W3C brengt WebAuthn-api voor vervanging van traditionele wachtwoorden dichterbij

Het W3C heeft de WebAuthn-standaard tot Candidate Recommendation gepromoveerd en roept op tot implementatie. De standaard moet traditionele wachtwoorden vervangen en het mogelijk maken om, bijvoorbeeld in de browser, te authenticeren met een vingerafdruk of extern apparaat.

De organisatie meldt dat bedrijven als Mozilla, Google en Microsoft zich achter de nieuwe standaard scharen en deze in hun browser implementeren. Firefox schakelt WebAuthn-ondersteuning bijvoorbeeld standaard in vanaf versie 60; Chrome is van plan dat in versie 67 te doen. De status van Safari is onbekend, al maakt Apple wel deel uit van de gerelateerde werkgroep. De W3C-specificatie, die een api beschrijft, vermeldt een aantal verschillende use cases, zoals authenticatie met behulp van een geregistreerde telefoon. Als een gebruiker bijvoorbeeld op een pc een website bezoekt, wil inloggen en ervoor kiest dat met zijn telefoon te doen, krijgt hij een notificatie op zijn toestel waarna hij bijvoorbeeld met zijn vingerafdruk of een pincode het authenticatieproces kan doorlopen.

Het idee is dat authenticatie plaatsvindt op basis van publiekesleutelcryptografie, waarbij de sleutels op de authenticator zijn opgeslagen. De specificatie noemt de mogelijkheid dat de sleutel zich op hetzelfde apparaat bevindt als de user agent, bijvoorbeeld in de vorm van een trusted platform module op een laptop of een secure element op een mobiele telefoon. Dit scenario is ook denkbaar met andere apparaten, zoals een usb-authenticator. Volgens het consortium speelt hierbij het Client to Authenticator Protocol, oftewel Ctap, een rol. Dat beschrijft de communicatie via usb, bluetooth of nfc.

Gebruik van WebAuthn moet het voordeel ten opzichte van traditionele wachtwoorden hebben dat er betere bescherming is tegen phishing, het onderscheppen door middel van een man-in-the-middleaanval en het gebruik van uitgelekte logins door kwaadwillenden.

De huidige standaard is het resultaat van een collaboratie tussen de FIDO Alliance en het W3C. FIDO, wat staat voor Fast IDentity Online, is in 2012 opgericht om tot een open, interoperabele en schaalbare reeks mechanismen te komen die vervanging van wachtwoorden voor onlineauthenticatie mogelijk moeten maken. WebAuthn en Ctap maken allebei deel uit van het FIDO2-project. De oorspronkelijke indiening bij W3C vond in 2015 plaats, waarbij de alliantie voortbouwde op UAF en U2F, die in 2014 werden afgerond.

IT-banen

Reacties (85)

Anoniem: 84766 11 april 2018 11:50

De status / ontwikkeling voor Safari is hier te volgen: https://bugs.webkit.org/show_bug.cgi?id=181943

MadEgg

Wachtwoord

11 april 2018 11:32

Publiekesleutelcryptografie klinkt prima. Ik hoop wel dat de genoemde 'secure components' niet vereist zijn in deze spec. Ik vertrouw geen gesloten componenten in mijn apparaat en de TPM-module in mijn laptop zet ik dan ook altijd uit. Ik ben zelf prima in staat om mijn wachtwoorden en apparaten goed te beheren op basis van open source software.

In ieder geval een goed streven om 2FA via een standaard te doen, die door de browser gefaciliteerd wordt en niet door de service.

Eagle Creek

@MadEgg • 11 april 2018 11:37

Als security adept doet jouw bericht mij een beetje pijn. Ik denk dat ik wel begrijp waar het vandaan komt.

Het principe van geheimen opslaan in hardware (of dit nu een hsm, tpm, se/sim of andere gelijksoortige oplossing is), is dat deze zelfstandig in staat is de geheimen te beschermen en, afhankelijk van het beschermingsniveau, pogingen tot misbruik aan te tonen en/of data zelfs fysiek en onherstelbaar te wissen. De hardware is hiertoe in staat omdat het niet beïnvloed kan worden van buitenaf of een hogere "laag" waardoor het autonoom bescherming kan bieden.

Software heeft deze vorm van zelfbescherming niet. Het kan altijd door een hoger niveau (ultiem: hardware) worden beïnvloed. Zowel bescherming als detectie kunnen ultimo worden omzeild. Denk bijvoorbeeld aan het opslaan van een encryptie-sleutel op een schijf, die fysiek uit een machine kan worden gehaald om daar te worden uitgelezen. Het opslaan van keys in software ipv hardware is daarmee een groter risico.

Waar jij op lijkt te doelen m.i. is dat je de makers van de hardware niet vertrouwt. Maar dat is een algemeen probleem: aan wie of wat vertrouw jij je geheimen toe. En dat is een probleem dat ook op kan treden bij open source : het is niet per definitie veiliger dan closed source. Het feit dat iedereen in staat is te kijken en te oordelen, betekent niet dat dit ook gebeurt. Daar zijn ook voorbeelden van. bekend. Absolute zekerheid bestaat ook hier niet.

Als je niet vertrouwt op hardware uit Amerika bijvoorbeeld, is het dan een idee om een DeutschlandHSM aan te schaffen, omdat de Duitsers de Amerikanen ook niet vertrouwen?

Het punt dat ik wil maken: het is meer dan goed en lovenswaardig dat je kritisch bent en nadenkt over wat jou bescherming kan bieden. Echter is het denk ik op aarde in 2018 ook een zaak van "choose your battles". Ik ben op dit moment van mening dat mijn key in een TPM veiliger staat dan in software. Betekent dit dat ik dan 100% overtuigd ben dat er niemand is die (bijvoorbeeld met een achterdeur) hierbij kan? Nee, zeker niet. Maar ik denk wel dat de moeite die het kost om er nu bij te komen voldoende is voor het beschermingniveau wat ik wil bereiken. Als ik naar disk encryptie kijk: de persoon die mijn laptop vindt in de trein. Als ik naar crypto currency kijk: kwaadaardige software. Als ik naar privacy kijk: apps met autorisaties. Ben ik daarmee beschermd tegen elke kwaadwillende grootmacht? Waarschijnlijk niet.. Zou ik dat zijn door open source software te gebruiken? Ik denk waarschijnlijk ook niet

[Reactie gewijzigd door Eagle Creek op 22 juli 2024 22:18]

MadEgg

Wachtwoord

@Eagle Creek • 11 april 2018 11:54

De hardware is ook voorzien van software, anders zou het niets doen. Die software is niet open source en ik heb er geen directe toegang toe. Ik kan niet zien wat die software met mijn gegevens doen. Ik kan niet weten dat de NSA of de AIVD zonder problemen toegang kan krijgen om mijn encryptie ongedaan te maken.

