Google: niet te phishen accounts zonder wachtwoorden zijn de toekomst

Googles visie gaat uit van een toekomst zonder wachtwoorden en accounts die niet kwetsbaar zijn voor phishing. Tweakers sprak hierover met Andreas Türk en Wieland Holfelder op de Google-vestiging in München, waar een grote ontwikkelingstak van het bedrijf is gehuisvest.

wieland holfelder Google maakt geen geheim van het feit dat het af wil stappen van het wachtwoord als centraal onderdeel bij het beveiligen van zijn gebruikersaccounts. Het probleem met wachtwoorden is dat gebruikers vaak slechte wachtwoorden kiezen, die zij ook nog eens op meerdere sites hergebruiken, aldus Holfelder. Het elimineren van deze vorm van inloggen kan niet zomaar, maar moet geleidelijk gebeuren. Voor Google is de volgende stap om over te stappen naar het gebruik van apparaten van gebruikers voor authenticatie.

Zo is het bijvoorbeeld in sommige gevallen al mogelijk om bij een Google-dienst in te loggen en alleen een notificatie op een mobiel apparaat, bijvoorbeeld een smartphone, te ontvangen. Daar komt geen wachtwoord aan te pas. Holfelder is optimistisch dat deze manier van inloggen kan werken voor mensen die nu nog gewend zijn een wachtwoord te gebruiken, omdat vrijwel iedereen inmiddels een smartphone of tablet bezit.

Hij legt verder uit dat de overgang naar een nieuwe vorm van inloggen tijd nodig heeft: "Wij kunnen niet iets bouwen wat alleen voor Google werkt, het moet iets zijn waar alle partijen gebruik van kunnen maken." Zo introduceerde Google op zijn I/O-evenement bijvoorbeeld de Trust-api, die zich volgens Holfelder nog in een experimenteel stadium bevindt. Daarmee kan een Android-toestel een persoon authenticeren met een 'veiligheidsscore' op basis van verschillende elementen, waaronder spraak- en gezichtsherkenning.

Over de keuze voor apparaten als authenticatiemiddel zegt Holfelder: "Het authenticeren bij een apparaat is simpel. Daar zijn inmiddels al verschillende middelen voor, zoals vingerafdrukken of pincodes. Het authenticeren op internet is moeilijker en ik denk dat daar nog geen oplossing voor is gevonden. Het afschaffen van wachtwoorden is in ieder geval een onderdeel van de oplossing." Andreas Türk voegt daaraan toe dat Google in de toekomst gebruikers ertoe wil aanzetten om hun apparaat beter te beveiligen, vanwege de belangrijke rol die het bij authenticatie speelt.

Een begin voor het verdwijnen van wachtwoorden wil Google maken door deze in eerste instantie 'onzichtbaar' te maken voor gebruikers. Dat kan bijvoorbeeld al door een Netflix-wachtwoord in de Chrome-browser op te slaan. Als de gebruiker vervolgens op zijn apparaat inlogt op Netflix, kan Android dat wachtwoord gebruiken via Smart Lock. Door ontwikkelaars op die manier in staat te stellen om authenticatie in apps toe te passen, wil Google zijn eerste stappen zetten.

Deze variant van een wachtwoordmanager kan dan bijvoorbeeld automatisch invulvelden op websites detecteren en de inloggegevens invullen. Dat moet volgens Holfelder voorkomen dat gebruikers hun wachtwoorden op kwaadaardige websites invullen, doordat de browser bijvoorbeeld een url controleert op de juiste karakters. Hij noemt daarbij het voorbeeld van een phishingsite die cyrillische karakters in de url gebruikt, die door het blote oog niet eenvoudig van Westerse letters te onderscheiden zijn.

Een volledige wachtwoordmanager met vergelijkbare functies als LastPass behoort niet tot de plannen van Google. Wel zijn er bètafuncties in Chrome om automatisch een sterk wachtwoord te genereren, maar deze functie staat nog niet op de kaart voor de korte termijn, aldus Holfelder. Hij beargumenteert dat het te maken heeft met het risico dat Google daarmee aangaat: "Als wij het in het begin een keer verkeerd doen, dan vertrouwen gebruikers ons niet meer. Daarom zijn wij wat dat betreft conservatief."

