Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 103 reacties, 41.104 views •

Google vindt dat wachtwoorden niet langer voldoende zijn om gebruikers veilig te houden en experimenteert met alternatieve authenticatiemethoden. Een van de voorstellen van het bedrijf is om kleine persoonlijke usb-keys te gebruiken.

"Net als veel mensen in de ict-sector vinden we dat wachtwoorden en simpele tokens als cookies niet langer voldoende zijn om gebruikers veilig te houden", zeggen beveiligingstopman Eric Grosse en ontwikkelaar Mayank Upadhyay in een onderzoeksdocument dat later deze maand in het blad IEEE Security & Privacy Magazine zal verschijnen. In het document, waarover Wired bericht, onthullen de twee alternatieven waar Google aan werkt.

Een van die authenticatiemethodes betreft de YubiKey: een kleine usb-key die een one time password kan sturen naar applicaties die de methode ondersteunen. Google heeft zijn Chrome-browser bij experimenten aangepast om de YubiKey te ondersteunen. Naast dit soort keys denkt Google aan smartphones als authenticatie-hardware om in te loggen in je online account.

De Google-medewerkers stellen dat in de toekomst dit soort hardware noodzakelijk is: "We zouden graag zien dat je smartphone of sleutelhanger met geïntegreerde smartcard gebruikt wordt om een nieuwe computer te authorizeren door middel van een enkele aanraking, zelfs als je smartphone geen bereik heeft."

Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen. Nadeel is dat websites de methode moeten ondersteunen. Hiervoor heeft Google een, naar eigen zeggen, onafhankelijk protocol ontwikkeld. Hiervoor zou geen speciale software nodig zijn en het zou voorkomen dat websites gebruikers online volgen. Een ander, niet onbelangrijk, nadeel is dat de gebruiker zeer kwetsbaar is als hij zijn hardware-authenticatie verliest.

Reacties (103)

Reactiefilter:-1103096+180+26+31
Moderatie-faq Wijzig weergave
We hebben op kantoor ook gespeeld met de Yubikey en het werkt briljant ... als je een usb-poort binnen bereik hebt; Onze presentaties worden via een mediacenterachtige oplossing gegeven, maar dat apparaat hangt zo ongeveer aan het plafond. We zijn nu aan het experimenteren met de two-factor authentication van DUO: https://www.duosecurity.com/ Via een push-notificatie, sms of telefoontje wordt je geauthoriseerd nadat je een correct gebruikersnaamwachtwoordcombinatie hebt ingegeven. Je telefoon heb je eigenlijk altijd bij de hand.
Waarom is het niet mogelijk om mijn huissleutel of kluissleutel in een soort universele lezer te stoppen, die de omvang en dikte ed omrekent naar een binaire code? Een soort cardreader maar dan voor je sleutel. Dan heb ik minder kans dat ik een USB apparaatje kwijt raak en heb hem altijd bij me.
lastpass icm. de Yubikey zie ik wel zitten. Ze ondersteunen dit ook. Als je de pc aanzet en naar de browser gaat popt lastpass op welke je kunt ontgrendelen dmv. je password en Yubikey. Daarna kun je vrij in alle opgeslagen applicaties/ websites. Het grote voordeel is (mits je de Yubikey apart houdt van je pc) dat wanneer je pc gestolen wordt je beveiligd bent. De dief kan dan nooit bij je wachtwoorden dus ook niet in belangrijke zaken.
Volgens mij gebeurd dit bij mij op de hogeschool al bij de docenten. Lijkt me wel een veilige oplossing. Eerst eigen wachtwoord en daarna de code van de USB.
Ik ben niet zo into deze materie maar ik heb zie bij bijv buitenlandse banken dat ze zo'n "dongle" hebben waar random getallen op verschijnen. Altijd, dus niet zoals die iritante raboreader dat je pas erin moet etc. Als je inlogt op de site met je username/password vraagt hij daarna om de code die op dat moment op je "dongle" staat.

Zo hoef je niet iets in het apparaat te steken waar je op wil inloggen, wat ik positief vind. Want denken dat USB tegenwoordig nog een universeel iets is, is nogal naief. Tablets, TV's, telefoons, all-in-one beamers die aan het plafond hangen zoals iemand al aanhaalde.

Vind het bijzonder prettig werken met die "dongle", is zo klein als een magere usb stick en heb hem altijd in mijn portemonnee zitten.
Het nadeel van deze dongels waar elke keer een ander nummer op verschijnt voorspelbaar zijn.

De combinatie van something you know and something you have ( wachtwoord of pin / hardware token bv een bankpas of een usb key ) erg goed.

Vooral de dubbelfuntie van de rabopas is goed doordacht. Doordat je de pas voor zowel pinnen als telebanking nodig hebt laten mensen hem ook niet in de reader zitten, Wat een factor in de beveiliging wegneemt.