Een hardwarematige oplossing is prima, maar dan wel een volledig open oplossing waarbij ik zelf volledig inzicht en controle heb over de software die erop draait.

Software heeft deze vorm van zelfbescherming niet. Het kan altijd door een hoger niveau (ultiem: hardware) worden beïnvloed. Zowel bescherming als detectie kunnen ultimo worden omzeild. Denk bijvoorbeeld aan het opslaan van een encryptie-sleutel op een schijf, die fysiek uit een machine kan worden gehaald om daar te worden uitgelezen. Het opslaan van keys in software ipv hardware is daarmee een groter risico.

De schijf kan fysiek verwijderd worden. Er zou dus ook nooit een decryptiesleutel as-is op een schijf moeten staan. De schijf zelf kan encrypted zijn met een andere sleutel. Of de private key is encrypted dmv een passphrase. Of beide. Dan is altijd dat stukje informatie nodig, die passphrase, die zich alleen in mijn hersenen bevindt. In principe is niet uit te sluiten dat op termijn ook daar die sleutel uit uitgelezen kan worden maar zover zijn we nog lang niet. Dus een stuk veiliger dan een gesloten chipje waarvan we niet weten wie er toegang tot kan krijgen.

[Reactie gewijzigd door MadEgg op 22 juli 2024 22:18]

The Zep Man

Internet

@MadEgg • 11 april 2018 12:52

Die software is niet open source en ik heb er geen directe toegang toe.

Het ontwerp van de TPM is net zo openbaar als de broncode van open-source software. Bij open-source software weet je niet of de binaire data die je gebruikt echt uit die broncode komt, tenzij je het zelf compileert. Alles zelf compileren is onmogelijk*, net als dat het onmogelijk is om je eigen hardware volledig te maken.

Je hebt een punt dat het lastig is te vertrouwen, omdat de software op de chip zelf niet open is. Wel zijn er use cases waarbij de TPM als aanvullende beveiliging gebruikt kan worden in plaats van vervangend. In het ergste scenario zorgt een TPM niet voor beveiliging, maar kan het ook geen beveiliging wegnemen. Hierdoor kan een TPM alleen maar beveiliging toevoegen (ook al hoeft het dat niet te doen). Hierdoor hoef je de TPM niet te vertrouwen.

Vertrouw jij verder je BIOS, als je geen Core/Libreboot draait? En hoe zit het met de microcode op je CPU? En de firmware van je Ethernet controller en je wireless card? En de firmware van je HDD/SSD?

*Die compiler waarmee je iets compileert... Die heb je niet zelf gecompileerd. En al heb je dat wel gedaan, dan heb je die compiler daarvoor mogelijk niet zelf gecompileerd... En die kernel waarmee je je PC initieel opstartte?

[Reactie gewijzigd door The Zep Man op 22 juli 2024 22:18]

MadEgg

Wachtwoord

@The Zep Man • 11 april 2018 13:00

Je noemt allemaal general purpose toepassingen. Theoretisch kan je daarmee best dingen afvangen en lekken creëren, maar daar moet je wel heel specialistisc mee te werk gaan om iets te ontfutselen. Ik draai waar mogelijk open source software. Je ontkomt helaas niet volledig aan closed source blobs. Maar voor iets essentieels als encryptie en opslag van sleutels ga ik daar geen concessies aan doen. Dat moet gewoon open zijn, anders vertrouw ik het niet.

Het is te testen en te valideren dat een encryptielibrary precies volgens de specificatie de encryptie toepast en dat de versleutelde gegevens alleen via de juiste sleutel te ontsleutelen zijn. Ook als de gecompileerde code een black box is. Daarmee heb je de sleutel in eigen beheer.

TPM zou wat mij betreft op zijn best een aanvulling mogen zijn op de encryptie, maar nooit alleen afdoende om de encryptie en beveiliging ongedaan te maken. Ik wil altijd zélf nog een wachtwoord moeten ingeven voordat er ook maar iets gedaan kan worden.

Neem bijvoorbeeld BitLocker op Windows - dat suggereert dat je geen wachtwoord nodig zou hebben als je een TPM-module hebt, omdat de sleutel dan 'veilig' in je hardware wordt opgeslagen. Dat is in mijn ogen niet meer dan een schijnveiligheid. Omdat mogelijk instanties als de NSA er zonder blikken of blozen de sleutel uit zouden kunnen halen.

[Reactie gewijzigd door MadEgg op 22 juli 2024 22:18]

The Zep Man

Internet

@MadEgg • 11 april 2018 15:04

Neem bijvoorbeeld BitLocker op Windows - dat suggereert dat je geen wachtwoord nodig zou hebben als je een TPM-module hebt,

Voor BitLocker onder Windows zijn er meerdere use cases. Je kan het met een wachtwoord gebruiken, maar dat hoeft niet. Ook zonder wachtwoord voegt het beveiliging toe, hoewel het natuurlijk minder is als met wachtwoord. Lees je in over vertrouwd opstarten. Nee, het is geen ultieme oplossing voor alle beveiligingsproblemen, maar het is een extra stukje beveiliging. Dat kan je overigens ook met Linux i.c.m. dm-crypt/LUKS, op een zodanige manier dat de TPM alleen maar beveiliging kan toevoegen.

omdat de sleutel dan 'veilig' in je hardware wordt opgeslagen. Dat is in mijn ogen niet meer dan een schijnveiligheid. Omdat bijvoorbeeld de NSA er zonder blikken of blozen de sleutel uit kan halen.

Je zet het neer als feit, maar het is een aanname dat de NSA zonder blikken of blozen sleutels uit een TPM kan halen.

