Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 103, views: 40.729 •

Google vindt dat wachtwoorden niet langer voldoende zijn om gebruikers veilig te houden en experimenteert met alternatieve authenticatiemethoden. Een van de voorstellen van het bedrijf is om kleine persoonlijke usb-keys te gebruiken.

"Net als veel mensen in de ict-sector vinden we dat wachtwoorden en simpele tokens als cookies niet langer voldoende zijn om gebruikers veilig te houden", zeggen beveiligingstopman Eric Grosse en ontwikkelaar Mayank Upadhyay in een onderzoeksdocument dat later deze maand in het blad IEEE Security & Privacy Magazine zal verschijnen. In het document, waarover Wired bericht, onthullen de twee alternatieven waar Google aan werkt.

Een van die authenticatiemethodes betreft de YubiKey: een kleine usb-key die een one time password kan sturen naar applicaties die de methode ondersteunen. Google heeft zijn Chrome-browser bij experimenten aangepast om de YubiKey te ondersteunen. Naast dit soort keys denkt Google aan smartphones als authenticatie-hardware om in te loggen in je online account.

De Google-medewerkers stellen dat in de toekomst dit soort hardware noodzakelijk is: "We zouden graag zien dat je smartphone of sleutelhanger met geïntegreerde smartcard gebruikt wordt om een nieuwe computer te authorizeren door middel van een enkele aanraking, zelfs als je smartphone geen bereik heeft."

Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen. Nadeel is dat websites de methode moeten ondersteunen. Hiervoor heeft Google een, naar eigen zeggen, onafhankelijk protocol ontwikkeld. Hiervoor zou geen speciale software nodig zijn en het zou voorkomen dat websites gebruikers online volgen. Een ander, niet onbelangrijk, nadeel is dat de gebruiker zeer kwetsbaar is als hij zijn hardware-authenticatie verliest.

Reacties (103)

1 2 3 ... 6
Volgens mij gebeurd dit bij mij op de hogeschool al bij de docenten. Lijkt me wel een veilige oplossing. Eerst eigen wachtwoord en daarna de code van de USB.
En wat als je het ding verliest?

edit:
Dan zou je hem onklaar moeten kunnen maken. Maar dat vereist weer servers die dat bijhouden.
Maar indien je het niet onmiddelijk door hebt dat jouw key weg is, kan een gerichte diefstal toch al wat schade aanrichten. En hoe rapporteer je jouw key dan als gestolen? Via een speciale website? Maar hoe log je daar dan op in? Via een wachtwoord? :P
Zelfs indien niet gestolen zijn er zwaktes, het huidige Google Authenticator is ook niet voldoende indien een hacker een bezoeker kan omleiden naar een website die er uit ziet als Google Mail.
Het neemt niet weg dat het inderdaad veiliger is dan enkel een wachtwoord.

[Reactie gewijzigd door D-Three op 19 januari 2013 10:06]

Uhm lees het artikel ofzo?
Staat toch duidelijk Yubikey in.
Dan zou je hem onklaar moeten kunnen maken. Maar dat vereist weer servers die dat bijhouden.
Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode,
Als het hardware matig is zoals mac adres op je wifi. Dan valt dit toch te spoofen?
lastpass icm. de Yubikey zie ik wel zitten. Ze ondersteunen dit ook. Als je de pc aanzet en naar de browser gaat popt lastpass op welke je kunt ontgrendelen dmv. je password en Yubikey. Daarna kun je vrij in alle opgeslagen applicaties/ websites. Het grote voordeel is (mits je de Yubikey apart houdt van je pc) dat wanneer je pc gestolen wordt je beveiligd bent. De dief kan dan nooit bij je wachtwoorden dus ook niet in belangrijke zaken.
er zal iets van een pincode op moeten. net als bij je bankpas, identifyer of mobiel-betalen app.
Sorry, maar als je het artikel leest dan zie je ook dat ze het over de YubiKey hebben. ;)

Verder denk ik dat zoiets redelijk een toekomst kan worden, mits goed geïmplementeerd. Het menselijk brein is gewoonweg te zwak om fatsoenlijke wachtwoorden te onthouden - en sommige willen/doen dat niet eens. Voordeel dan hieraan is dat er dus een "heel groot" wachtwoord opgeslagen kan worden. Ik ben wel benieuwd wat ze voor oplossing gaan bedenken als je de hardware kwijt bent. Ik zie een nieuwe CA tot leven komen?
ik gebruik mijn gsm nu al voor verscheidene sites (waaronder alles van google trouwens). Men stuurt tijd van tijd een sms met een extra key, die je moet ingeven. Je moet deze key trouwens ook ingeven wanneer een nieuw ip adres wordt gebruikt om op die sites in te loggen.

Ik ga ervan uit dat dat inderdaad alleen nog beter gaat worden (misschien een kleine vingerafdrukscanner in de vorm van een sleutelhanger???? :p )
In 2011 is gebleken dat tokens geleverd door marktleider RSA niet veilig zijn.

Ik heb er niet veel vertrouwen in dat de yubikey veilig is.

http://webwereld.nl/nieuw...rid--vervangt-tokens.html
NFS is een netwerk protocol om oa je storage op meerdere computers te plaatsen, lijkt me niet dat je ingelogd wil zijn op meerdere computers tegelijk (tenzij misschien binnen je netwerk) anders heeft dat toch geen zin?
dus USB, lekker makkelijk en snel ff in de pc drukken.
Het is ijdele hoop, maar ik zou graag één methodiek zien. Een usb key is leuk, behalve als ik met 10 van die dingen moet gaan rondlopen. Ik gebruik nu de Google Authenticator en dat is ook veilig zat. Ik kan er overal mee werken, maar een usb key werkt weer niet overal bij mijn klanten of bij iemand anders op een pc. De Google Authenticator wel omdat ie op mijn Android smartphone draait. Misschien iets met NFC, maar volgens mij is dat ook weer te spoofen.
Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen.
Volgens mij is een wachtwoord dat iemand in zijn hoofd heeft altijd een betere beveiliging dan een (waarschijnlijk niet-transparante) hardwarematige oplossing zonder gebruikersinteractie waarbij een of meer bedrijven in vertrouwen moeten worden genomen. Het moet alleen wel serieus gebruikt worden dus een acceptabel wachtwoord dat nergens wordt opgeslagen, behalve in gecodeerde vorm aan de kant waar de controle wordt uitgevoerd.

[Reactie gewijzigd door blorf op 19 januari 2013 09:38]

password + brakke one time pad is veiliger dan alleen een password.

Voor authenticatie gebruik je over het algemeen een of meerdere van:
- something you know (e.g. password, PIN)
- something you own (e.g. pin pas)
- something you are (e.g. vinger)

Hoe meer van die dingen je gebruikt, des te veiliger is de authenticatie.
PC leuk, maar we leven nu in 2013. _/-\o_

Als je de tram in loopt wordt met NFC ook gekeken wie je bent, dan kan je ook niet op meerdere plekken tegelijk inchecken. Met ING Direct werkt het ook goed, ook om meerdere accounts te beheren.
Heb je het nu over NFS of over NFC?
Kunnen sms'en niet relatief eenvoudig onderschept worden?
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013