Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 103, views: 40.621 •

Google vindt dat wachtwoorden niet langer voldoende zijn om gebruikers veilig te houden en experimenteert met alternatieve authenticatiemethoden. Een van de voorstellen van het bedrijf is om kleine persoonlijke usb-keys te gebruiken.

"Net als veel mensen in de ict-sector vinden we dat wachtwoorden en simpele tokens als cookies niet langer voldoende zijn om gebruikers veilig te houden", zeggen beveiligingstopman Eric Grosse en ontwikkelaar Mayank Upadhyay in een onderzoeksdocument dat later deze maand in het blad IEEE Security & Privacy Magazine zal verschijnen. In het document, waarover Wired bericht, onthullen de twee alternatieven waar Google aan werkt.

Een van die authenticatiemethodes betreft de YubiKey: een kleine usb-key die een one time password kan sturen naar applicaties die de methode ondersteunen. Google heeft zijn Chrome-browser bij experimenten aangepast om de YubiKey te ondersteunen. Naast dit soort keys denkt Google aan smartphones als authenticatie-hardware om in te loggen in je online account.

De Google-medewerkers stellen dat in de toekomst dit soort hardware noodzakelijk is: "We zouden graag zien dat je smartphone of sleutelhanger met geïntegreerde smartcard gebruikt wordt om een nieuwe computer te authorizeren door middel van een enkele aanraking, zelfs als je smartphone geen bereik heeft."

Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen. Nadeel is dat websites de methode moeten ondersteunen. Hiervoor heeft Google een, naar eigen zeggen, onafhankelijk protocol ontwikkeld. Hiervoor zou geen speciale software nodig zijn en het zou voorkomen dat websites gebruikers online volgen. Een ander, niet onbelangrijk, nadeel is dat de gebruiker zeer kwetsbaar is als hij zijn hardware-authenticatie verliest.

Reacties (103)

Reactiefilter:-1103096+180+26+31
Ik gebruik al een tijdje de Yubikey voor het lezen van de webmail bij mijn provider.
Het werkt met een pincode van 6 cijvers en dan moet je de key aanraken die in de usb zit.
Het voordeel is, dat er een eenmalig wachtwoord over het internet gaat.
Eventueel meelezen heeft dan geen gevolgen.
Als ik de sleutel verlies heeft de vinder niet de pincode.
Ik kan dan simpelweg een nieuwe yubikey en mijn mailbox voorzien van een nieuwe digitale sleutel.
Idd gebruik van Yubikey en LastPass werkt perfect. Zou het niet meer willen missen. Er staat in de laatste PC-active een heel artikel in over de Yubikey met LastPass voor degene die meer leesvoer zoeken :)

Overigens is de Yubikey en LastPass ook in Nederland/Belgie te krijgen via www.yubikeyshop.nl

[Reactie gewijzigd door Der Rudi op 19 januari 2013 12:28]

GEbruik al jaren een soortgelijke usbstick voor mijn magento shop. swekey ofzo heette dat.
allemaal mooi en wel, maar laat google eerst al eens bv fingerprint ondersteunen! tss
Als een Amerikaans bedrijf iets niet van mij krijgt dan zijn het wel biometrische gegevens...

voor dat je dit soort opmerkingen plaatst zou je ook jezelf eens kunnen verdiepen in de materie. Ben je daarna nog steeds deze mening toegedaan dan respect maar bovenstaande lijkt me een losse flodder van iemand die niet weet waar het werkelijk om gaat als het security betreft...
In de laatste WIRED staat een zeer goed artikel over de onveiligheid van wachtwoorden. Zeer de moeite waard om te lezen als deze materie je aangaat.
Hmm ik vind het een slecht idee als Smartphones als beveiliging worden gebruikt. Waarom? er word de laatste tijd weer meer gesleuteld aan smartphone virussen. Als die je smartphone besmet. dan heb je een probleem. Dan zou je waarschijnlijk alles kwijt zijn.

Daarbij zouden vooral mensen met weinig verstand van digitale dingen de klos zijn. die mensen hebben verschrikkelijke hiaten.

Dan vind ik een USB key ofzo een veiligere zaak. Want een USB key kan niet vanzelf het internet op. Ze zullen wel weer vervalst kunnen worden. maar dat moeten testen uitvogelen.

Maar wat zou er dan gebeuren als je die USB key dan kwijt raakt ??
Ik ben niet zo into deze materie maar ik heb zie bij bijv buitenlandse banken dat ze zo'n "dongle" hebben waar random getallen op verschijnen. Altijd, dus niet zoals die iritante raboreader dat je pas erin moet etc. Als je inlogt op de site met je username/password vraagt hij daarna om de code die op dat moment op je "dongle" staat.

Zo hoef je niet iets in het apparaat te steken waar je op wil inloggen, wat ik positief vind. Want denken dat USB tegenwoordig nog een universeel iets is, is nogal naief. Tablets, TV's, telefoons, all-in-one beamers die aan het plafond hangen zoals iemand al aanhaalde.

Vind het bijzonder prettig werken met die "dongle", is zo klein als een magere usb stick en heb hem altijd in mijn portemonnee zitten.
Het nadeel van deze dongels waar elke keer een ander nummer op verschijnt voorspelbaar zijn.

De combinatie van something you know and something you have ( wachtwoord of pin / hardware token bv een bankpas of een usb key ) erg goed.

Vooral de dubbelfuntie van de rabopas is goed doordacht. Doordat je de pas voor zowel pinnen als telebanking nodig hebt laten mensen hem ook niet in de reader zitten, Wat een factor in de beveiliging wegneemt.

Gebruikers zijn altijd erg makkelijk in het schelden op beveiliging dat het vervelend en lastig is, maar bedenken zich nooit waarom banken dit bijvoorbeeld doen.
Banken zouden voor de bewustwording best een wat lagere security mogen aanbieden bij klanten maar dan wel onder de voorwaarde eigen risico. (rekening geplunderd tijdens telebanking door zeus? in de problemen doordat je ineens niets meer hebt? dan gewoon eigen schuld en geen bank of verzekering die ook maar een cent vergoed...)
Dan wil ik wel eens zien hoeveel mensen dit zullen doen.

Terugkomend op het bericht denk ik dat de usb key best kan werken maar dan moet er wel een goede reden worden bedacht voor een user om de key ook inderdaad mee te nemen, anders laten ze hem zitten op een pc, wat op de betreffende pc de authenticatiefactor something you have al wegneemt. en eventuele malware alsnog een groot window van opportunity geeft.
Ik vind het ook niet zo'n prettig idee, om de hardwareaansluiting op de computer, gebruik veel usb sticks en er zijn al verschillende aansluitingen versleten, slechte contact, opeens de vraag of je wil formatteren omdat de usb stick een slecht contact maakt. Misschieen eerst eens de aansluitingen een 20 x degelijker maken en niet zo vreselijk kwetsbaar. Vooral bij ouderen mensen waar ik wel een kom zie ik vaak kapotte aansluitingen op de computer, want die zien niet zo best, gebruiken dan hun bril niet en drukken gewoon door terwijl de usb stick verkeerd om zit, dat ben ik echt al heel veel keren tegengekomen. :X
Mee eens. Bovendien is dit een extra belasting op de toch al geïrriteerde professionele user. Vooral audioapplicaties leveren een dongle, waardoor je als audio- (en ik denk ook video-)specialist al snel met een dozijn aan usb sticks zit. In de audiowereld wordt dit iig als erg storend ervaren: je hebt dan 1 hoofdprogramma met daarnaast enkele onmisbare pluginpakketten, die ook allemaal 1 aparte dongle nodig hebben. Dan zit je workstation dus helemaal afgetjokt, terwijl je ook nog randapparatuur op USB nodig hebt.

Van zo'n bericht als dit word ik dan ook weinig blij.

[Reactie gewijzigd door HexaTonic op 20 januari 2013 01:29]

Ik snap niet dat mensen hier zo lovend over zijn. Ik vind het al lastig genoeg dat ik voor elke poep en scheet weer een nieuw "account" moet maken. Weer een authenticatiemail moet krijgen, weer meer kans op spam,...Zo ook tweakers, om gewoon een comment achter te laten moet ik weer een account hebben :/

Ze kunnen me wat met die usb-key. Kan je weer lekker gaan zoeken als je "even" wil inloggen. Van iemands account wéét je niet hoe lang, hoe veilig dat wachtwoord is. Het raden is al lang niet meer van toepassing en niemand gaat ook maar drie dagen processing power verspillen aan een privé-accountje van iemand.
Je hele financiële wezen hangt vast aan 4 cijfers, waar je ook nog niet eens 3x achter elkaar hetzelfde getal mag hebben. Dat is dan onveiliger dan een simpel tweakers-accountje dat wordt gebruikt om te posten hier?

Krijgen IT-ers een boner van deze oversecurity?
Nieuw nfc yubikey lastpass op telefoon :D

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Gamecontrollers Smartphones Sony Microsoft Apple Games Politiek en recht Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013