MadEgg

Wachtwoord

@The Zep Man • 11 april 2018 16:20

[...]
Voor BitLocker onder Windows zijn er meerdere use cases. Je kan het met een wachtwoord gebruiken, maar dat hoeft niet. Ook zonder wachtwoord voegt het beveiliging toe, hoewel het natuurlijk minder is als met wachtwoord. Lees je in over vertrouwd opstarten. Nee, het is geen ultieme oplossing voor alle beveiligingsproblemen, maar het is een extra stukje beveiliging. Dat kan je overigens ook met Linux i.c.m. dm-crypt/LUKS, op een zodanige manier dat de TPM alleen maar beveiliging kan toevoegen.

Sterker nog, BitLocker kan wel met wachtwoord maar het wordt je niet makkelijk gemaakt. Ik moest met GPOs aan de slag om een wachtwoord in te kunnen stellen, want die optie wordt standaard niet aangeboden.

En die chain of trust bij opstarten is een wassen neus zolang Microsoft aan de top staat. Ik draai geen MS software dus dat biedt me gewoon geen enkele extra zekerheid, aangezien ik MS niet vertrouw. Als ze het systeem omgooien en vooraf geen enkele sleutel per definitie vertrouwen wordt het een ander verhaal. Bij boot wil ik gewoon een bericht krijgen: onvertrouwde sleutel met fingerprint <FINGERPRINT>. Wilt u deze vertrouwen?

Je zet het neer als feit, maar het is een aanname dat de NSA zonder blikken of blozen sleutels uit een TPM kan halen.

True, ik heb mijn bericht aangepast. Het zou me niets verbazen, maar zeker weten kan ik het niet.

The Zep Man

Internet

@MadEgg • 12 april 2018 06:41

En die chain of trust bij opstarten is een wassen neus zolang Microsoft aan de top staat.

Ik praat niet over Secure Boot. Ik praat over het vertrouwd opstarten met enkel de TPM, (mogelijk) zonder Secure Boot. Dat kan ook met Linux, zonder dat Microsoft aan de top staat. En dat kan ook zonder dat je enkel afhankelijk bent van de TPM i.c.m. LUKS/dm-crypt. Lees je wat meer in.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 22:18]

robvanwijk @MadEgg • 11 april 2018 15:30

Het is te testen en te valideren dat een encryptielibrary precies volgens de specificatie de encryptie toepast en dat de versleutelde gegevens alleen via de juiste sleutel te ontsleutelen zijn. Ook als de gecompileerde code een black box is.

In theorie: ja. In praktijk: nee, zo simpel is het helaas niet. Ook een library die bij elke input altijd precies de goede output genereert (niet dat je alle input kan controleren, maar dat terzijde), kan kwetsbaar zijn voor een side-channel aanval (zoals timing aanvallen) of een backdoor bevatten (zoals Dual_EC_DRBG). En om het echt feest te maken: dat is zelfs zo als het geen black box is maar je zelf de source gecompileerd hebt (en zelfs als je een compiler gebruikt waarvan je op de één of andere manier hebt vastgesteld dat die "schoon" is, zodat je je geen zorgen hoeft te maken om "Reflections on Trusting Trust").

Omdat bijvoorbeeld de NSA er zonder blikken of blozen de sleutel uit kan halen.

Dat is bij mijn beste weten nooit aangetoond (ook niet in de data die door Snowden naar buiten is gebracht). Als je met die mogelijkheid rekening wilt houden: prima, geen enkel probleem. Als je het hier neer wilt zetten alsof het een feit is: citation needed.

MadEgg

Wachtwoord

@robvanwijk • 11 april 2018 16:17

Geen feit - het is closed source dus ik kan het niet weten. Het zou me niets verbazen. Maar ik heb mijn bericht aangepast.

En je hebt natuurlijk gelijk dat de veiligheid niet 100% te bewijzen is, net zo min als de onveiligheid. Maar in principe is de werking van een encryptieprotocol aan te tonen zonder de broncode te zien. Voor de veiligheid van een black box opslagsysteem voor credentials geldt dat niet.

R4gnax @MadEgg • 11 april 2018 20:32

Geen feit - het is closed source dus ik kan het niet weten. Het zou me niets verbazen. Maar ik heb mijn bericht aangepast.

State-actors kun jij je als gewone consument nooit effectief tegen wapenen. Mochten ze jouw key-encryptie niet kunnen kraken of omzeilen, dan hebben ze wel de man-power en know-how om aan de server-zijde bij een dienst binnen te dringen en je daar te pakken.

Waar het met deze technologie voornamelijk om gaat is om de gewone man beter te wapenen tegen ordinaire cyber-criminaliteit.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:18]

t link @The Zep Man • 12 april 2018 09:11

Ik ben het niet helemaal eens dat in het ergste geval een TPM niks doet, want schijnveiligheid is ook gevaarlijk omdat de gebruiker er dan anders mee om gaat "want het is toch beveiligd". nu kan je zeggen: ja maar dat moeten ze gewoon niet doen!. maar zo werken mensen nou eenmaail niet. cybersec tegenwoordig is grotendeels gefocussed op hoe voorkom ik dat mensen domme dingen doen. netzoals pop ups van virusscanners, je kan voor elk verdacht dingetje een pop up met een toestaan of niet vraag doen, maar als daar heel veel false posetives tussen staan is iemand altijd meer geneigd om op ja te drukken zonder in acht te nemen wat het nou echt is omdat de pop up irritant begint te worden.

[Reactie gewijzigd door t link op 22 juli 2024 22:18]

krissiekris @Eagle Creek • 11 april 2018 11:45

Op die hardware draait ook software toch?

Dorank @krissiekris • 11 april 2018 12:11

Er zijn opensource smartcards op de markt (bv openpgp cards)

Milmoor

@Dorank • 11 april 2018 12:50

https://www.themooltipass.com bijvoorbeeld.

EraYaN @Galan • 12 april 2018 04:57

Weet je wel wat een TPM is/doet? Het feit dat de firmware niet op de hoofd CPU draait is al genoeg voor het eerste level isolatie.

cdwave @MadEgg • 11 april 2018 15:58

TPM modules in PCs en met name laptops hebben een slechte reputatie omdat ze worden ingezet om ervoor te zorgen dat bepaalde devices bijvoorbeeld alleen onder een bepaald commercieel OS draaien. Vaak in combinatie met een UEFI BIOS die allerlei interessante - niet altijd opzettelijke - achterdeurtjes bevat.
Verder heb je eigenlijk niks aan een ingebouwde TPM in een laptop, voor authenticatie kun je ook een USB key of smartcard gebruiken met dezelfde functie.