Türk vult aan dat het gebruik van apparaten als login naast het stimuleren van zogenaamde 'federated logins' bij Google op de agenda staat. Deze manier van inloggen omvat de welbekende opties om bijvoorbeeld een Google- of Facebook-account te gebruiken om bij een site in te loggen. Volgens Türk heeft dit het voordeel dat gebruikers niet nog een aanvullend wachtwoord moeten bedenken of een bestaand wachtwoord hergebruiken. Hij ziet wel in waarom gebruikers huiverig zijn: "Hoewel Google alleen de authenticatie afhandelt, zijn gebruikers toch geneigd om niet van deze manier van inloggen gebruik te maken uit privacyoverwegingen. Op dat gebied kunnen wij gebruikers denk ik nog beter voorlichten en zijn er daarom zeker nog verbeteringen mogelijk."

IT-banen

Reacties (55)

Tweekzor 24 november 2016 16:26

Zo is het bijvoorbeeld in sommige gevallen al mogelijk om bij een Google-dienst in te loggen en alleen een notificatie op een mobiel apparaat, bijvoorbeeld een smartphone, te ontvangen. Daar komt geen wachtwoord aan te pas. Holfelder is optimistisch dat deze manier van inloggen kan werken voor mensen die nu nog gewend zijn een wachtwoord te gebruiken, omdat vrijwel iedereen inmiddels een smartphone of tablet bezit.

Deze meneer heeft een hoge pet op van de gemiddelde gebruiker. Een tijd geleden heb ik een scenario meegemaakt bij een klant waar we een phishing-test hebben gedaan. Zij maakten bij het gekozen portaal gebruik van een 2factor oplossing met push notificaties waarbij de gebruiker alleen nog maar op "OK" hoeft te klikken op de melding op zijn telefoon. Na het verkrijgen van wachtwoorden door ons team zijn we begonnen met logins te testen waarbij meerdere gebruikers onnadenkend de melding van de telefoon accepteerden en ons toegang hebben gegeven tot het portaal.

Türk vult aan dat het gebruik van apparaten als login naast het stimuleren van zogenaamde 'federated logins' bij Google op de agenda staat. Deze manier van inloggen omvat de welbekende opties om bijvoorbeeld een Google- of Facebook-account te gebruiken om bij een site in te loggen. Volgens Türk heeft dit het voordeel dat gebruikers niet nog een aanvullend wachtwoord moeten bedenken of een bestaand wachtwoord hergebruiken. Hij ziet wel in waarom gebruikers huiverig zijn: "Hoewel Google alleen de authenticatie afhandelt, zijn gebruikers toch geneigd om niet van deze manier van inloggen gebruik te maken uit privacyoverwegingen. Op dat gebied kunnen wij gebruikers denk ik nog beter voorlichten en zijn er daarom zeker nog verbeteringen mogelijk."

Hier ben ik dan weer minder huiverig om extra data die Google kan verzamelen dan de data die de andere partij ontvangt wanneer ik me authenticeer met mij Google account. Wanneer ik op de betreffende site een account aan maak heb ik de keuze welke gegevens ik wel en niet legitiem invul. Bij federated login kan ik alleen akkoord gaan met het gevraagde dataverzoek of niet inloggen.

dakathefox @Tweekzor • 24 november 2016 16:50

Deze meneer heeft een hoge pet op van de gemiddelde gebruiker. *knip* Zij maakten bij het gekozen portaal gebruik van een 2factor oplossing met push notificaties waarbij de gebruiker alleen nog maar op "OK" hoeft te klikken op de melding op zijn telefoon.

Geen enkel systeem is onfeilbaar en ook dit systeem zal z'n tekortkomingen hebben. Maar het is allicht nog veiliger dan het aloude username + password.

