Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 103 reacties, 41.050 views •

Google vindt dat wachtwoorden niet langer voldoende zijn om gebruikers veilig te houden en experimenteert met alternatieve authenticatiemethoden. Een van de voorstellen van het bedrijf is om kleine persoonlijke usb-keys te gebruiken.

"Net als veel mensen in de ict-sector vinden we dat wachtwoorden en simpele tokens als cookies niet langer voldoende zijn om gebruikers veilig te houden", zeggen beveiligingstopman Eric Grosse en ontwikkelaar Mayank Upadhyay in een onderzoeksdocument dat later deze maand in het blad IEEE Security & Privacy Magazine zal verschijnen. In het document, waarover Wired bericht, onthullen de twee alternatieven waar Google aan werkt.

Een van die authenticatiemethodes betreft de YubiKey: een kleine usb-key die een one time password kan sturen naar applicaties die de methode ondersteunen. Google heeft zijn Chrome-browser bij experimenten aangepast om de YubiKey te ondersteunen. Naast dit soort keys denkt Google aan smartphones als authenticatie-hardware om in te loggen in je online account.

De Google-medewerkers stellen dat in de toekomst dit soort hardware noodzakelijk is: "We zouden graag zien dat je smartphone of sleutelhanger met geïntegreerde smartcard gebruikt wordt om een nieuwe computer te authorizeren door middel van een enkele aanraking, zelfs als je smartphone geen bereik heeft."

Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen. Nadeel is dat websites de methode moeten ondersteunen. Hiervoor heeft Google een, naar eigen zeggen, onafhankelijk protocol ontwikkeld. Hiervoor zou geen speciale software nodig zijn en het zou voorkomen dat websites gebruikers online volgen. Een ander, niet onbelangrijk, nadeel is dat de gebruiker zeer kwetsbaar is als hij zijn hardware-authenticatie verliest.

Reacties (103)

Reactiefilter:-1103096+180+26+31
Moderatie-faq Wijzig weergave
1 2 3 4
Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen.
Volgens mij is een wachtwoord dat iemand in zijn hoofd heeft altijd een betere beveiliging dan een (waarschijnlijk niet-transparante) hardwarematige oplossing zonder gebruikersinteractie waarbij een of meer bedrijven in vertrouwen moeten worden genomen. Het moet alleen wel serieus gebruikt worden dus een acceptabel wachtwoord dat nergens wordt opgeslagen, behalve in gecodeerde vorm aan de kant waar de controle wordt uitgevoerd.

[Reactie gewijzigd door blorf op 19 januari 2013 09:38]

Per definitie niet waar.

De meeste wachtwoorden in iemands hoofd zijn vele malen makkelijker te kraken dan deze keys. Dat is statistisch gezien juist een feit.

De sociale content, gebrek aan lengte en goede software maakt dat van de gemiddelde gebruiker een wachtwoord een 'eitje' is.

[Reactie gewijzigd door RielN op 19 januari 2013 12:01]

Alternatieve inlogmethodes zitten hier in Estland al goed ingebakken, kijk maar naar de inlogmogelijkheden die je bij online banking hebt: https://www.swedbank.ee/private/?language=ENG

ID-kaart, Mobile ID (met speciale SIM-kaart), Paswoordkaartje (old-school :)) en PIN-calculator (wat de meeste banken in Nederland gebruiken denk ik).

Hier rijst nu trouwens wel de vrees dat met de ID-kaart inloggen niet echt heel veilig is, aangezien je je PIN-code nog gewoon op je toetsenbord ingeeft en een keylogger dat dus kan oppikken (maar ze hebben wel nog steeds de fysieke ID-kaart nodig natuurlijk).

Dus wellicht stapt men binnekort over op ID-kaartlezers met geintegreerd keypad.
ik gebruik mijn gsm nu al voor verscheidene sites (waaronder alles van google trouwens). Men stuurt tijd van tijd een sms met een extra key, die je moet ingeven. Je moet deze key trouwens ook ingeven wanneer een nieuw ip adres wordt gebruikt om op die sites in te loggen.