In combinatie met dit artikel lijkt het wel een opzetje om te doen alsof die TPM iets is waar de gebruiker wat aan heeft.

T0mBa 11 april 2018 12:35

Nu wordt ons al jaren op het hart gedrukt om toch maar op elke plaats een ander wachtwoord te gebruiken zodat één veiligheidslek niet àl je accounts kan besmetten.
En "dezelfde" security specialisten willen nu dat we overal met één systeem inloggen, met één manier van authenticatie, en door via vingerafdrukken dan ook nog eens met een authenticatiemiddel dat je nooit meer kan wijzigen.

Ik kan toch niet de enige zijn die dit ongelooflijk hard ziet fout lopen?

R4gnax @T0mBa • 11 april 2018 20:01

Verdiep je eens in de materie voordat je zulk verschrikkelijk overtrokken foutieve conclusies gaat trekken.

Het soort fysieke sleutels dat je hiermee kunt gebruiken hoeft helemaal niet van een vingerafdruk afhankelijk te zijn. Je kunt ook een sleutel hebben die bijv. met een pin-code ontsloten wordt.

En je kunt ook meerdere sleutels hebben met meerdere pin-codes. Bijv. eentje die je bij je draagt met je dagelijkse troep; eentje met je werkgerelateerde zaken die je enkel in goedgekeurde systemen steekt; en eentje voor het zware spul, die je thuis lekker in de kluis legt en enkel in een vertrouwd thuis-systeem steekt. Alle drie met een andere 'master' pin-code.

Stuk makkelijker te onthouden dan een hele slurrie wachtwoorden; een stuk sterker en moeilijker te kraken; en een stuk veiliger bewaard dan een password-manager.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:18]

CPOMendez 11 april 2018 11:35

Dit zou wel een mooie richting zijn, in principe gewoon 2FA. Dan hoef ik hopelijk ook niet 5000 wachtwoorden te onthouden.

Totdat je je mobiel of USB stick kwijtraakt.

aliencowfarm @CPOMendez • 11 april 2018 11:48

Ik zie niet waarom dat een probleem zou moeten zijn. Men zou bij implementatie meerdere opties voor authenticatie kunnen in bouwen. Waarom zou je niet meerdere 2FA devices kunnen registeren?

CPOMendez @aliencowfarm • 11 april 2018 11:50

Het zou goed mogelijk zijn dat dit systeem de mogelijkheid bied om meerdere 2FA devices te registreren. In dit geval ben ik uitgegaan van mijn huidige ervaringen met 2FA (bv Steam) waarbij ik weleens mijn oude telefoon kapot was gegaan, en ik vervolgens best wat moeite moest doen om alles over te zetten.

280562 @CPOMendez • 11 april 2018 12:49

Wat als je je auto-sleutels verliest ?
Ook een gedoe.
Tenzij je 2 setjes auto-sleutels hebt.

Kan hier ook.
Zo'n USB dingetje hoeft maar een paar euro te kosten.
Koop je er 3 of 4.
Zet je allemaal dezelfde private key op.
Klaar.

robvanwijk @280562 • 11 april 2018 15:33

Zo'n USB dingetje hoeft maar een paar euro te kosten.
Koop je er 3 of 4.
Zet je allemaal dezelfde private key op.

Ehm, kan dat wel? Ik dacht dat die dingen werkten met een physically unclonable function (die dus per apparaat uniek is, niet eruit te halen is en niet op een andere te installeren is), in plaats van met een private key...?

280562 @robvanwijk • 11 april 2018 16:05

Dat zou kunnen.
Ik zou dat dom vinden. Dan is inderdaad een verloren sleutel een ramp.
Je moet altijd een backup optie hebben.
Anders is zoiets niet bruikbaar in de praktijk.

Je kunt zo'n USB ding ontwerpen dat er je wel een nieuw private/public key-pair in kunt installeren. Maar dat je het er nooit meer uit kunt halen. Dat zou goed genoeg moeten zijn. Dan leg je een papiertje met de gegeschreven keys in je kluis.

robvanwijk @280562 • 11 april 2018 16:38

Ik zou dat dom vinden.

Da's lekker genuanceerd... Het is onhandig dat jijzelf geen backup kunt maken, maar het is tegelijkertijd een enorm voordeel dat iemand anders ook geen kopie kan maken. Als jij jouw apparaatje in je hand hebt (soms is het wel mogelijk om te sleutel eruit te halen als je het ding openbreekt en met enge chemicaliën en electronenmicroscopen aan de slag gaat), dan weet je zeker dat niemand anders toegang tot die sleutel heeft.

Je moet altijd een backup optie hebben.
Anders is zoiets niet bruikbaar in de praktijk.

Nee, als je een mogelijkheid hebt om (zonder dat apparaatje!) een nieuwe te laten koppelen (bijvoorbeeld door fysiek bij de helpdesk langs te gaan en je paspoort / medewerkerspasje te laten zien), dan is er geen enkel probleem. Zoiets op een veilige manier doen bij een onlinedienst (waar je niet langs kunt gaan) is natuurlijk wel lastiger.

R4gnax @280562 • 11 april 2018 19:37

Koop je er 3 of 4.
Zet je allemaal dezelfde private key op.
Klaar.

Nog afgezien van het feit dat dit bij veel apparatuur als mate van bescherming by design niet kan, is dit natuurlijk olie- en olie-dom.

Als je een USB-sleutel kwijt bent geraakt, vrolijk met een kloon verder gaan? Dat komt op hetzelfde neer als je wachtwoord niet wijzigen nadat er een datalek gerapporteerd is. Nou; eigenlijk nog een graatje erger; want al je wachtwoorden liggen dan op straat...

Als daarnaast het apparaat in kwestie niet alleen autorisatie maar ook identificatie afhandelt, zijn de rapen helemaal gaar. Dan kan ieder willekeurig persoon die zo'n sleutel in handen heeft, ineens overal bij -- zonder verdere accountgegevens te moeten weten.