Hier ben ik dan weer minder huiverig om extra data die Google kan verzamelen dan de data die de andere partij ontvangt wanneer ik me authenticeer met mij Google account.

Daar heeft Google dit niet voor nodig. Google weet al lang dat je op de desbetreffende site zit.

Tweekzor @dakathefox • 24 november 2016 16:54

[...]

Geen enkel systeem is onfeilbaar en ook dit systeem zal z'n tekortkomingen hebben. Maar het is allicht nog veiliger dan het aloude username + password.

Klopt, maar de combinatie van wachtwoord en 2factor (liefst zonder push) is sterker dan deze methode. Ik zie niet in waarom we dit zouden vervangen.

[...]

Daar heeft Google dit niet voor nodig. Google weet al lang dat je op de desbetreffende site zit.

Dat is het punt dat ik probeerde te maken inderdaad.

rijk0214 @Tweekzor • 24 november 2016 18:27

[...]

Deze meneer heeft een hoge pet op van de gemiddelde gebruiker. Een tijd geleden heb ik een scenario meegemaakt bij een klant waar we een phishing-test hebben gedaan. Zij maakten bij het gekozen portaal gebruik van een 2factor oplossing met push notificaties waarbij de gebruiker alleen nog maar op "OK" hoeft te klikken op de melding op zijn telefoon. Na het verkrijgen van wachtwoorden door ons team zijn we begonnen met logins te testen waarbij meerdere gebruikers onnadenkend de melding van de telefoon accepteerden en ons toegang hebben gegeven tot het portaal.

Google pakt dit uitgebreider aan. Als de locatie waar je probeert in te loggen onbekend is of/en ze hebben andere signalen dat het niet veilig is krijg je nog een extra challenge waarbij je hetzelfde getal van het inlogscherm op je telefoon moet kiezen. Dus meer dan een simpele phishable oke. Je kunt het zelf eens proberen als je Phone Sign In aan zet: https://myaccount.google....gninoptions/phone-sign-in . Dit is trouwens geen 2-factor maar een complete passwordless login.

[Reactie gewijzigd door rijk0214 op 24 juli 2024 07:57]

Bombay One 24 november 2016 16:01

En wat als je mobieltje gestolen wordt? Heeft de dief dan ook meteen toegang tot al je accounts (en jij zelf niet meer) ?

bigbadbull @Bombay One • 24 november 2016 17:44

En wat als je mobieltje gestolen wordt? Heeft de dief dan ook meteen toegang tot al je accounts (en jij zelf niet meer) ?

of zoals ik regelmatig eens vergeet mee te nemen (gelukkig ligt hij dan meestal thuis).
Dan sta je daar.

dakathefox @Bombay One • 24 november 2016 16:42

Ik mag toch aannemen dat - met alle belangrijke data die je tegenwoordig op je mobiel hebt staan - intussen toch wel een wachtwoord, pincode of vingerafdrukscanner gebruikt?

Bombay One @dakathefox • 24 november 2016 16:58

Grappig... dit hele topic begon juist met het statement dat de meeste wachtwoorden zo onveilig zijn. En nu zijn we toch weer terug bij af en hebben we een wachtwoord nodig om dat was als alternatief van het wachtwoord naar voren wordt gebracht, veilig te maken...

Ik heb toch liever hoe het nu is... nu kan ik voor elk internet account een ander wachtwoord (en als ik dat wil, zelfs een ander email adres) gebruiken. Zelfs als ze dan mijn wachtwoord hacken (of de database van die site), dan hebben ze nog alleen dat ene wachtwoord, voor die ene site.
Maar als ze het wachtwoord van mijn telefoon hacken, dan zouden ze ineens acces hebben op een heleboel verschillende sites. Dat wordt er echt niet veiliger op.

En vingerafdrukscanner... nee dank je. Zoals anderen in dit topic ook al opmerkten... als die gehackt/gecloned worden, dan heb je de rest van je leven een serieus probleem, want je kunt niet zomaar even andere vingerafdrukken gaan gebruiken...

