Het World Wide Web Consortium en de Fido Alliance kondigen WebAuthn aan: wat betekent dat?

WebAuthn - an Official Web Standard

Gewoonlijk krijgt u niet zoveel opties te zien wanneer u een nieuw online account maakt. Je moet natuurlijk een wachtwoord maken en voor de meeste mensen betekent dit een van de twee routes afleggen - een eenvoudig, gemakkelijk te onthouden en/of hergebruikt wachtwoord dat hun accounts in gevaar brengt; of een lang, moeilijk te raden wachtwoord, dat is lastig om te typen en lastig om te onthouden. Het spreekt voor zich dat beide opties niet bepaald ideaal zijn. Dus, is er iets dat mogelijk de manier waarop dingen op dit moment zijn kan veranderen? Nou, dat is er, en het zou eigenlijk ergens heen kunnen gaan.

WebAuthn - het alternatief zonder wachtwoord

WebAuthn, een afkorting van Web Authentication, is een niet-eigendomsstandaard die de communicatie tussen websites en een beveiligingsapparaat vergemakkelijkt. Twee online consortia, het World Wide Web Consortium (WC3) en FIDO Alliance, hebben er de afgelopen jaren aan gewerkt, maar het concept kan zijn oorsprong vinden in FIDO Alliance's Universal Authentication Factor (UAF) API vanaf 2014.

Het doel van zowel WebAuthn als UAF is om een nieuwe, veilige manier te bieden om in te loggen op online accounts zonder dat u wachtwoorden hoeft te onthouden of in te voeren. Om verschillende gecompliceerde redenen kon UAF geen indruk maken op ons dagelijks leven, maar het lijkt erop dat WebAuthn misschien net anders is.

Op maandag hebben de WC3 en FIDO aangekondigd dat WebAuthn nu een officiële webstandaard is. In eenvoudige bewoordingen betekent dit dat de experts voldoende zelfverzekerd zijn om web- en app-ontwikkelaars te adviseren om het in hun producten te implementeren. Om te begrijpen hoe dit alles ons allemaal zal beïnvloeden, moeten we eens kijken hoe WebAuthn werkt.

Hoe werkt WebAuthn?

Vanuit het perspectief van een gebruiker zijn de dingen vrij eenvoudig. Het idee is dat u in plaats van een gebruikersnaam en wachtwoord in te voeren, ofwel de biometrische authenticatiemechanismen op uw computer of smartphone gebruikt, of dat u een hardwaretoken gebruikt die aan een sleutelhanger kan worden gedragen en werkt met USB, NFC, Bluetooth of een vergelijkbaar communicatieprotocol. Er zijn helemaal geen inloggegevens, wat een aantrekkelijk concept klinkt. Maar hoe zit het met het veiligheidsaspect?

Hoewel het proces op het eerste gezicht eenvoudig is, is achter de schermen een WebAuthn-login een vrij complexe operatie. Het is allemaal gebaseerd op openbare sleutel (ook bekend als asymmetrische) cryptografie, wat betekent dat er twee sleutels bij betrokken zijn - een openbare en een private. Elk van uw accounts krijgt een paar cryptografische sleutels die uw computer- of hardwaretoken genereert bij registratie. De openbare sleutel wordt naar de serviceprovider verzonden en de privésleutel wordt op uw apparaat opgeslagen. Wanneer u probeert in te loggen, verzendt de serviceprovider een uitdaging die uw apparaat ondertekent en codeert met uw persoonlijke sleutel. De enige manier om de uitdaging te ontcijferen en de handtekening te zien, is met uw openbare sleutel. Zo weet de serviceprovider dat u bent wie u zegt te zijn.

Er zijn meer dan een paar beveiligingsvoordelen aan dit schema. Allereerst vereist het aanmelden twee sleutels die op twee verschillende locaties zijn opgeslagen. Zelfs als de boeven er op de een of andere manier in slagen om uw openbare sleutel te stelen of te onderscheppen, kunnen ze zich niet aanmelden zonder de privésleutel die, zoals u zich wellicht herinnert, uw apparaat nooit verlaat.

Wat meer is, in tegenstelling tot wachtwoorden, kunnen cryptografische sleutels niet worden geraden gevuld, hergebruikt of phished. Met andere woorden, de meeste aanvallen die traditioneel op wachtwoorden werken, zijn niet effectief tegen een WebAuthn-schema.

De nieuwe webstandaard is opmerkelijk omdat het een van de weinige voorbeelden is van een technologische innovatie die niet alleen de bruikbaarheid verbetert, maar ook resulteert in een betere beveiliging.

Het wachtwoord is dus dood, toch?

Hoewel het zeker iets is om naar uit te kijken, denken we dat de ondergang van het wachtwoord nog ver weg is. Niemand twijfelt eraan dat de technologie achter WebAuthn goed is, maar er zijn nog enkele obstakels die moeten worden overwonnen.

Ten eerste is WebAuthn een webstandaard, en hoe gek het ook klinkt, het woord "standaard" in klassieke zin is een beetje een taboe in de online wereld. Neem bijvoorbeeld wachtwoorden. We gebruiken ze al geruime tijd als ons primaire inlogmechanisme, maar zelfs nu, decennia nadat ze voor het eerst verschenen, zijn we het nog steeds niet eens over wat wel en wat geen sterk wachtwoord is. Op vrijwel dezelfde manier, ondanks de overduidelijke voordelen, lijken leveranciers niet op dezelfde pagina te zijn als het gaat om hoe snel WebAuthn moet worden geïmplementeerd.

Google's Chrome was de eerste browser die WebAuthn ondersteunde, maar pas een paar maanden later implementeerde Firefox, een andere grote naam in de branche, het. Microsoft nam de zoete tijd om WebAuthn in Edge op te nemen en Apple experimenteert nog steeds met de ondersteuning voor Safari. De situatie is niet veel anders in het mobiele landschap. Vorige week kondigde FIDO aan dat alle telefoons en tablets met Android 7.0 of hoger binnenkort FIDO-gecertificeerd zullen zijn. WebAuthn vormt de kern van het FIDO2-protocol, wat betekent dat deze apparaten effectief inloggen zonder wachtwoord ondersteunen. Helaas zien we nog geen informatie over wanneer de standaard zal worden opgenomen in Apple's iOS. En zelfs als alle leveranciers WebAuthn omarmen voor hun nieuwere apparaten, kun je de bergen van oudere systemen die achterblijven niet negeren.

Natuurlijk, nadat hardwareleveranciers het hebben overgenomen, moeten website- en applicatieontwikkelaars het allemaal implementeren als een login-mechanisme. Met andere woorden, WebAuthn zal het wachtwoord waarschijnlijk niet snel vervangen. En totdat dit het geval is, moet u ervoor zorgen dat uw accounts zo goed mogelijk worden beschermd.

Het gebruik van een wachtwoordbeheertoepassing zoals Cyclonis Password Manager is de beste manier om dit te doen. Hiermee kun je lange, complexe wachtwoorden maken zonder je zorgen te maken dat je ze moet onthouden. Tegenwoordig is het geen goed idee om op je hersenen te vertrouwen om dit te doen, en het beste aan Cyclonis Password Manager om al het werk voor je te laten doen, is dat de functies voor automatisch aanvullen en autologin van de browserextensie extra gemak bieden.

February 14, 2020
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.