Nee; als jij je sleutel kwijtraakt, dan heb jij een mooi velletje afgedrukt en wel in jouw kluis liggen met een masterkey die als eenmalige nood-reset code gebruikt kan worden om alle eerder uitgegeven toegang te blokkeren en daarna een nieuwe sleutel te koppelen.

Dat is hoe het moet. En ook hoe idd. een partij als Steam het correct implementeert.

Wat Steam dan wel weer slecht doet, is enkel officieel dit soort authenticatie via hun eigen smartphone app te bieden. Fysieke hardware-sleutels zouden ook gewoon mogelijk moeten zijn. Hopelijk worden ze dat met WebAuth ook.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:18]

finlaydag33k 11 april 2018 12:59

Dus hopelijk niet langer het probleem dat mensen 100x hetzelfde wachtwoord gebruiken

Nu word het dus 100x hetzelfde apparaat gebruiken...
Though ik hoop dat sites niet vergeten een backup inlog te maken voor het geval iemand zn telefoon gejat word...
zal niet de eerste keer zijn dat iemand niet in zijn account komt omdat ie 2FA aan had staan en zn device kwijt raakte..

Stoelpoot 11 april 2018 11:45

Ik zie nog niet helemaal hoe dit echt van wachtwoorden af komt. Dit soort authenticatie bestaat al langer (hoewel niet gestandaardiseerd, wat erg mooi is), maar uiteindelijk ligt er alsnog een wachtwoord tussenin.

CPOMendez @Stoelpoot • 11 april 2018 11:49

Wat ik uit de tekst opmaak, is dat het de mogelijkheid bied om in te loggen met een Username, waarna je het verifieert via een externe bron. Op zo'n manier word het daadwerkelijk invoeren van het wachtwoord omzeilt.

Uiteraard kan ik er compleet naast zitten, en is dit gewoon inloggen met username en pass, en daarna via een andere bron verifiëren. In dat geval heb je gelijk

Stoelpoot @CPOMendez • 11 april 2018 11:56

Wat je zegt klopt, maar het verleden heeft uitgewezen dat dat onmogelijk is.

Er is tot nu toe nog geen enkele manier die een login kan herstellen na het verliezen van inloggegevens die niet van wachtwoorden afhankelijk is. Elk alternatief is een supplement, waar het wachtwoord uiteindelijk nog steeds kan worden gebruikt om dit te omzeilen.

Dorank @CPOMendez • 11 april 2018 12:07

Wat ik uit de tekst opmaak, is dat het de mogelijkheid bied om in te loggen met een Username, waarna je het verifieert via een externe bron. Op zo'n manier word het daadwerkelijk invoeren van het wachtwoord omzeilt.

En hoe unlock je die externe bron? Als je daar geen wachtwoord/PIN ("iets wat je weet") hoeft in te voeren is het uiterst onveilig. Immers als je je externe bron kan unlocken met "iets wat je hebt" zoals biometrische kenmerken die bv wel gecopieerd maar niet gewijzigt kunnen worden of waar een derde partij heel simpel toegang toe kan krijgen, is dat niet bepaald veilig te noemen.

Als puut 2FA is dit een overbodig complexe specificatie. TOTP is daar goed genoeg voor (en uiterst simpel te implementeren).

FuriousKiwi @Stoelpoot • 11 april 2018 11:48

Mogelijk kan het wachtwoord dan als stap er tussenuit. en hoef je alleen een username te onthouden ( wat vaak je e-mail is) en dan in plaats van een wachtwoord onthouden hoef je alleen je vingerafdruk te scannen op je telefoon bijvoorbeeld, en dan een OTP (One Time Password) van bijvoorbeeld een authenticator app in te voeren.

Te veel websites en pogramma's hebben geen ondersteuning voor 2FA helaas. alles wat 2FA heeft gebruik ik ook hetzelfde wachtwoord voor omdat de beveiliging daarvan in mijn 2FA zit. maar dat is mijn voorkeur. ( ik onthou niet graag 50 wachtwoorden

)

Anoniem: 890159 @FuriousKiwi • 11 april 2018 11:53

Alsof dat voor de meeste wachtwoorden wat uitmaakt. Als mijn tweakers.net wachtwooprd zou uitlekken kan me niet veel gebeuren, hooguit moet ik met de redactie iets rechtbreien als iemand uit mijn naam allerlei mensen beledigd heeft of zo.

FuriousKiwi @Anoniem: 890159 • 11 april 2018 11:57

Voor tweakers wel. dig-id is een ander verhaal, of werkgerelateerde accounts, of webshops waar je een creditcard heb ingevuld en deze niet heb verwijderd nog.

voor jou is het misschien niet een verbetering van beveiliging, maar voor velen zal het meerwaarde hebben. omdat de meeste mensen die ik ken ( die niet in de IT werken) gewoon 1 wachtwoord hebben voor alles dit raad ik ze steeds af maar het is gewoon te vervelend voor ze om meerdere wachtwoorden te moeten onthouden. het boeit ze te weinig.

Anoniem: 890159 @FuriousKiwi • 11 april 2018 12:27

Ik heb geen creditcard en zou die gegevens nooit permanent achterlaten bij een webshop. Iemand kan misschien wat bestellen uit mijn naam maar dan moet hij toch zelf vooruit betalen, wordt het naar mij opgestuurd. Voor sommige werkaccounts heb ik wel de Google Authenticator ingesteld. DigiD heb ik gewoon in de browser ingevuld, maar dat kan binnenkort blijkbaar alleen nog met sms controle.

Stoelpoot @FuriousKiwi • 11 april 2018 11:53

Oke, wat als je je vinger verbrand en je vingerafdruk kan niet meer worden uitgelezen?

Kijk, ik weet heel goed hoe deze principes werken. Zoals ik al zei, het bestaat langer. Maar uiteindelijk kan je nog steeds met wachtwoord inloggen, ook al zijn er ook andere methodes voor. En dat komt door redenen zoals hierboven. Wachtwoorden zijn tot nu toe het enige medium wat een beetje redelijk te herstellen is zodra je ze kwijtraakt. Uiteindelijk blijft op het eindpunt een wachtwoord staan, en zal dat de zwakste schakel zijn. Dat eindpunt kan het platform zelf zijn, of het e-mail adres waarmee je je account kan herstellen. Maar je kan geen volledige cirkel aanleggen met deze vorm van authenticatie.