Belsameth @Bombay One • 24 november 2016 18:14

Het verschil is echter, en dit is belangrijk, dat je dan 1 wachtwoord hebt van een mobieltje waar jij de controle over hebt. Dit maakt de kans op lekken kleiner en heeft niet het probleem dat je 295689278356 sterke wachtwoorden moet onthouden.

Voor ons als Tweakers is dat misschien niet zo lastig (Hallo, password manager) maar voor een gewone gebruiker is dat beduidend anders.

Verwijderd @Belsameth • 24 november 2016 20:26

Sorry hoor, maar dit is een buitengewoon slecht idee.

Ja, wachtwoorden zijn vaak zo lek als een mandje.

Maar een telefoon, zeker met de toename van smartphones tegenwoordig, is zelfs nog makkelijker te hacken. Zit er een rootkit of andere malware op je telefoon? Sterkte - die krijg je er niet zomaar af. Is je telefoon gejat? Met USB aansluiten op een PC en je telefoon kan zo gekraakt worden met de juiste tools, en itt tot een desktop (of zelfs laptop) is een mobiele telefoon 'mobiel' en erg gemakkelijk te verbergen.

Zelf gebruik ik mijn telefoon voor 2-staps authorisatie... Maar ik zou nooit puur alleen een mobieltje als authorisatiemiddel hebben. Veels te kwetsbaar.

En vingerafdrukken, irisscans etc voor gewone gebruiksaccounts zal ik al helemaal vermijden als de pest. Te link en privacygevoelig.

Edit: Telefoon, niet account. Blergh

[Reactie gewijzigd door Verwijderd op 24 juli 2024 07:57]

Belsameth @Verwijderd • 29 november 2016 16:44

True, het is echter nog steeds een duidelijke stap vooruit, en voor "gewone gebruikers net zo makkelijk/makkelijker" dan wat er nu is. Dat is vooralsnog het belangrijkste lijkt me.

Hoe graag we het ook zouden willen, een perfecte oplossing die ook nog goed te gebruiken is hebben we gewoon nog niet.
(De meeste telefoons hebben tegenwoordig overigens ook gewoon remote wipe...)

incaz @dakathefox • 25 november 2016 14:04

Ja, maar ik ga er vanuit dat iedereen die dat wil de beveiligingscode van mijn mobiel af kan lezen als men dat wil. Ik heb niet de indruk dat ik die verborgen kan houden, daarvoor gebruik ik 'm simpelweg te vaak, in allerlei contexten waar ook veel anderen zijn.

Iemand die dat wil die let dus eerst even op, en jat dan mijn foon.

dakathefox @incaz • 25 november 2016 17:19

Dan heb je het toestel, maar je hebt altijd nog de login nodig voor de site zelf.

Jewcookie @Bombay One • 24 november 2016 16:12

Het zou handig zijn als je wil inloggen op een site je op je mobiel je vingerafdruk moet scannen bijvoorbeeld.

mkools24 @Jewcookie • 24 november 2016 16:16

Dat klinkt pas super eng. Als je vingerafdruk wordt gejat kun je niet even een nieuwe aan laten zetten.

Jewcookie @mkools24 • 24 november 2016 16:21

Over in hoeverre dat inderdaad veilig is zijn al te veel discussies over gevoerd. Vooralsnog is je vingerafdruk een betere beveiliging dan een slap wachtwoord.

Bombay One @Jewcookie • 24 november 2016 17:06

Het blijft natuurlijk je eigen verantwoordelijkheid om ervoor te zorgen dat je geen "slap" wachtwoord hebt. Maar bij wachtwoorden heb je die keuze tenminste (en je kunt voor elke website een ander wachtwoord kiezen, en dat elke zoveel maanden wijzigen). Met je vingerafdruk heb je geen keuze... je hebt er maar 1, en je zit daar je hele leven aan vast.

[Reactie gewijzigd door Bombay One op 24 juli 2024 07:57]

Ducksy88 @Bombay One • 24 november 2016 17:14

Psst, vingerafdruk kopen? Las dat je er maar 1 hebt.