Ik ga ervan uit dat dat inderdaad alleen nog beter gaat worden (misschien een kleine vingerafdrukscanner in de vorm van een sleutelhanger???? :p )
Dat doen ze allen maar zodat ze je nog beter kunnen tracken. Heeft niet heel veel met veiligheid te maken.
Dat is leuk, maar ik kon een keer niet inloggen toen ik in het buitenland was en mijn ticket uit moest printen. Kan heel vervelend zijn. Smsje kreeg ik maar niet, en de volgende dag kreeg ik er 10.
Om die reden geeft Google je 10 one-time passwords geeft, die hou je best wel ergens bij.
Kunnen sms'en niet relatief eenvoudig onderschept worden?
ja, maar key's kunnen ook relatief eenvoudig verloren of gestolen worden ;-). Dus wat dat betreft is deze key zeker en vast geen verbetering.

Het gaat hem uiteinderlijk over extra beveilingsmaatregelen. De belangrijkste blijft je eigen passwoord.

Ik vind bijgevolg mijn key-vingerafdrukscanner niet slecht :D. Want je hebt nog steeds de vingerafdruk nodig. De technologie is er, nu de support nog.

[Reactie gewijzigd door white modder op 19 januari 2013 11:42]

En wat als je het ding verliest?

edit:
Dan zou je hem onklaar moeten kunnen maken. Maar dat vereist weer servers die dat bijhouden.
Maar indien je het niet onmiddelijk door hebt dat jouw key weg is, kan een gerichte diefstal toch al wat schade aanrichten. En hoe rapporteer je jouw key dan als gestolen? Via een speciale website? Maar hoe log je daar dan op in? Via een wachtwoord? :P
Zelfs indien niet gestolen zijn er zwaktes, het huidige Google Authenticator is ook niet voldoende indien een hacker een bezoeker kan omleiden naar een website die er uit ziet als Google Mail.
Het neemt niet weg dat het inderdaad veiliger is dan enkel een wachtwoord.

[Reactie gewijzigd door D-Three op 19 januari 2013 10:06]

Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode,
Daarom dien je nooit enkel afhankelijk te zijn van zo'n USB-key als verificatie. In combinatie met iets anders dat je niet bij je draagt zou het prima kunnen, maar alleen een USB-key als verificatie is wachten op dit soort problemen.

Ik zat nog te denken aan de mogelijkheid om een nieuwe key aan je account te kunnen koppelen in geval van diefstal of kwijtraken, door middel van je wachtwoord of iets dergelijks in te vullen. Maar dat zorgt dan weer voor het probleem dat als iemand je wachtwoord weet, die ook meteen zijn key eraan kan koppelen en dan als jou kan inloggen. Dat wordt 'm dus niet.
Right. Het enige dat het dus eigenlijk vervangt is het intoetsen van je wachtwoord.
Ik voel me heel safe met die Google authenticator.
Het kan toch en-en. Je zal nog altijd een wachtwoord nodig hebben voor die hardware key. Op mn Linux servers gebruik ik ook public key authenticatie met een passphrase. Mocht de private key in verkeerde handen vallen hebben ze er zonder password nog niets aan.

Bij gmail gebruik ik ook al two factor authenticatie dmv sms codes en op kantoor log ik ook in met een RSA token.

Volgens mij zijn er dus al voldoende mogelijkheden buiten passwords.
er zal iets van een pincode op moeten. net als bij je bankpas, identifyer of mobiel-betalen app.
Dan zou je hem onklaar moeten kunnen maken. Maar dat vereist weer servers die dat bijhouden.
De veiligheid van een wachtwoord zit niet in de complexiteit, maar in de lengte. Een mens kan een wachtwoord moeilijk maken met speciale tekens e.d. maar voor een brute force attack maakt het echt geen drol uit of er een a of een @ staat...

Neem een lomp lang wachtwoord opgebouwd uit makkelijk te onthouden onsamenhangende korte woorden. 'paardhuisbipskaasregenvorkkuiken' is een sterker wachtwoord dan '1993S@mm!3' o.i.d. en nog steeds praktischer dan een of andere USB-key die je mee moet nemen en kwijt kan raken.