FuriousKiwi @Stoelpoot • 11 april 2018 11:54

Over het algemeen kun je dan nog met een pincode op je telefoon ontgrendelen. of je kan een OTP backup code gebruiken die je vaak ook van te voren kan genereren

Stoelpoot @FuriousKiwi • 11 april 2018 12:00

De pincode op je telefoon IPV je vingerafdruk? Dat is toch ook een wachtwoord?

En is een OTP backup code niet gewoon een verkapt wachtwoord, hoewel wel een veilige? Hoe beveilig je deze? Mensen zijn hier al jaren mee bezig, maar uiteindelijk komt het uit op 1 ding: het startpunt is een wachtwoord. Niet omdat het ingeburgerd is, maar omdat een wachtwoord juist niet fysiek is en dus altijd kan worden gebruikt als fysieke opties zijn uitgeput.

FuriousKiwi @Stoelpoot • 11 april 2018 12:04

Maar die OTP kan je maar 1 keer gebruiken, en daarmee kan je dus zorgen dat je een alternatief 2FA systeem instelt. desnoods een telefoongesprek welke een code opnoemt voor je?

edit: google heeft ook support voor gebeld worden voor een 2FA code, ipv sms of authenticator. dus als je je vingers dusdanig weet te verbranden dat je vingerafdruk niet meer te herkenen is en niet meer zal genezen kan je dat (tijdelijk) gebruiken.

[Reactie gewijzigd door FuriousKiwi op 22 juli 2024 22:18]

Stoelpoot @FuriousKiwi • 11 april 2018 12:06

Telefoon -> Telefoonnummer -> Wachtwoord? Of Telefoon -> Telefoonnummer -> Persoonlijke identificatie voor callcentermedewerker -> Wachtwoord?

Ik had het overigens niet over de OTP code zelf, maar de backup code die van te voren wordt gegenereerd.

R4gnax @Stoelpoot • 11 april 2018 19:49

Mensen zijn hier al jaren mee bezig, maar uiteindelijk komt het uit op 1 ding: het startpunt is een wachtwoord. Niet omdat het ingeburgerd is, maar omdat een wachtwoord juist niet fysiek is en dus altijd kan worden gebruikt als fysieke opties zijn uitgeput.

Het startpunt bij een USB sleutel is een intern zeer sterke privé-sleutel die nooit afgegeven wordt.
Bij het aanmaken van een account bij een bepaalde dienst registreer jij jouw USB sleutel eenmalig met deze dienst via een key-exchange. Bij elk toekomstig bezoek kan de dienst op basis van die eerdere uitwisseling daarna een code naar jouw sleutel sturen, die de sleutel opnieuw kan verwerken; waarbij de dienst er met cryptografische zekerheid stellig van kan zijn dat enkel jouw sleutel het correcte resultaat terug kan leveren om éénmalig mee in te loggen.

Nergens is hier sprake van een 'wachtwoord' wat publiek uitgelezen en gerepliceerd kan worden, zonder dat de sleutel fysiek opengebroken wordt.

En is een OTP backup code niet gewoon een verkapt wachtwoord, hoewel wel een veilige? Hoe beveilig je deze?

Dat heet een papiertje in een brandvaste kluis. Eventueel in duplo bewaard in een andere kluis off-site, bijv. bij familie die je kunt vertrouwen.

Maak alleen niet de fout om een printer-afdruk te bewaren! Afhankelijk van de kwaliteit van je printer en inkt kun je dan na een paar jaar behoorlijk bedrogen uitkomen. Met name bij inkjet afdrukken kan inkt over tijd vergruizen en los komen van het papier.

Beste is om zo'n OTP backup code in goed leesbaar blokletter-schrift met de hand op te schrijven. Bal-pen heeft doorgaans een levensduur langer dan menig mensenleven. Dus dat zou echt wel moeten volstaan.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:18]

Stoelpoot @R4gnax • 12 april 2018 09:03

Oke, en wat gebeurd er als mijn tas wordt gestolen, of mijn USB sleutel per ongeluk de was in gaat, of mijn huis in vlammen op gaat? Ben ik dan toegang kwijt tot al mijn gegevens en kan ik mijn digitale leven compleet opnieuw beginnen?

In dat geval heeft zo'n OTP code nog wel nut... maar moet ik daar dan een brandveilige kluis voor aanschaffen oid? Is dat echt praktisch om iedereen met een e-mail adres zoiets te laten doen? Of zullen mensen eerder een papiertje uitprinten en die een halfjaar later vergeten zijn? En moeten ze dan de gevolgen dragen van de toegang tot bijvoorbeeld verzekeringsdiensten, contacten, digitaal bewaarde foto's van dierbaren kwijt te zijn? Of zullen diensten gewoon een simpel user-created wachtwoord blijven gebruiken als backup-up mogelijkheid, omdat dat gemakkelijker is?

jsnl @Stoelpoot • 12 april 2018 14:18

Oke, wat als je je vinger verbrand en je vingerafdruk kan niet meer worden uitgelezen?

In de praktijk kan van 10-20 % van de mensen geen (digitale) vingerafdruk worden genomen zoals in gebruik bij toegangspoortjes etc.
Zal je niet verbazen maar zijn vooral bouwvakkers e.d., hun vingerafdrukken zijn vaak te verminkt om er iets bruikbaars uit te krijgen.

The Zep Man

Internet

@Stoelpoot • 11 april 2018 12:43

Dit soort authenticatie bestaat al langer (hoewel niet gestandaardiseerd, wat erg mooi is), maar uiteindelijk ligt er alsnog een wachtwoord tussenin.

Dat hoeft niet. Yubico's Security Key heeft ondersteuning voor WebAuthn/CTAP. Daarmee zou je met een enkele druk op de knop het authenticatieproces kunnen doorlopen.

R4gnax @Stoelpoot • 11 april 2018 19:53

Dat heb je dus fout, Stoelpoot.

Lees even mijn reactie.

Gamebuster 11 april 2018 11:32

Mocht tijd worden. De wachtwoorden-situatie loopt echt uit de hand... bron van ellende

[Reactie gewijzigd door Gamebuster op 22 juli 2024 22:18]

Anoniem: 890159 @Gamebuster • 11 april 2018 11:54

Daar gebruik ik KeePass en de browser wachtwoord manager voor. Al vind ik het irritant dat veel websites de laatste tijd met een of andere truc weten te voorekomen dat de browser het wachtwoord opslaat, een workaround vanuit de browser zou me welkom zijn.