Ik heb er 10 dus voor de juiste prijs....

InflatableMouse @Ducksy88 • 24 november 2016 17:57

Want dan hak je hem af of zo?

Simyager @InflatableMouse • 25 november 2016 06:49

Tegenwoordig kan je ook je tepels en je '11de vinger'

gebruiken voor authenticatie. Vraag Is natuurlijk of dat wel zo handig is in het openbaar :x

Dus omdat er keuze is betekent dat niet meteen dat dat handig Is. Wachtwoord wijzigen Is nog altijd makkelijker dan steeds een andere vingertje te gebruiken. Op een gegeven moment zijn ze op, ga je dan naar het extreme toe?

Menesis @Jewcookie • 24 november 2016 16:39

Vanuit technisch oogpunt ja.
Maar als je bewusteloos bent werkt je vingerafdruk nog wel, terwijl je dat wachtwoord dan "veilig" in je hoofd zit.

dbDesign @Jewcookie • 24 november 2016 17:06

@Jewcookie

Wat is er "handig" aan online (op een ander apparaat) inloggen als je mobiel uit staat ?
Dan dien je dus "altijd" je mobiel aan te hebben?
Het klink misschien voor jou gek, maar er zijn héél veel mensen die als ze thuis komen blij zijn dat dat kreng uit kan..........

Superkanjo @Jewcookie • 24 november 2016 17:58

Dat is toch al zo met bijvoorbeeld de manier waarop je bij inloggen van bijv. Google account moet accepteren op je smartphone, dat kan niet zonder de telefoon te unlocken, dus vingerafdruk nodig.

batjes

Security

24 november 2016 16:12

Een nieuwe vorm van wachtwoord beheer dus. Ik ben er dus absoluut geen fan van dat ze biometrische gegevens willen gaan gebruiken. Naast dat dat niet zo heel veilig is, als ze die beveiliging kraken, ben je de rest van je leven de lul. Je stem, vingerafdruk of gezicht verander je niet zomaar. Mijn vingerafdruk, stem en gezicht faken is voor iemand met een hetze tegen mij, een stuk makkelijker te realizeren dan Microsoft of Google hacken, of op de door mij gebruikte apparaten een keylogger geinstalleerd te krijgen.

En zoals iemand hierboven al aangeeft, je bent dan dus niet meer anoniem.

mkools24 24 november 2016 15:53

Allemaal leuk en aardig maar als ze de database hacken heb je er nog niks aan en dat gebeurt steeds vaker. Bovendien wil ik nog op sommige sites een 'fake' user account aan kunnen maken, als ik mijn gegevens bijv. niet wil delen (bijv op dubieuze websites).

MadEgg @mkools24 • 24 november 2016 15:56

Precies - dit gaat allemaal uit van unieke persoonlijkheden achter een account. Anonimiteit is een groot goed op het internet, al staat dat lijnrecht tegenover de belangen van Facebook en Google. Geen wonder dat ze dat tegen willen werken dus.

Die laatste opmerking van Türk is wel deels terecht natuurlijk; gelukkig is er nog iets van een kritische blik jegens Google over. Maar los van of ze je wel of niet kunnen volgens (op dit moment), is een dergelijke dienst ook weer iets waarmee Google zichzelf meer wil positioneren als een kritische elementaire dienst binnen het internet waar niemand omheen kan.

SSO-systemen zijn best leuk, maar laten we dan alsjeblieft naar een open aanpak toewerken waarbij het niet 'Sign in using Google / Facebook / LinkedIn / Github' of weet ik wat is, maar 'Sign in using OpenID' waarbij je dan zelf mag uitkiezen wie je OpenID provider is, en dat desgewenst zelf kunt doen. Centrale schakels in dergelijke systemen zijn zeer onwenselijk.

Xubby @MadEgg • 25 november 2016 14:14

Precies - dit gaat allemaal uit van unieke persoonlijkheden achter een account. Anonimiteit is een groot goed op het internet, al staat dat lijnrecht tegenover de belangen van Facebook en Google.

"Het authenticeren op internet is moeilijker en ik denk dat daar nog geen oplossing voor is gevonden. Het afschaffen van wachtwoorden is in ieder geval een onderdeel van de oplossing."

Wat Google, en niet alleen zij maar ook b.v. Facebook en de overheid willen, is afschaffing van "anoniem" inloggen en dat vervangen door officieel geautoriseerd inloggen. De bedrijven wegens commercieel data verzamelen, de overheid wegens afschaffing privacy en data verzamelen. Met al die terroristen (en kinderporno, oh al even niet gelezen) moet je privacy als staat uiteraard volledig willen afschaffen.

Kortom, ik blijf echt wel wachtwoorden gebruiken. Het kan alleen wel zijn dat er een paar website buiten gebruik gaan, maar ach, ik gebruik toch al geen Google en Facebook.
In China zal ik nog wel vrij lang van alles kunnen bestellen zonder me te autoriseren. Daar interesseren ze zich toch niet voor Europeanen.

Yolo @mkools24 • 24 november 2016 16:15

Het aardige van SSO is dat je slechts één wachtwoord hebt, op één plek.
Mocht dit wachtwoord gehacked worden, dan kan men met dit wachtwoord niet op andere plekken inloggen, omdat de inlog tot stand wordt gebracht door middel van een token. Google logt niet voor jou ergens in met een wachtwoord, maar middels een soort overeenkomst tussen de partijen. Je kwetsbaarheid neemt dus enorm af.

bigbadbull @Yolo • 24 november 2016 17:42

het is maar hoe jij het bekijkt.
Het nadeel van SSO is dat je maar 1 account/ paswoord hebt voor tig verschillende sites.
Eens men dat account heeft (dus pswd) dan kan men op tig site inloggen en erger zelfs logins voor jou maken zonder dat je het merkt.
Allemaal gekoppeld aan jouw initieel account.
Stel dat je een goolge account hebt dat gehackt is en jij hebt toegestaan dat je met je google account kan inloggen op Facebook, dan kan men kan dus wel op FB inloggen met je G-account dank zij SSO, men moet enkel die methode proberen, net zoals ze nu je credential proberen op andere sites.
net omdat je G-account reeds compromised is, ligt de weg open naar alle plaasten waar je SSO enabled hebt.

Yolo @bigbadbull • 28 november 2016 15:12

Dat klopt, maar je moet natuurlijk wel een extra authenticatielaag toevoegen. Je moet meer dan alleen een wachtwoord hebben om je toegang te beveiligen. Het gaat om het totaal. Wat je nu beschrijft is nu ook al zo, want de meeste mensen gebruiken het zelfde wachtwoord voor tig verschillende diensten.

Verwijderd @Yolo • 24 november 2016 20:31

Helemaal niet mee eens. Als de initiele account waarmee cross-login gebeurt gehackt wordt, ben je gelijk pleite. Zeker als accounts met geassocieerde 'reele waarde' eraan gekoppelt zitten, is het een heel erg slecht idee.

Het is een ding om je NAW-gegevens te verliezen doordat er een te zwak wachtwoord op stond of de database gehackt werd... Het is wat anders als je vervolgens toegang tot andere accounts ook gelijk verliest.

iAR 24 november 2016 15:59

Interessante ontwikkeling. Ik hoorde toevallig de Numrush podcast hierover.
Momenteel heb je met vingerafdruk scanners (iPhone) dat verificatie van je vinger op het toestel plaats vindt. Vervolgens wordt de passcode die de app nodig hebt ingevoerd.
Je gebruikt dus nog wel een wachtwoord. Andere opties waren gezichten of vingers (?) die via internet gechecked moeten worden, dit lijkt me al weer een stuk minder veilig, aangezien derden die informatie kunnen onderscheppen.
En als laatste, ook al gebruik je een vingerafdrukscanner, als je wachtwoord wordt gehacked kun je nog een nieuwe kiezen die met de zelfde vingerafdruk werkt. Is je gezicht gehacked, dan kun je niet even een nieuwe nemen (tenzij je Marijke Helwegen bent).

poerkiemen @iAR • 24 november 2016 16:14

Hoe kan ik snel een andere vingerafdruk nemen? mijn vingers verbranden?

stresstak @poerkiemen • 24 november 2016 16:52

Hoe kan ik snel een andere vingerafdruk nemen?

