruk te kunnen inloggen op, bijvoorbeeld, Facebook, is je telefoon nog niet direct ‘ready to go’; elk apparaat moet afhankelijk worden ingesteld. Aan dat probleem wordt gewerkt en moet in een volgende versie van de FIDO-standaard zijn verholpen.
Met grote bedrijven als Google en Paypal die zijn aangesloten bij de alliantie, is Barrett er van overtuigd dat 2015 het jaar wordt waarin alles anders wordt.
“Samsung alleen al verkoopt tientallen miljoenen apparaten per jaar, en Samsungs apparaten zijn al volledig gereed voor onze standaard”, stelt Barrett. “Twee- of driehonderdmiljoen FIDO-geschikte apparaten aan het eind van 2015 is een reëel aantal.”
(nu.nl)