FuriousKiwi @Anoniem: 890159 • 11 april 2018 12:00

Tot het wachtwoord van je browser gekraakt is of je externe password manager. dan hebben ze alles inclusief username/wachtwoord/url..

stresstak @FuriousKiwi • 11 april 2018 12:25

Tot het wachtwoord van je browser gekraakt is of je externe password manager. dan hebben ze alles inclusief username/wachtwoord/url..

Hoe wil men dat doen dan ? Mijn keepass en benodigdheden staan bij mij thuis.

Gamebuster @stresstak • 11 april 2018 12:44

Bijvoorbeeld:
https://www.tomsguide.com...l-keepass,news-21782.html

[Reactie gewijzigd door Gamebuster op 22 juli 2024 22:18]

stresstak @Gamebuster • 11 april 2018 12:58

...must first be surreptitiously installed on a targeted system.

En nou onder normale huiselijke omstandigheden. Hoe komt dat inbreekprogramma op mijn computer ?

KeePass cannot protect itself from targeted spyware if a computer system is compromised,

Duh.

Gamebuster @stresstak • 11 april 2018 13:15

Samengevat: 1 foute download of 1 lek in je systeem, en al je wachtwoorden zijn gelekt.

Jij vroeg hoe men dat wil doen. Nou, zo dus.

[Reactie gewijzigd door Gamebuster op 22 juli 2024 22:18]

stresstak @Gamebuster • 11 april 2018 13:40

Jij vroeg hoe men dat wil doen. Nou, zo dus.

Dat is niet werkelijk 'doen'. Het is geen aanval. Het is afwachten.
En hoeveel van die gelukte aanvallen zijn er ?
Tevens is het aan de makers van Keepass om de open database.dll weer te verwijderen als ik Keepass niet meer heb geopend. En aan makers van kwetsbaarhedenscanners zoals MalwareBytes, natuurlijk.

Gamebuster @stresstak • 11 april 2018 13:47

Jij denkt dat je super veilig bent. Ik vertel je dat er maar 1 goed lek hoeft te zijn en dat al je wachtwoorden op straat liggen. Je hoeft me niet te geloven.

https://www.express.co.uk...-stealing-malware-warning

Enige veilige oplossing wat mij betreft is een papieren boekje, of een dedicated stuk hardware waarin de wachtwoorden staan en je niet via de computer eruit kan halen zonder fysieke interactie met het stuk hardware.

stresstak @Gamebuster • 11 april 2018 13:55

Jij denkt dat je super veilig bent.
Enige veilige oplossing wat mij betreft is een papieren boekje,

Heb ik.

In combinatie met een noodzakelijke usb-stick en een Keepass op de pc met gedeeltelijke wachtwoorden. Nog afgezien van de verschillende databases.
Het is een heel gedoe maar je moet wat.

AmigaWolf @Gamebuster • 11 april 2018 14:50

Enige veilige oplossing wat mij betreft is een papieren boekje, of een dedicated stuk hardware waarin de wachtwoorden staan en je niet via de computer eruit kan halen zonder fysieke interactie met het stuk hardware.

Ja en dat is veilig, er woord heel wat ingebroken in huizen, en dan kunnen ze ook als ze die vinden je wachtwoorden boekje mee nemen, en veel ellende uithalen tegen je, nee ik hou het lekker op KeyPass.

R4gnax @AmigaWolf • 11 april 2018 19:22

Ja en dat is veilig, er woord heel wat ingebroken in huizen, en dan kunnen ze ook als ze die vinden je wachtwoorden boekje mee nemen, en veel ellende uithalen tegen je, nee ik hou het lekker op KeyPass.

Klein verschil; als er bij je ingebroken wordt en de kluis opengebroken is; dan merk je dat echt wel.
Maar als via een exploit je wachtwoorden-database buitgemaakt wordt, dan merk je dat niet. Dan ben je een paar maanden later de sigaar.

Daarnaast:
Als er fysiek ingebroken wordt, gaan dieven er eerder snel met je dure spul dat binnen bereik ligt (denk tablets; telefoons; spelcomputers; PCs; juwelenkistjes; etc.) vandoor, dan dat je huis compleet leeggeroofd wordt en ook je kluis gekraakt wordt.

Je kluis is een probleem als er ingebroken wordt wanneer je thuis bent en je gedwongen wordt ze te openen. Of indien je afgelegen woont of inbrekers om andere redenen uitgebreid de tijd kunnen nemen omdat ze denken/weten niet opgemerkt te gaan worden.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:18]

AmigaWolf @R4gnax • 11 april 2018 20:04

Alle twee zijn grote problemen, en ook vooral als je wachtwoorden boekje gestolen woord, omdat je niet meer weet bij wie je allemaal wachtwoorden heb aan gemaakt.

Maar ach alle twee is een probleem.

R4gnax @AmigaWolf • 11 april 2018 20:08

Alle twee zijn grote problemen, en ook vooral als je wachtwoorden boekje gestolen woord, omdat je niet meer weet bij wie je allemaal wachtwoorden heb aan gemaakt.

Off-site backup in een kluis bij familie die je kunt vertrouwen. Bijv. je ouders of je kinderen.
Of bijv. een luchtdicht (gevacumeerde) doos in je tuin begraven.

Genoeg mogelijkheden.

Heb je ook een kopie van je wachtwoorden bij de hand om direct in in te kunnen loggen en je wachtwoorden mss. nog op tijd te wijzigen.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:18]

AmigaWolf @R4gnax • 11 april 2018 20:10

Ja en die kan ook gewoon ingebroken woorden, dus is net zo een grote probleem, niks is 100% full proof.

R4gnax @AmigaWolf • 11 april 2018 20:24

Ja en die kan ook gewoon ingebroken woorden, dus is net zo een grote probleem, niks is 100% full proof.

Je hebt statistisch gezien ook ca. 0,000143% kans om tot de gelukkigen te behoren die op een bepaald moment tijdens hun leven door een verloren meteoriet geraakt worden en het loodje leggen. Daar zie je niemand over paniekeren.