Gebruikers zijn altijd erg makkelijk in het schelden op beveiliging dat het vervelend en lastig is, maar bedenken zich nooit waarom banken dit bijvoorbeeld doen.
Banken zouden voor de bewustwording best een wat lagere security mogen aanbieden bij klanten maar dan wel onder de voorwaarde eigen risico. (rekening geplunderd tijdens telebanking door zeus? in de problemen doordat je ineens niets meer hebt? dan gewoon eigen schuld en geen bank of verzekering die ook maar een cent vergoed...)
Dan wil ik wel eens zien hoeveel mensen dit zullen doen.

Terugkomend op het bericht denk ik dat de usb key best kan werken maar dan moet er wel een goede reden worden bedacht voor een user om de key ook inderdaad mee te nemen, anders laten ze hem zitten op een pc, wat op de betreffende pc de authenticatiefactor something you have al wegneemt. en eventuele malware alsnog een groot window van opportunity geeft.
Alsjeblief geen apparaatje zeg! Dat is gedoemd om kwijt te raken, super onhandig. Welk probleem wordt hier nou eigenlijk mee opgelost, want gaat het in de praktijk zo vaak mis met wachtwoorden - mits mensen er enigszins voorzichtig mee om gaan?
Voor mensen die op publieke computers hun bank etc checken is het handig. Maar wees gewoon verstandig en doe dat soort onzin niet en klik ook gewoon niet op links die je niet kent al komt het van je buurman
Het is ijdele hoop, maar ik zou graag één methodiek zien. Een usb key is leuk, behalve als ik met 10 van die dingen moet gaan rondlopen. Ik gebruik nu de Google Authenticator en dat is ook veilig zat. Ik kan er overal mee werken, maar een usb key werkt weer niet overal bij mijn klanten of bij iemand anders op een pc. De Google Authenticator wel omdat ie op mijn Android smartphone draait. Misschien iets met NFC, maar volgens mij is dat ook weer te spoofen.
Ik gebruik Google Authenticator ook en zou niet zo snel weer naar een methode overgaan wat een extra "ding" vereist. Een mobiele telefoon heb ik al bij mij.
NFC zat ik ook nog even aan te denken. Kan al voor unlocking van een Android telefoon gebruikt worden (XDA). Maar vereist ook weer een ding om mee te nemen. Ik gebruik de NFC tags bij mijn smartphone juist daarom niet, deze zijn vooral voor locatiegebonden toepassingen interessant

[Reactie gewijzigd door Frij5fd op 19 januari 2013 10:57]

Als het hardware matig is zoals mac adres op je wifi. Dan valt dit toch te spoofen?
Als het als een mac-adres is wel, maar dat is het gelukkig niet, yubiKey's zijn voor alsnog helemaal niet te hacken :)
Dan zal YubiKey binnenkort wel worden overgenomen :P. Ik zie meer in een NFC oplossing i.c.m. GSM en wachtwoord op je GSM. Of stemherkenning/gezichtsherkenning op je GSM :P.
De GSM heeft 2 grotere problemen die verhinderen voor authenticatie geschikt te zijn. 1] De grote kans dat de battery weleens leeg is. 2] De grote hoeveelheid lekke software de op een moderne smartphone aanwezig kan zijn.
1) De GSM zal een bepaalde batterijcapaciteit reseveren voor NFC toepassingen. Je hebt dan geen volledige functionaliteit meer maar de meest belangrijke zaken kunnen dan nog wel plaatsvinden.

2) Alle techniek kan gekraakt worden. Een online smartphone met security enhancements biedt per definitie meer veiligheid. En de smartphone kan geupdate worden als er onveiligheden zijn.
2a, iets wat online "veiliger" kan worden kan ook online onveiliger worden, bij veiligheid moet je van het ergste uitgaan dus zal het er per definitie juist onveiliger van worden. Mensen hechten een te sterk geloof aan updates, updates zijn geen verbeteringen maar reparaties van fouten die er eigenlijk niet eens in hadden mogen zitten, ze maken het Product dus hoogstens minder slecht. Een smartphone die geen updates nodig heeft is beter dan 1 die wekelijks een update ontvangt. Het gaat hier om een sleutel toepassing, dan is onbeschrijfbare hardware die bij een lek vervangen moet worden beter dan iets dat alle kanten op gepatched kan worden.
Google heeft inmiddels al Google Authenticator waarmee je een twee-stap authenticatie kunt gebruiken via een random code op je (Android) smartphone. Dit werkt bijvoorbeeld bij Gmail maar ook bij Lastpass.
Helaas zie je ook al 2 factor malware verschijnen, zo is er een ZEUS variant die de 2e factor van de ING afvangt... (sms met TAN)

Ik vind de smartphone dan ook ongeschikt als 2e factor omdat de smartphone too smart is en te veel aanvals factoren kent.
De naam telefoon doet het apparaat te kort maar ook de manier waarop mensen er naar kijken en security technisch mee omspringen.

De 2e al dan niet technische factor moet as dumb as possible zijn en al helemaal geen eigen internet verbinding hebben. Hiermee wordt het aantal factoren waarop de 2e factor te compromiteren is zo klein mogelijk.
Inderdaad, blizzard authenticator werkt via hetzelfde principe, Bij gebruik van bijvoorbeeld het rmAH op diablo3 is zelfs een extra layer of protection via sms vereist.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True