Niet. Maar Renzo stelt dat je wel een nieuw wachtwoord kunt koppelen aan dezelfde gebruikte vingerafdruk.
Of een nieuw wachtwoord koppen aan een andere vinger.

bigbadbull @poerkiemen • 24 november 2016 17:45

heel snel, je hebt toch 10 vingers ;-)

0b1 24 november 2016 15:56

Wel of geen wachtwoorden, de zwakste schakel in heel het verhaal blijft altijd de gebruiker hoedat hij met zijn gegevens en apparatuur omgaat.

HetGezegde @0b1 • 24 november 2016 15:59

De gebruiker, maar ook het bedrijf dat deze wachtwoorden opslaat. Zo kon ik prima een heel sterk wachtwoord kiezen voor bijv. Yahoo (onlangs wachtwoorden van gestolen) en dit bijv. elke zoveel maanden veranderen. Doe ik als gebruiker niks aan.

ComputerHoed @0b1 • 24 november 2016 16:03

Human error inderdaad. $_/-\o_$

Dorank 24 november 2016 16:13

Het mooie van het "huidige" username/wachtwoord systeem is dat het allemaal losse, niet gekoppelde diensten zijn. En dat houd ik graag zo, ik heb al een gruwelijke hekel aan je telefoonummer is je login, oa omdat dat privacy gevoelige informatie lekt die ik niet wens te delen en dat ik opeens afhankelijk heb van 1 device.

gekkie 24 november 2016 16:26

Het probleem met wachtwoorden is dat gebruikers vaak slechte wachtwoorden kiezen, die zij ook nog eens op meerdere sites hergebruiken, aldus Holfelder.
[..]
Over de keuze voor apparaten als authenticatiemiddel zegt Holfelder: "Het authenticeren bij een apparaat is simpel. Daar zijn inmiddels al verschillende middelen voor, zoals vingerafdrukken of pincodes.

Errrrr een pincode is een wachtwoord, alleen het aantal mogelijk karakters is nog beroerder dan bij een vrij wachtwoord. Daarnaast vertrouw ik geen systeem waarin niet iets zit wat ik moet "weten". Alle systemen die alleen maar uitgaan van "iets hebben", waarbij dat gene wat je hebt ook nog eens onveranderbaar is, gaat niet op schieten als het gecompromitteerd wordt.

Vexxon 24 november 2016 17:12

Zolang ze er maar voor zorgen dat ik niet overal automatisch ben ingelogd met een apparaat en alleen inlog wanneer ik daarvoor kies en makkelijk kan uitloggen.
Ik vermoed dat Google dit wil om mensen nog makkelijker te tracken.

Nokian95dude @Vexxon • 24 november 2016 19:28

daar kan je zelf voor zorgen... Verder denk ik niet dat dat een reden is... En bovendien daarnaast kan je je daartegen wapenen...

EngineerCoding 24 november 2016 18:05

De beveiliging zal nooit optimaal zijn, aangezien lang niet alle websites wachtwoorden of andere vormen van identificatie niet correct opslaan. Vandaag kreeg ik nog m'n plain text wachtwoord toegemailed, en wilde ik mijn wachtwoord naar iets sterkers veranderen kon dat niet eens! De zwakste schakels zijn beide de developers en gebruikers. Al hoop ik wel te achten dat een developer hoort te weten hoe je een wachtwoord moet opslaan... Blijkt dus niet zo

SirBlade @EngineerCoding • 25 november 2016 05:46

Die dev zal best weten hoe het moet. Maar hij heeft toestemming nodig van de eigenaar/werkgever om zaken aan te passen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (55)

Sorteer op:

Weergave: