Waarom de dagen van het wachtwoord geteld zijn

Thorsten Stremlau

26/02/2018

Thorsten Stremlau, Directeur van de Global Large Enterprise, afdeling product en strategieën bij Lenovo, legt uit waarom we binnenkort geen wachtwoorden meer hoeven te onthouden.

Wachtwoorden hebben een probleem. Veel mensen gebruiken nog steeds dezelfde wachtwoorden voor verschillende apparaten en platforms. Dus als een hacker inbreekt op één account, heeft die toegang tot alle accounts. En hackers zijn actiever dan ooit, getuige de recente hacks bij LinkedIn en Twitter. Andere technologieën, zoals biometrie en smartcards zijn veiliger, maar die hebben ook hun zwakke punten. Nu al onze informatie digitaal wordt opgeslagen, is beveiliging belangrijker dan ooit. Dus hoe stappen we over naar een veiliger model?

Een betere manier van authenticatie

Het antwoord is de FIDO Alliance. Dit is een groep die bestaat uit enkele van de grootste bedrijven in de technologie: Lenovo (medeoprichter), Google, ARM, Bank of America, Intel, Microsoft, PayPal, Qualcomm en Samsung, en het lijstje gaat maar door. Deze groep is opgericht om te zoeken naar betere beveiligingsmethoden voor alle platforms en apparaten. En die zorgt ervoor dat de dagen van het wachtwoord geteld zijn.

Het begon allemaal toen Lenovo een fabrikant van vingerafdruksensoren, Validity, overnam. De directeur van Validity had een aantal grote bedrijven benaderd, waaronder PayPal, om hun technologie te gebruiken om betalingen te verifiëren. Het idee was dat het niet uit zou moeten maken welk apparaat gebruikt werd, zolang het maar beschikte over een Validity-sensor. Dan kon PayPal de betaling verifiëren. PayPal vond het geweldig. Maar er was een probleem.

Als PayPal dit voor Validity deed, moest het bedrijf dit doen voor alle fabrikanten van vingerafdruksensoren. En in die tijd waren dat er zo’n 150 tot 200. PayPal zou dan al haar tijd moeten besteden aan de integratie en het testen van de beveiliging. Dat was duidelijk niet haalbaar.

In plaats daarvan besloten Lenovo, PayPal en Validity een samenwerkingsverband op te richten om de online authenticatie volledig te veranderen. Dit werd de FIDO Alliance, wat staat voor Fast IDentity Online.

Wat hadden we eerst?

Voor FIDO was authenticatie een rommeltje. Je had een client of een stukje software nodig op je apparaat. Je gebruikte dan een verificatiemethode – een wachtwoord, RSA-token, smartcard of vingerafdruk – om in te loggen op deze clientsoftware. De clientsoftware zou dan een signaal terugsturen naar de server, dat bijvoorbeeld zou zeggen: ‘Oké, dit was een succesvolle authenticatie van Thorsten’. Het klinkt eenvoudig, maar er waren nog veel problemen.

Voor elke authenticatie moest er een softwareoplossing geïmplementeerd worden voor die specifieke hardware. Deze was specifiek voor die authenticatie en kon niet worden overgezet op iets anders. Als je een vingerafdrukoplossing had, had je zowel een vingerafdrukoplossing op je server als een vingerafdrukclient nodig. En hetzelfde gold voor smartcards en RSA-tokens. Deze konden niet op verschillende platforms worden gebruikt, dus van apparaat wisselen was erg moeilijk.

En ze konden ook heel moeilijk worden hergebruikt. Als ik mijn smartcardoplossing binnen mijn bedrijf gebruikte, kon ik die niet ook gebruiken voor mijn bank, mijn online betalingen bij Amazon of met PayPal. Die was gekoppeld aan mijn zakelijke omgeving en dat was het dan.

Waarom FIDO beter is

De FIDO Alliance maakt een FIDO-client aan op de machine. Er is er één voor Android, Windows en de Chrome-browser. In plaats van authentificatie via een stukje software dat geïnstalleerd moet worden op de machine, hebben Windows 10, Android en Chrome dit al in hun systeemdata ingebouwd. De FIDO-code kan werken met elk apparaat dat FIDO-gecertificeerd is. Er zijn nu meer dan 100 FIDO-gecertificeerde oplossingen verkrijgbaar, waaronder smartcards, vingerafdruklezers, RSA-tokens en irisherkenningssoftware. Dit biedt dus mogelijkheden voor allerlei gebruiksscenario’s.

Het is veel veiliger en makkelijker in gebruik. Stel dat ik inlog op een FIDO-client die lokaal op mijn machine staat. De FIDO-client stuurt dan gewoon een bericht naar de webpagina, met de informatie dat de authenticatie geslaagd is. Er hoeft dus geen wachtwoord of wachtwoord-hash overgebracht te worden via de server. Op de authenticatieserver van elke webpagina wordt niets opgeslagen dat hergebruikt kan worden op andere websites. Om in te loggen op Amazon of Google heb je alleen de FIDO-authenticator nodig voor authentificatie bij de website. Daarna kun je elk apparaat gebruiken dat je hebt aangemeld bij die website. Hierdoor zijn helemaal geen wachtwoorden meer nodig.

De FIDO Alliance promoot twee soorten authenticatietechnologieën. Universal Authentication Factors (UAF) maakt gebruik van biometrie, fysieke tokens en wachtwoorden. De andere is Universal Second Factor Authentication (U2F). Elke verificatiemethode heeft zijn eigen zwakke punten. Wachtwoorden kunnen worden geraden, smartcards gestolen en biometrie kan onder bepaalde omstandigheden nagemaakt worden. Maar als je ze combineert, zoals het geval is bij U2F, krijg je een hoger beveiligingsniveau.

Onze online veiligheid is essentieel, zowel in onze persoonlijke als in onze zakelijke levens. De FIDO Alliance is de beste manier om ervoor te zorgen dat onze gegevens ook echt van ons blijven. Ik zou zeker niet rouwig zijn om het verdwijnen van het wachtwoord.

Lees in onze online eBook-reeks over de uitdagingen en kansen voor organisaties van de 21e eeuw hoe jouw bedrijf zijn concurrentiepositie kan behouden.

DIT VINDT U MISSCHIEN OOK INTERESSANT

Het kantoor in 2020

Wat organisaties van de 21e eeuw moeten weten.