Een apparaatje of andere fysieke authenticatie zal bepaalde vormen van criminaliteit ook alleen maar in de hand werken. Er zal een criminele stroming zich puur op deze fysieke authenticaie gaan richten, net als er nu met creditcards e.d. gebeurt...
Compleet mee eens mensen zouden veel langere wachtwoorden moeten gebruiken.
En sites moeten dat ook mogelijk gaan maken, niet bij iedereen mag je meer dan 16 karakters gebruiken.
Kijk bij apple eerst je wachtwoord met hoofdletter en cijfer daarna vraagt het jou een paar vragen om er zeker van te zijn dat jij het bent maar ook daar moet je wat mooiers van maken dan van pietje en auto
Het zit 'm in de combinatie van:
neem het wachtwoord 'hoi' en gegeven is dat alleen lowercase alfabet characters gebruikt wordt, dan is het aantal combinaties 26^3, doe je hier 1 character bij dan is dat 26^4. Maar als je het feit veranderd dat je niet alleen lowercase alfabet characters gebruikt (voorbeeld wacthwoord: 'H0!') dan moet je dus een set nemen van ongeveer:
- 26 lowercase characters
- 26 uppercase characters
- 10 cijfers
- ongeveer 30 speciale characters op je keyboard
en veranderd het aantal combinaties naar 92^3.

Begrijp me niet verkeerd, je hebt zeker gelijk dat de lengte uiteindelijk de belangrijkste rol speelt. Maar dan moet die lengte ook significant groot zijn dat het aantal characters in je set niet meer uit maakt, en dit maakt vrij veel uit bij wachtwoorden van 1-30 characters lang (wat een gemiddeld wachtwoord toch wel lang is).

Let ook op: dit is allemaal onder de aanname dat je brute-force gebruikt, er zijn meer methodes om wachtwoorden te genereren en raden.
Maar de aanvaller weet niet of jouw wachtwoord 'hoi' of 'H0!' is en zal dus uitgaan van de bijna volledige volledige ascii range. Dus ook de diakritische tekens (umlauts, tremas, cedille, tilde, etc).

Als je een wachtzin ipv wachtwoord (SSH vraagt niet voor niets om een passPHRASE) gebruikt dan krijg je over het algemeen al een mis van karakters. 'Ik verhuis morgen naar BelgiŰ' is veel sterker dan menig wachtwoord via een password generator. Websites welke de lengte van je wachtwoord beperken, bewaren het wachtwoord vaak op een manier zodat de plain-text versie is terug te krijgen. Soms wordt het echt in plain-text opgeslagen, andere websites encrypten het wachtwoord naar de database.

Websites welke alleen werken met een hash van het wachtwoord hebben geen reden om de lengte te beperken omdat ongeacht de lengte, de lengte van een SHA1 hash altijd 20 bytes (40 in hex-printable format) zal zijn.

Een veelgebruikt karakter (in Europa) buiten de standaard en extended ascii range is het euro teken, maar zit wel op de meeste toetsenborden. 'H0!TwĄakers' is een wachtwoord waar de meeste crackers niet uitkomen binnen 72 uur. Hackers willen zoveel mogelijk accounts binnen een zo kort mogelijke tijd verzamelen.

Een veel groter probleem is het grote aantal websites welke nog steeds MD5 hashes gebruikt zonder een salt. Als zo'n lijst op internet (pastebin) terecht komt is het vrij eenvoudig om daarop een rainbow table los te laten. Met sql-injection is het vrij eenvoudig om een aan een lijst van gebruikers gegevens te komen. Meestal hoeft je niet verder te zoeken dan 'users', 'user', 'tblUser' of 'tblUsers'. Zijn de wachtwoorden netjes gehashed, dan zal de hackers meestal een enkel wachtwoord proberen te achterhalen via rainbow tables en dan dan controleren of daarmee ingelogd kan worden. Als dat niet werkt gebruik de website een salt. Veel hackers registeren zich dan bij zo'n website zodat ze al het wachtwoord weten. Vervolgens is niet niet meer zo moeilijk om dan via de brute-force methode de salt te achterhalen. Vervolgens bouw je een nieuwe rainbow table aan de hand van je salt. Vervolgens controleer je bij elke gegenereerde hash of je een match hebt. Hoe langer de lijst met accounts, hoe sneller je een match zult vinden. Werkt de login voor de gevonden match ook niet dan gebruikt men een salt per user.

Hackers zullen veel meer moeite doen om hashes met user-salts te genereren als het om een gebruikers lijst gaat van een bank of overheids instelling dan van een forum..
In 2011 is gebleken dat tokens geleverd door marktleider RSA niet veilig zijn.

Ik heb er niet veel vertrouwen in dat de yubikey veilig is.

http://webwereld.nl/nieuw...rid--vervangt-tokens.html
password + brakke one time pad is veiliger dan alleen een password.

Voor authenticatie gebruik je over het algemeen een of meerdere van:
- something you know (e.g. password, PIN)
- something you own (e.g. pin pas)
- something you are (e.g. vinger)

Hoe meer van die dingen je gebruikt, des te veiliger is de authenticatie.
Volgens mij zal de smartphone straks de beveiliging worden. Er zal een secure element in de hardware worden toegevoegd en via NFC tikken we de telefoon dan tegen een ander apparaat (ook met NFC) om in te loggen. Afhankelijk van WAAR we op inloggen kun je per doel nog instellen of extra beveiliging nodig is zoals bijvoorbeeld:
- een PIN code of wachtwoord (daarna nog een keer tikken om te versturen)
- tijd controle (bijvoorbeeld niet tussen 0:00 en 6:00)
- locatie controle (bijvoorbeeld alleen op je werk of niet buiten Nederland)

Ik kan me zo voorstellen dat een partij als Google standaard 3 niveaus van veiligheid aanmaakt: laag, middel en hoog. Je kunt dan zelf kiezen welke je per doel kiest en bij hoge beveiliging krijg je te maken met extra regels. Hoog gebruik je bijvoorbeeld voor zaken als bankieren, DigID, EPD, etc. Gemiddeld voor je e-mail, sociale netwerken, toegang tot je huis, werk, etc. En laag voor het inloggen op websites.

En als je je smartphone kwijt bent dan blokkeer je je smartphone (bijvoorbeeld via telefoon of internet via speciale blokkeerprocedure). Als je dan een nieuwe hebt (of de oude weer hebt gevonden) dan zul alle "onderdelen" weer terug kunnen installeren. Ik denk dat de digitale portemonee hier ook onderdeel in wordt dus dan is het logisch dat je dit doet op een trusted place na legitimatie (bijvoorbeeld bij een bank of telecom winkel). Die zullen dan van die NFC schaaltjes hebben waar je je smartphone inlegt en op deze manier wordt de beveiliging opgebouwd. Na controle van je identiteit voer je dan je security recovery wachtwoord in en wordt het hersteld.

Er zal eerst nog een digitale identiteitscrisis uit moeten breken voordat mensen zich bewust worden hoe belangrijk het is om jezelf goed te beveiligen. Ik ken nog heel veel mensen die al jarenlang hetzelfde wachtwoord gebruiken voor alles en mij dit zomaar vertellen. Met slechte bedoelingen kan ik hun leven ru´neren maar dat kunnen ze zich gewoon niet voorstellen.

[Reactie gewijzigd door robertwebbe op 19 januari 2013 10:52]

Ik vind het ook niet zo'n prettig idee, om de hardwareaansluiting op de computer, gebruik veel usb sticks en er zijn al verschillende aansluitingen versleten, slechte contact, opeens de vraag of je wil formatteren omdat de usb stick een slecht contact maakt. Misschieen eerst eens de aansluitingen een 20 x degelijker maken en niet zo vreselijk kwetsbaar. Vooral bij ouderen mensen waar ik wel een kom zie ik vaak kapotte aansluitingen op de computer, want die zien niet zo best, gebruiken dan hun bril niet en drukken gewoon door terwijl de usb stick verkeerd om zit, dat ben ik echt al heel veel keren tegengekomen. :X
Mee eens. Bovendien is dit een extra belasting op de toch al ge´rriteerde professionele user. Vooral audioapplicaties leveren een dongle, waardoor je als audio- (en ik denk ook video-)specialist al snel met een dozijn aan usb sticks zit. In de audiowereld wordt dit iig als erg storend ervaren: je hebt dan 1 hoofdprogramma met daarnaast enkele onmisbare pluginpakketten, die ook allemaal 1 aparte dongle nodig hebben. Dan zit je workstation dus helemaal afgetjokt, terwijl je ook nog randapparatuur op USB nodig hebt.

Van zo'n bericht als dit word ik dan ook weinig blij.

[Reactie gewijzigd door HexaTonic op 20 januari 2013 01:29]

1 2 3 4

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True