Het feit dat wereldwijd 1 op de 90 mensen overlijdt aan een verkeersongeluk lokt ook meestal geen reactie uit. Ja; hier in West-Europa is het redelijk veilig. Maar als jij eens een keertje lekker naar de zon op vakantie gaat kun je tijdens je transfer ook wel eens het haasje zijn. En als we dan toch in die hoek zitten: vliegrampen -- ook zo'n leuke. Maar niet meer op vakantie gaan dan?

Het is simpel:
Het gaat er niet om dat het onmogelijk wordt om inlogggegevens buit te maken en er misbruik van te maken. Het gaat er om dat je het zo moeilijk mogelijk maakt, dat het niet meer de moeite waard is. En dat je dat doet zonder het normale gebruik te veel in de weg te zitten of zaken zoals recovery-mogelijkheden in het geding te brengen.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:18]

AmigaWolf @R4gnax • 11 april 2018 23:11

Dat weet ik, en is ook een van de rede dat ik KeyPass gebruik.

SuperDre @Gamebuster • 11 april 2018 21:50

En jij denkt dat dit zoveel veiliger is? think again..

Gamebuster @SuperDre • 12 april 2018 09:19

Ja? Waarom niet dan?

RoffaboyS 11 april 2018 11:51

Ik vind wachtwoorden achterhaald we kunnen beter investeren in iets als IRIS scan.

daredevil__2000 @RoffaboyS • 11 april 2018 12:14

Ook daar moet de techniek nog van verbeterd worden. Mythbusters heeft al eens laten zien dat zowel de iris scan als de vingerafdruk scan goed voor de gek te houden zijn.

RoffaboyS @daredevil__2000 • 11 april 2018 13:07

Klopt maar als er een combinatie is van bijvoobeeld je vingerafdruk en iris scan dan kan het denk ik wel beter beveiligd zijn. Aangezien je dan twee dingen moet hebben voor toegang

Yaz @RoffaboyS • 11 april 2018 12:33

Biometrie moet je niet gebruiken voor authenticatie. Behalve de persoonlijke veiligheidsproblemen is allang bewezen dat ook dit niet zaligmakend is. Vingerafdrukken kunnen op 60 meter+ gefotografeerd worden en zo worden nagemaakt. Iris scan kan op eenzelfde manier alleen op een wat kleinere afstand.

lenwar

Internet

@Yaz • 11 april 2018 12:53

Dat klopt ongetwijfeld (heb het nooit gezien, maar ik geloof je direct

- Heb je een link? Ben nu wel nieuwsgierig! ). Waar het wel heel goed tegen werkt is een stuk malware wat je keystrokes volgt, of een man in the middle op een access point of een wachtwoorden database van een gehackte website.

Om een goed genoege foto van iemand te maken moet je in elk geval in de buurt van die persoon geweest zijn (of z'n webcam hacken voor een irisscan).

Maar stel dat je op straat een goed genoege camera plaatst, die bijvoorbeeld op een drukke winkelstraat of bijvoorbeeld in een voetbalstadion de afdrukken van mensen maakt. Dan moet je nog steeds weten 'wie' die mensen zijn, en waar zij een account hebben.
Vervolgens moet je van al die mensen hun trusted device zien te kopieren (want je vingerafdruk wordt door (bijvoorbeeld) je telefoon bevestigd en niet door de website of de service waar je wil inloggen).

Het komt er op neer dat als je getarget wordt, dat het dan allemaal niet zo veel uit maakt. Maar het helpt wel tegen een paar Chinese scriptkiddies die je namens je bank een mailtje met een bijlage sturen.

Glewellyn @Yaz • 11 april 2018 13:36

Dat ben ik met je oneens, biometrie is prima voor authenticatie.

Maar... in gevallen waar het belangrijk is dat gegevens beter beschermd worden zal je van 2 of 3 factor authenticatie gebruik moeten maken.

1) Kennis - iets dat je weet: Wachtwoord, passphrase, pincode etc.
2) Bezit - iets dat je hebt: Een token, certificaat of key.
3) Eigenschap - iets dat je bent: Vingerafdruk, irisscan, gezichtsherkenning.

Door meer factoren toe te passen maak je de kans dat een kwaadwillend persoon zich ongewenst toegang kan verschaffen kleiner.

SinergyX 11 april 2018 11:53

Ben niet echt grote fan van nog meer naar die telefoon te gooien, we hebben nu al apps, sms, NFC login, of zelfs nog de tokens (usb of code), je verschuift je afhankelijkheid dus puur naar bij je hebben van je telefoon (en werkend). Elke site, platform, dienst of login gebruikt weer z'n eigen ding, sms, email, telefoon, hoe gaat het anders worden met deze mogelijkheden?

FuriousKiwi @SinergyX • 11 april 2018 12:02

Hoe zie je het anders voor je? fysieke sleutel die je in je computer moet steken? een verplichte webcam op de computer die goed genoeg is voor een IRIS scan? een verplichte vingerafdruk scanner in je laptop ?

Misschien komt er wel support voor de vingerafdruk scanner die in een aantal laptops zit, als je dan niet afhankelijk wil zijn van je telefoon kan je dat misschien gebruiken. maar dan heb je alsnog het probleem dat als ze je laptop hebben en die vingerafdruk foppen en ze niet een telefoon nodig hebben die je zelf bij je heb. dat je dan alsnog "gehackt" word

R4gnax @FuriousKiwi • 11 april 2018 19:56

Hoe zie je het anders voor je? fysieke sleutel die je in je computer moet steken?

Uhm... ja?
Dat is waar de Web Authentication API onder andere in voorziet.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:18]

Fenzo 11 april 2018 12:31

De authentication komt hierdoor op site-niveau waar die nu alleen op device-niveau (unlock your smartphone) of system-niveau (OS login) ligt. Dat kan gaan betekenen dat het internet langzaam maar zeker achter loginmuren verdwijnt waarbij je je elke keer moet identificeren. Een soort TAN-systeem of DigiD maar nu ingebakken in je browser die nog meer als OS gaan gedragen. En iedereen kent de problemen met logins die niet werken. Lijkt mij geen prettige ontwikkeling voor het open internet.

Op dit item kan niet meer gereageerd worden.

W3C brengt WebAuthn-api voor vervanging van traditionele wachtwoorden dichterbij

Lees meer

IT-banen

Reacties (85)

Sorteer op:

Weergave: