Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 90 reacties

De FIDO Alliance heeft de eerste versie van de FIDO-specificatie uitgebracht. Met de standaard kunnen ontwikkelaars eenvoudig onlineauthenticatie zonder wachtwoorden toevoegen aan apps. Onder andere Microsoft en Google ondersteunen de alliantie.

Het gaat om twee specificaties die nu uit de testfase gehaald zijn: UAF en U2F. UAF is de basis en de specificaties beschrijven onder andere de protocollen, de werkwijze, de api's voor de client en de Authenticator-onderdelen. De U2F-standaard bestaat uit alles wat nodig is voor tweetrapsauthenticatie, waarbij naast een online-inlog een extra authenticatiemethode zoals een dongle vereist is. Met dit laatste kan de online-inlog eenvoudiger verlopen, zoals via een viercijferige pin.

FIDO

Ontwikkelaars kunnen nu aan de slag om de open standaard te implementeren in hun apps en diensten. FIDO, wat staat voor Fast IDentity Online, is in 2012 opgericht om tot een open, interoperabele en schaalbare set van mechanismes te komen die voor een vervanging van wachtwoorden voor onlineauthenticatie moeten zorgen.

FIDO werkt op basis van publieke sleutelcryptografie, net als bijvoorbeeld PGP voor het versleutelen van mail. Ontwikkelaars kunnen een authenticatiemethode kiezen waarbij het niet uitmaakt of het om stemherkenning, vingerafdruk, chip of gezichtsherkenning gaat. Bij gebruik wordt een sleutelpaar aangemaakt en de FIDO-standaard regelt vervolgens de versleutelde opslag van de private sleutel en de publieke sleutel op een server.

Een groot aantal techgiganten heeft zich achter de standaard geschaard, zoals Google, Samsung, Yahoo, Microsoft, Qualcomm, VISA en RSA. Zo gebruikt Google het voor zijn experimenten met usb-sticks om in te loggen en Samsung voor zijn mobiele vingerafdrukscanner. De basis van FIDO werd gevormd door het bedrijf Nok Nok Labs.

Moderatie-faq Wijzig weergave

Reacties (90)

Toch vind ik het gevaarlijk dat een bedrijf mijn biomedische gegevens te weten krijgt. Tuurlijk ze zijn encrypted, maar dan nog. Kijk als je nu je wachtwoord verliest, of je wordt gehackt en een ander komt je wachtwoord te weten: Geen probleem. Je veranderd hem even en het probleem is opgelost. Je vingerafdruk verander je niet zo makkelijk even. In dat geval moet je wat gaan rotzooien met messen, branders, etc. Persoonlijk lijkt me dat dus niet wat je wilt.

Persoonlijk zie ik om bovenstaande reden dus nog geen heil in dit product.
En hoeveel schade kan Microsoft aanrichten met je vingerafdruk?
Enige wat ik me kan bedenken is dat Gates een bank beroofd en jouw vingerafdrukken achterlaat ;)
Het gaat erom dat je niks meer kunt wijzigen.

Als 1x een willekeurige tool/site/... gehacked is, dan is in principe voor de rest van je leven 1 van je stappen bekend (de vingerafdruk) wat toekomstig misbruik aanzienlijk makkelijker maakt.
Hier, fantastische gratis game zonder inapp aankopen, gewoon inloggen en gamen maar (p.s. bedankt voor je vingerafdruk, bij je bank inloggen om geld te halen lukt ons nu zelf ook wel).

Een authenticatie werkt alleen maar, als je deze uniek kunt houden - oftewel veranderen/vervangen nadat deze mogelijk op straat ligt, zodat het opnieuw uniek wordt. Anders kun je net zo goed niks gebruiken.


Voorbeeldje google - semi algemene login (mail adres, kan je niet echt uniek beschermen maar moet je net ergens tegenkomen) waarna ze mn wachtwoord dat uniek is voor google moeten raden en mijn unieke authenticator (op een ander apparaat) te pakken moeten krijgen. Behoorlijk veilig.


Stel je vervangt dit voor uaf, dan heb je niet 3 invoeren maar slechts 1 - de vingerafdruk. En die geld dan voor je het weet voor 50-100 unieke sites. Slechts 1 ervan hoeft in de komende ~80 jaar dat ik nog leef eenmalig een beveiligingsprobleem te hebben en in principe is dan alles waar ik UAF gebruik toegangbaar (en andersom - alles wat alleen UAF gebruikt kan vrij misbruikt worden met mijn info).

Als dan een site als, zeg, ebay/amazon/paypal ook UAF gebruikt 'want dat is een veilige universele standaard', dan wordt dat hemel op aarde voor criminelen.

[Reactie gewijzigd door Xanaroth op 9 december 2014 16:34]

Waaat, dit klopt toch niet? (ook al krijg je 20 x +3 ;) )

De vingerafdruk wordt alleen gebruikt voor toegang tot de private key op je device, die specifiek is voor de public key van één site. De vingerafdruk wordt zelf niet verstuurd naar de site. Een site met beveiligingsproblemen kan helemaal niets uithalen omdat deze afhankelijk is van de gesignde challenge.

Wat @Frozen zegt is wel een valide zorg, maar niet in het UAF proces. Tenzij ze jouw vinger gaan nabouwen en dan over de fingerprint scanner gaan halen.

Het klopt wel dat de auth alleen werkt als je die uniek kunt houden. De veiligheid van de private key is extreem belangrijk; hoe garandeer je dat. Ook moet het mogelijk zijn een nieuwe private+public keypair te maken.

[Reactie gewijzigd door geertdo op 9 december 2014 17:42]

Het is dus wel een probleem, want die vingerafdruk is schijnveiligheid.
Op het moment dat je vinger dus bekend is is het enige unieke nog je device met de scanner. Je kunt je vinger namelijk niet veranderen zonder schade te doen,(zelfde voor stem en gezicht en dergelijke)

Waarom zou je dan nog met biometrics gaan werken als het toch niks toevoegt. Hou het dan gewoon op een chip, want dat is vervangbaar en dus betere garantie tot uniekheid.
Nee, dus niet. Het werkt in 2 stappen, de vingerafdruk geeft je alleen toegang tot de private key op je device zelf, die ook al van jezelf is. Waarom is dat schijnveiligheid?
Daarnaast ben met dit systeem niet verplicht om de vingerafdrukscanner te gebruiken. Een chip met code kan dus ook, om toegang te verlenen tot de private key.
En aangezien mijn afdruk al eens is afgenomen in het gemeentehuis of all places is deze vast al weleens van een server gekopieerd.. Dit is niet meer of minder veilig maar wel een nieuwe manier om wat extra gegevebs te verzamelen.

Veilig??? Nee dat is echt een utopie..

[Reactie gewijzigd door Sergelwd op 10 december 2014 17:48]

Laat het even duidelijk zijn dat het probleem wat je aankaart, het probleem van vingerafdruk authenticatie is. Dat heeft dus niets te maken met de "standaard" uit dit artikel.

UAF is enkel een "standaard" die o.a. gebruik kan maken van vingerafdruk authenticatie... maar daarnaast ook vele andere manieren.

Dus je laatste zin slaat nergens op en zou je even moeten aanpassen voordat iedereen dit weer verkeerd begrijpt met een plus3 rating.

Maar je hebt gelijk dat vingerafdrukken geen blijvende oplossing is voor wachtwoorden omdat ze niet hernieuwbaar zijn. Ik zie veel meer heil in een los apparaatje (stick/phone/smartwatch/etc) die je altijd bij hebt die je automatisch inlogt.

Maar het vingerafdruk verhaal heeft dus niets tot weinig met dit artikel te maken.

-edit-
geertdo zegt het nog wat beter.

[Reactie gewijzigd door bskibinski op 9 december 2014 23:30]

En wat als je vingerafdruk nu de vervanger is van de passphrase van je private key?

Probleem opgelost, behalve dat je dan weer je private key op al je devices moet sharen en niet zomaar een publiekelijke pc kunt gebruiken.
Of je moet je private key meezeulen op een stick, maar dat is dan weer niet veilig (wat als je deze verliest?), alhoewel dit laatste al in de praktijk gebeurt in België. Iedereen ouder dan 15 is verplicht om z'n ID bij te hebben waar er een private key op staat, waarbij de passphrase 4 cijfers zijn.
6 cijfers dacht ik ?
Stel voor ik vind deze methode zo makkelijk dat ik op meerdere plekken hetzelfde wachtwoord (dezelfde vingerafdruk) gebruik. In dat geval kunnen meerdere accounts eenvoudig gehacked worden. Daarentegen hebben de meesten wel 10 vingers en 10 tenen, maar om elke keer nou data onomstotelijk te verbinden met een persoon (via biomedische kernmerken), gaat voor mij te ver.
"En hoeveel schade kan Microsoft aanrichten met je vingerafdruk"

Ze kunnen het verstrekken aan de Amerikaanse Inlichtingendiensten.

Daarnaast bestaat ook het risico dat deze grote bedrijven gehacked worden.
Zou jij je vingerafdrukken op een server bij Sony achterlaten? ....
Zover ik heb begrepen stuur je niet je biometrische gegevens mee, maar genereer je een eigen code uit je biometrische gegevens en die code stuur je door
Hij creëert inderdaad een biometric template. "De private key en biometric template are stored securely on your phone". De public key wordt naar de servers gestuurd.

Het lijkt mij dan ook logisch dat je uit de public key de originele vingerafdruk kan halen, die dingen worden namelijk gemaakt met een speciaal algoritme en vervolgens geëncrypt lijkt mij.

[Reactie gewijzigd door Frozen op 9 december 2014 16:16]

Nee, je vingerafdruk wordt gebruikt als een soort wachtwoord om een private key te unlocken, die uniek is per site. De site kent alleen een public key die bij die private key hoort.

Je kunt uit de public key net zomin de private key of het wachtwoord afleiden als je dat bij de huidige public key authenticatiesystemen kunt, zoals die nu voor TLS/SSL gebruikt worden.
The strength lies in the fact that it is "impossible" (computationally infeasible) for a properly generated private key to be determined from its corresponding public key. Thus the public key may be published without compromising security, whereas the private key must not be revealed to anyone not authorized to read messages or perform digital signatures.
Nope, vingerafdruk is niet te herleiden uit de public key. Public key is een rekenwieltje dat maar een kant op kan draaien. Waarschijnlijk wordt er elke keer naast de 'challenge' ook een datum / tijd window meegenomen in de berekening. Dus de encrypted informatie die wordt verstuurd, zal elke keer anders zijn.
Ik vind dit een mooie ontwikkeling. Geen password managers meer en makkelijker inloggen. Voor mij prachtig want ik registreer soms wel eens en ik vergeet mijn wachtwoord al na enkele minuten. De password managers vind ik niet altijd even makkelijk werken.
Misschien lees ik het artikel verkeerd, maar ik begrijp eruit dat er dus servers komen waar deze data naartoe word weggeschreven?

Lijkt mij nog onveiliger als password managers, als een hacker wil kan ie zichzelf vast wel toegang verschaffen tot die servers, liggen meteen de logins van half de wereldbevolking op straat?

Ik blijf wel lekker m'n aangeboren wachtwoord manager gebruiken.
FIDO werkt op basis van publieke sleutelcryptografie
Wellicht even opzoeken wat publieke sleutel cryptografie inhoud: https://en.wikipedia.org/wiki/Public-key_cryptography
Kort gezegd wordt op de server alleen het publiek deel van de key opgeslagen, het belangrijke deel, de private sleutel, blijf je zelf in handen houden.
Zoals FreezeXJ ook al aangeeft, het gevaar is dat een stukje software op je computer de private keys verzameld.

Sterker nog, omdat de gemiddelde computer gebruiker echt niet zal weten wat een keypair is, zie ik het wel gebeuren dat mensen sleutels beginnen te uploaden als een (bijvoorbeeld) gespoofde paypal login pagina daarom vraagt.
Op de U2F key die ik gebruik (http://www.amazon.com/Plu...DO-Security/dp/B00OGPO3ZS) zit een speciale cryptografische chip waarin de automatisch gegenereerde private keys worden opgeslagen. Deze verlaten de chip nooit.

Op de server van de website waar je wilt inloggen wordt alleen een unieke public key bewaard, dus per site een andere. Het ondertekenen van aanvragen gebeurt ook op de chip zelf. Je kunt de private key niet uitlezen of uploaden, handmatig noch via kwaadaardige software.

Vandaar dit dit ook niet zomaar op je mobieltje wordt gedaan. Ik vind het een vrij fool-proof manier.
Dan uiteraard wel, in dat geval ben je afhankelijk van een USB-stick, wat prima werkt, denk ik. Echter moeten die dan wel universeel bruikbaar worden, want ik heb geen zin in 20 verschillende keys, omdat ieder bedrijf z'n eigen versie meent te moeten uitbrengen.
Dat er zoveel verschillende versies komen is alleen maar dankzij het fabuleuze systeem van patenten en licenties.
De 'U' in UAF en U2F staat voor universal... oftewel alle usb-sleutels met het FIDO-logo moeten werken voor alle sites die er compatibiliteit mee claimen.
Met een passwoordmanager heb je net dezelfde problemen?
Een goede quote en ook ik zou daarvan uitgaan, maar in het artikel staat toch echt:
Bij gebruik wordt een sleutelpaar aangemaakt en de FIDO-standaard regelt vervolgens de versleutelde opslag van de private sleutel en de publieke sleutel op een server.
En dat baart mij dan zorgen.
Ik heb in de bron nog niet zo snel de precieze opzet terug kunnen vinden.
Juist dit soort informatie is echter cruciaal voor een authenticatiemethode.
Volgens mij klopt dit ook niet. Op de U2F key die ik gebruik zit een cryptografische chip waarin de automatisch gegenereerde private keys worden opgeslagen. Deze verlaten de chip nooit. Op de server van de website waar je wilt inloggen wordt alleen een unieke public key bewaard.
Scherp opgemerkt, dat zal wel een typo zijn ofzo, anders heb je natuurlijk niets aan een keypair
Als ik even verder zoek op het web, lijkt het mij dat het bedoeld is als (wat zijn wiskundige haakjes toch handig om dingen duidelijk te maken ;-)):
Bij gebruik wordt een sleutelpaar aangemaakt en de FIDO-standaard regelt vervolgens (de versleutelde opslag van de private sleutel) en (de publieke sleutel op een server).
Dus de standaard regelt:
  • hoe de private sleutel opgeslagen wordt (op een device dat ook de encryptie en decryptie kan doen, waardoor de private key dat device niet moet en dus ook niet kan verlaten)
  • hoe de publieke sleutel op een server opgeslagen moet worden
De server slaat ook de private key (versleuteld) op, hierdoor heeft het u2f device geen geheugen nodig om keys op te slaan. Een u2f device zonder geheugen is goedkoper en kan op meer websites gebruikt worden.

[Reactie gewijzigd door (id)init op 9 december 2014 18:25]

Goedkoper; waarschijnlijk wel. Op meer sites bruikbaar? De bedoeling is dat je een hardware key voor meerdere sites kan gebruiken. Als je er dus 1 hebt, is die dus (hopelijk) bruikbaar voor alle sites die je bezoekt.
Dat is totdat een of ander virus je de boel ontfutselt... en dat zie ik heel snel gebeuren zodra dit soort methodes bekender worden.
Twofase authenticatie gebruik je juist bij gevoelige gegevens, zoals je acount gegevens.
Dat gaat via een server en je mobiel of ipad of wat voor een keygenerater ook.
Gebruik al jaren een paswoord manager. Maar dit voorstel is veel sterker.
Microsoft verificator op mijn Lumia werkt echt Super samen met mijn mail acount en abo gegevens.
Sms verificatie met mijn onedrive acount en ga zo maar door.
Juich het toe dat dit gestandaardiseerd wordt. Heb te veel apps die dit regelen.
Maar wat nu als ik wil inloggen via mijn PC en niet via mijn mobiel?
Mijn private key staat alleen op mijn telefoon, moet ik dan via de PC niet alsnog via een wachtwoord aanmelden?
Je kan nog altijd alternatieve authenticatie gebruiken.

De yubikey neo laat trouwens toe om NFC te gebruiken, dus die zou je ook voor je telefoon kunnen gebruiken.
Indeed.

Ik vind het vergeten van mijn password juist een zegening.
Want ik herinner mijn e-mail account nog wel. En nu die allemaal altijd gekoppeld zijn (ik heb het lang buiten de deur proberen te houden) is een nieuw password zo aangevraagd.

Ook via MS Hotmail, want dan krijg je een sms opgestuurd.
Voor mij beter dan deze managers. Ik vertrouw ze niet.

Ik zit bij bepaalde services, zoals Google en Hotmail van MS, en dan blijf ik liever slechts bij hen.

[Reactie gewijzigd door HMC op 9 december 2014 17:04]

Zorg er dan wel voor dat je e-mailaccount met twee-factor-authenticatie beveiligd is. Iemand die namelijk op je mailbox inbreekt kan zo'n beetje alle andere accounts resetten.
Hoe is dit precies makkelijker dan een gebuikersnaam en wachtwoord? Je moet nog steeds inloggen EN hardwarematig (dan wel biometrisch dan wel met een dongle) authenticatie uitvoeren? Moet er niet aan denken dat ik elke keer als ik inlog een fysieke handeling uit zou moeten voeren?

Een username/password + password manager is nog steeds veel makkelijker. Drive encrypten met 1 password, alles op auto-login en gassen maar. De enige zorg die je dan hebt als gebruiker is zorgen dat je je computer altijd uitschakeld, wanneer je erachter weg kruipt...
Damn, waarom kan er eigenlijk apart op video's gereageerd worden als deze video's gewoon bij een nieuwbericht horen? Daardoor loopt de discussie langs elkaar heen / op twee plaatsen 8)7

Cross-post: als ik het goed begrijp betekent dit dus dat je biomedische data vertaalt wordt naar een lokaal wachtwoord wat omgezet wordt naar een wachtwoord voor een derde partij die je daarmee vervolgens authenticeert. Eigenlijk dus precies hetzelfde principe als een (lokale) password manager gebruiken, alleen hoef je hiervoor géén wachtwoord te onthouden in plaats van één wachtwoord. Het voordeel van een wachtwoord is wat mij betreft wel dat je die op wat voor tijdstip dan ook kunt veranderen terwijl je je vingerafdruk niet kunt veranderen. Mocht je dus reden hebben om te vermoeden dat iemand jouw vingerafdruk kan simuleren (wat helemaal niet zo moeilijk is) dan heb je weinig mogelijkheden om deze onwenselijke situatie te verhelpen.

Doe mij maar gewoon mijn password manager.

[Reactie gewijzigd door MadEgg op 9 december 2014 16:26]

als ik het goed begrijp betekent dit dus dat je biomedische data vertaalt wordt naar een lokaal wachtwoord wat omgezet wordt naar een wachtwoord voor een derde partij die je daarmee vervolgens authenticeert.
Dit is niet juist. De server geeft je een challenge aan de hand van je public key die je alleen kan oplossen met je private key. Op deze manier authenticeerd de server dat jij het bent. Dit is wel iets anders dan een 'lokaal' wachtwoord. Meer hierover (en waarom je het niet kunt vergelijken met een lokale password manager) kun je (bijvoorbeeld) vinden op wiki: http://en.wikipedia.org/wiki/Public-key_cryptography
Ik ken het principe van public key authenticatie. En dat is wel degelijk te vergelijken met een password manager. Je weet zelf namelijk niet wat het wachtwoord is, je krijgt een bepaalde challenge, een login-formulier, wat je beantwoord met een gegeven gegenereerd door je password manager, een lang, ononthoudbare code. Wat je nodig hebt om bij deze lange ononthoudbare code te komen is je private key, oftewel het master password van je password manager.

Voordeel van public key authenticatie is dat het wat meer geauthenticeerd gaat en bovendien dat het een vorm van encryptie impliceert, maar het concept is in essentie hetzelfde.
Biometrische beveiliging staat los van deze standaard.

Deze standaard kan gebruik maken van biometrische beveiliging, maar het kan ook iets anders zijn.

Als jij geen vingerafdruk wilt gebruiken, zal dat dus ook niet moeten en kan je gewoon een wachtwoord onthouden, of een authkey gebruiken.
als ik het goed begrijp betekent dit dus dat je biomedische data vertaalt wordt naar een lokaal wachtwoord wat omgezet wordt naar een wachtwoord voor een derde partij die je daarmee vervolgens authenticeert.
Je begrijpt het goed maar niet compleet.

Biodata 'kan' een van de authenticators zijn maar als jij dat niet wil kies je iets anders. Dan gebruik je gewoon een wachtwoord zoals je nu doet. Vraag is natuurlijk welke minder hackable is.

Hoe je het ook bekijkt dit nieuwe systeem bied dezelfde voordelen als de huidige systemen maar voegt daar nieuwe opties aan toe die de veiligheid kunnen verhogen. De keuze is aan de gebruiker en dat kan alleen maar goed zijn. Persoonlijk denk ik dat mijn vinger plus het feit dat mijn iPhoen in mijn zak zit een duidelijk betere beveiliging is dan de paswoorden die ik niet onthouden kan en dus moet opslaan.
Kort door de bocht, de authenticatie vind plaats met key pairs.

De public key kun je in principe overal rondspuien zonder problemen. Je kunt de public key van iedere https website ook gewoon downloaden, je browser doet niet anders als hij er verbinding mee maakt.

Vraag is hoe je die private key gaat beschermen. En dat kan op legio manieren. Met een wachtwoord, op je telefoon/schijf/usb stick onversleuteld in de veronderstelling dat niemand er hem ooit af haalt, op een token (welke in principe garanderen dat hij er nooit af kan komen - vraag is echter hoe zeker dat is ;)), op een token beveiligd met biometrische gegevens en legio anderen.

De public key (die gebruikt MS/Google/etc. dus) kan vervolgens een versleutelde challenge naar je sturen welke alleen te ontcijferen is met de private key en zo authenticeer je dan (door de challenge correct te beantwoorden - niet door de private key te sturen dus).

Je kunt je key pair dus gewoon als een wachtwoord zien (iets stricter met name de private key), waarbij de private key in een wachtwoord manager staat welke in principe te beveiligen is op elke gewenste manier. Itt een wachtwoord is zo'n key echter meestal 2048 (meest gangbare tegenwoordig) of soms 4096 bits. Dat zijn extreem lange wachtwoorden :). Een gemiddeld wachtwoord komt niet boven de 30-40 bits of iets dergelijks.
Public key auithenticatie is mij wel-bekend, dat gebruik ik al sinds jaar en dag voor mijn SSH verbindingen. Het principe ken ik dan ook goed, en dat werkt inderdaad prima.

Het filmpje had ik vanmiddag zonder geluid gezien, wat nogal de indruk werkt dat het om vingerafdrukauthenticatie gaat. Nu met geluid hoor ik dat het om het even wat voor authenticatiemethode is. Dat verandert de zaak. Dan nog zie ik geen enkele reden om mijn vingerafdruk te gebruiken, dat is veel te makkelijk om te misbruiken.

Feitelijk is dit dus ook geen innovatie want public key authenticatie bestaat al tientallen jaren. Leuk als het meer gebruikt gaat worden, maar de focus op vingerafdrukken lijkt me onnodig.
Leuk, zo'n offline cryptografische chip met vingerafdruk lezer (al dan niet ingebouwd in mijn toekomstige telefoon): maar als ik deze hardware kwijtraak kan ik nergens meer inloggen.

Nu maar hopen dat ik mijn wachtwoord voor mijn email nog ergens heb, zodat ik de rest weer kan opvragen. Dan heeft het kunnen backuppen van mijn wachtwoordmanager toch een voordeel (beschikbaarheid versus authenticiteit, twee aspecten van information security).
Ik gebruik het al een poosje in de vorm van de Yubikey Neo als Google Security Token. Werkt vlekkeloos. Aanrader!
Ik ook, maar zou nog gelukkiger zijn als Microsoft, nu een jaar lid van FIDO, de daad bij het woord gaat voegen door U2F tokens te ondersteunen bij diensten als Azure en Office365.

Nu heb ik 3 verschillende multifactor toepassingen van Microsoft: de Mult-Factor app voor Azure/Office365, Google Authenticator voor mijn Microsoft account, en dan nog het one time key systeem voor je Microsoft account als je geen pwd wil intikken. Dat moet slimmer kunnen.
, Google Authenticator voor mijn Microsoft account,
Is dat een typefout of echt waar?
Dat is echt waar. Gebruik het ook.
Het is niet gelijk duidelijk hoe je dit moet doen. In eerste instantie wil Microsoft dat je hun auth appje gebruikt, maar je kunt dan opgeven dat je een andere (google) wilt gebruiken.
Deze specificatie zat vooralsnog alleen maar in de testfase. Dus lijkt me logisch dat Microsoft dit dan nog niet integreert op zijn productie-omgevingen. Dat zal ongetwijfeld wel allemaal gaan komen binnenkort.
Je laatste voorbeeld is nu net juist een voorbeeld om geen 2FA te gebruiken, dus is het logisch dat het anders is. O-)

Maar ik ben het op zich wel met je eens dat de MSA (consumenten) en Office 365 (business) systemen dezelfde standaard zouden kunnen gebruiken, zodat beide één app zouden kunnen zijn.
Microsoft heeft meerdere malen gehint op nieuwe baanbrekende authenticatiemogelijkheden in Windows 10. Heb even de bron niet bij de hand, maar volgens mij is straks het in de buurt hebben van je telefoon voldoende om automatisch in te loggen.
ik zou graag mijn telefoon als Security Token willen gebruiken, misschien aansluiten op USB, of liever draadloos..

ik ben erg benieuwd wat voor dingen hier uit gaan rollen

[Reactie gewijzigd door makkie88 op 9 december 2014 16:11]

Bij een aantal diensten kan dit al in de vorm van (bijvoorbeeld) Google Authenticator
Dit is natuurlijk veilig, je private key weet niemand, alleen je public key die gegeneerd is voor de connectie met je ontvanger. Alleen jou ontvanger kan met zijn eigen private key samen met de public key jou packets decrypted. Dit geld ook andersom, jij krijgt de public key van de ontvanger te weten, deze is speciaal voor jou en kan samen met jou private key de packets van de de ontvanger decrypten

In feite gebruik je eigen private key samen met de public key van de ontvanger om een packet te encrypted en omdat je de public key gebruikt van de ontvanger kan hij alleen met zijn private key de packet die jij verstuurd hebt naar hem decrypten.

In dit geval zou jou private je gegeneerd kunnen worden met een algoritme dat biomedische gegevens kan gebruik (deze encryptie is bijvoorbeeld wel maar in een richting mogelijk)

[Reactie gewijzigd door blackmilo op 9 december 2014 16:46]

Echter is dat nog altijd gevoelig voor virussen of andere aftap-opties tussen gebruiker en versleuteling in. Zo lang het versleutelstation kwetsbaar is zijn heel veel methodes gewoon onbetrouwbaar. Daar zul je rekening mee moeten houden, en dat doet dit niet.
Ik vind dit een goede manier om 3-way authenticatie online te standardizeren.

something you know, something you are, something you have,

Je loginnaam invoeren, met je biometrische gegevens je publickey ontgrendelen, en met je device je privatekey gebruiken om de public key te gebruiken..

Ik vind wel dat er dan beter om moet worden gegaan met de loginnaam.

Edit: Bijvoorbeeld bij email is je email adres ook meteen je loginnaam. Dit zie ik liever anders

[Reactie gewijzigd door Thystan op 10 december 2014 10:56]

Dat vind ik dan ook het mooie aan Steam, Je gebruikt je inlognaam maar ingame(/community) naam is anders en mag ook niet hetzelfde zijn als je inlognaam. Daarmee heb je de eerste lijn defentie al staan. :+
Ik vraag me af in hoeverre deze standaard zoveel meer veiligheid oplevert i.v.m. de standaard wachtwoorden?

Security, of authenticatie in het algemeen, kan gebeuren op drie manieren:
1. something you know (een wachtwoord)
2. something you have (een pasje/authenticator/key)
3. something you are (biometrische gegevens)

Met de voorgestelde standaard verschuift men de authenticatie van 1 naar 3; afgezien van de 'chip' zijn de overige opties biometrisch (vingerafdruk, stem, gezicht). Sure, het is moeilijker een vingerafdruk te stelen dan een simpel wachtwoord te raden. Maar de huidige password-managers zijn in staat gecompliceerde wachtwoorden te genereren en gebruiken voor een sterk groeiend aantal services, dus waarom niet dít gebruik stimuleren?

Ik denk dat vooral inlichtendiensten en hackers baat hebben bij deze nieuwe vorm van authenticatie, gezien onze vingerdrukken sinds de nieuwe ID-kaart mooi opgeslagen zijn in een database (ga me niet vertellen dat ze deze goudmijn hebben vernietigd..), GSM encryptie gebroken is en onze telefoon afgeluisterd kan worden om je stem te onderscheppen (of VoIP als alternatieve bron) én sites als Facebook bomvol staat met foto's van onze gezichten. Oftewel, een potentieel werkende match ligt voor het oprapen.

Daarnaast vraag ik me af in hoeverre je de spreekwoordelijke lul bent als je prive sleutel (gegenereerd aan de hand van één van de opties) verliest en/of geconfisceerd wordt? Een ander gezicht aanmeten bij de chirurg? Je handen in het vuur steken? Maar zware shag gaan roken te nadele van je stem?

Ik zie deze standaard niet zozeer als een verbetering van de huidige situatie. Je verschuift het probleem van wachtwoord naar private key. De omgang hiermee (en problemen veroorzaakt) door mensen blijft hetzelfde. Er zal altijd een tweede vorm, van bovenstaande drie methodes, gebruikt moeten worden om een hogere mate van veiligheid te creeeren. Hierbij is 1+2+3 de meest veilige, gevolgt door 1+2.
Dit is geen verschuiving van 1 naar 3. Dit is gebruik makend van 1, 2 of 3 voor toegang tot 2 (de private key) en daarna misschien 1.
Dit is m.i. geen nieuwe vorm van authenticatie, maar een combinatie van 2 methodes, die onafhankelijk van elkaar zijn. Je hoeft dus geen nieuw gezicht aan te meten als je de private key kwijt bent.

Deze standaard is weldegelijk een verbetering van de huidige situatie. Juist omdat je het geheim (de private key) bij jezelf houdt. Je hoeft dus geen (versleuteld!) wachtwoord meer op de slaan aan de server zijde (maar dat kan natuurlijk wel, als extra veiligheid).
UAF verschuift wel degelijk het probleem van 1 (een wachtwoord) naar 3 (een vinger, gezicht of stem).

U2F brengt niks anders dan huidige 2-factor-authenticaties, namelijk een wachtwoord (something you know) en een key (something you have; een private key). Die private key is hetzelde als een authenticator-app op je mobiel, een unieke sleutel. Daarbij is die authenticator nog tijdsgebonden en dus maar tijdelijk bruikbaar. Als je private key gestolen wordt, ben je de lul.

Ten eerste (met UAF) blijft mijn punt dus staan met betrekking tot gestolen of makkelijk te achterhalen biometrische gegevens.

Ten tweede (met U2F) is er geen principieel verschil tussen huidige two-factor-authenticaties en deze nieuwe standaard. Daarnaast blijft het mogelijk via wat voor manier dan ook deze key te achterhalen (spoofed websites, proxies, open-wifi), de gemiddelde internet/computergebruiker is nu eenmaal geen beveiligingsexpert.

Daarnaast is het opslaan van die private key op je mobiel een enorm zwak punt; er sneuvelen nogal wat mobieltjes dagelijks en backups zijn verre van gemeengoed. Wat dan?
UAF verschuift wel degelijk het probleem van 1 (een wachtwoord) naar 3 (een vinger, gezicht of stem).
Het probleem?
Ten eerste (met UAF) blijft mijn punt dus staan met betrekking tot gestolen of makkelijk te achterhalen biometrische gegevens.
Hoe is dat te stelen of makkelijk te achterhalen?
Ten tweede (met U2F) is er geen principieel verschil tussen huidige two-factor-authenticaties en deze nieuwe standaard. Daarnaast blijft het mogelijk via wat voor manier dan ook deze key te achterhalen (spoofed websites, proxies, open-wifi), de gemiddelde internet/computergebruiker is nu eenmaal geen beveiligingsexpert.
Alleen universeler dan, U2F is universal 2 factor.
De private key wordt aan client zijde gebruikt om de challenge te signeren. Er komt dus helemaal geen transport van de private key aan te pas. Veiligheid van de private key is uitermate belangrijk, maar ontfutselen op de manieren die je noemt is onlogisch.
Daarnaast is het opslaan van die private key op je mobiel een enorm zwak punt; er sneuvelen nogal wat mobieltjes dagelijks en backups zijn verre van gemeengoed. Wat dan?
Hetzelfde als je doet wanneer je andere veiligheidskenmerken kwijt raakt.
Maar inderdaad, de bescherming van de private key is uitermate belangrijk. Hoe dat exact geregeld gaat worden weet ik ook niet. Met een PKI lijkt me.
Is het de bedoeling dat je dit naast een normaal wachtwoord gebruikt?
Mijn telefoon, laptop en desktop hebben namelijk niet allemaal de zelfde authenticatie mogelijkheden.
Dekt de kop de lading wel?
Volgens mij is tweetrapsauthenticatie nog steeds naam + wachtwoord (something you know) gevolgd door iets anders (something you have)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True