Android krijgt FIDO2-certificering voor inloggen zonder wachtwoord

De FIDO Alliance heeft aangekondigd dat Android per direct is gecertificeerd voor de FIDO2-standaard. Gebruikers van Android 7.0 of latere versies kunnen zo biometrisch inloggen op apps en sites die FIDO2 ondersteunen.

Na een Google Play Services update bij Android 7.0 of latere versies is de ondersteuning voor FIDO2 een feit, meldt de FIDO Alliance. Daardoor kunnen gebruikers bijvoorbeeld van hun vingerafdrukscanner of hardwarematige beveiligingssleutel gebruikmaken om in te loggen bij Android-apps of websites die het protocol ondersteunen. Ontwikkelaars kunnen met behulp van een api-call hun site of app ondersteuning geven voor de authenticatiestandaard.

De FIDO Alliantie wijst erop dat met de komst van certificering voor Android het aantal potentiële gebruikers voor de standaard enorm toeneemt en dat browsers als Google Chrome, Microsoft Edge en Mozilla Firefox ook al FIDO2-ondersteuning hebben. "Nu is het tijd dat ontwikkelaars hun gebruikers van het risico en de lasten van wachtwoorden bevrijden en FIDO-authenticatie integreren", stelt Brett McDowell, topman van de alliantie.

FIDO2 combineert de Web Authentication-specificatie van de W3C met zijn Client to Authenticator Protocol. FIDO staat voor Fast IDentity Online en is in 2012 opgericht om tot een open en interoperabele standaard te komen die alternatieven voor wachtwoorden voor online-authenticatie mogelijk moeten maken. De standaard werd in 2015 bij W3C ingediend, na afronding van de eerste specificatie op basis van UAF en U2F, in 2014.

FIDO2

Reacties (64)

Bose321 26 februari 2019 12:54

Hoe precies gaat dit werken dan? Ik heb telefoon geüpdatet en heb een paar sites bezocht die FIDO ondersteunen (Github bijv.), maar nergens de mogelijkheid tot het instellen daarvan. En hoe werkt het dan weer op een desktop als ik daar wil inloggen?

Creesch @Bose321 • 26 februari 2019 13:20

Was ik ook erg benieuwd naar, de informatie is echter lastig te vinden. Ik kom vooral veel pagina's tegen van fabrikanten van losse keys en nieuwsberichten zoals hier. Uiteindelijk wel gevonden dat het met windows10 met de oktober update mogelijk zou moeten zijn.

https://www.microsoft.com...-hello-or-a-security-key/

To sign in with your Microsoft Account using a FIDO2 security key:
If you haven’t already, make sure you update to Windows 10 October 2018.
Go to the Microsoft account page on Microsoft Edge and sign in as you normally would.
Select Security > More security options and under Windows Hello and security keys, you’ll see instructions for setting up a security key.
Next time you sign in, you can either click More Options > Use a security key or type in your username. At that point, you’ll be asked to use a security key to sign in.

Overigens nog steeds geen informatie hoe dat dan specifiek moet werken met een android telefoon...

Edit

Het persbericht nog eens doorgelezen en bovenstaande verhaal gaat waarschijnlijk sowieso niet op. Het is er lastig uit te halen door de marketing praat maar het lijkt er om te gaan dat je hiermee straks op je telefoon kan inloggen op websites en apps. Voor Windows e.d. heb je dus nog steeds een aparte key nodig.

[Reactie gewijzigd door Creesch op 23 juli 2024 01:29]

Rafe @Bose321 • 26 februari 2019 14:16

GitHub gebruikt geloof ik nog de oudere U2F API en niet WebAuthn, misschien dat het daar aan ligt. Probeer eens de demo site van Google: https://webauthndemo.appspot.com

Het idee is dat je straks kan inloggen met een apparaat ipv met een wachtwoord en dus meerdere devices aan je account koppelt. Of je koopt een security key met USB en NFC/Bluetooth om op al je devices te gebruiken.

Bovenstaande demosite prompt je om de ingebouwde authenticatiemethode van Android te gebruiken of een externe authenticator in the pluggen/koppelen

Creesch @Rafe • 26 februari 2019 14:37

De vraag is geloof ik meer hoe dit dan werkt op Android, hoe stel je een Android telefoon in dat deze functioneert als een fido2 key. Wat mij ook nog onduidelijk is of dat dan alleen werkt voor websites e.d. op mijn telefoon of dat ik hiermee mijn telefoon ook kan inzetten als fido2 key om dingen op mijn desktop in te loggen op websites e.d.

Het tweakers artikel hier is er erg onduidelijk over en het persbericht van de fido alliantie ook niet erg helder over. Ik heb het nu twee keer gelezen en door de marketing halleluja heen heb ik het twee keer anders kunnen interpreteren.

En dan nog ontbreekt het aan informatie over hoe je dan je telefoon straks kan instellen, er staat alleen maar dat het zou moeten kunnen.

Rafe @Creesch • 26 februari 2019 14:47

Ga naar bovengenoemde demosite (of deze: https://webauthn.org/) - bij beiden heb je een 'register' stap en dan krijg je een prompt van Chrome om je de ingebouwde vingerafdrukscanner of een security key te gebruiken. Werkt zowel op mijn Android (LG G6) als MacBook 2018 met TouchID. Geen instelling nodig verder.

Als je je telefoon als authenticator wil gebruiken voor je desktop dan heb je iets als https://krypt.co/ nodig, anders moet je elk device apart registreren op je account.

[Reactie gewijzigd door Rafe op 23 juli 2024 01:29]

Creesch @Rafe • 26 februari 2019 16:00

Het werkt dus alleen als fido2 key op de telefoon zelf, dat is wat ik mij afvroeg en totaal niet helder is in de berichtgeving

Coffee2Code @Bose321 • 26 februari 2019 16:47

Heb je Google Play Services Beta + Chrome?

https://demo.yubico.com/webauthn/ hier even testaccount maken en dan de internal authenticator toevoegen.

Cyb 26 februari 2019 10:54

"Inloggen zonder wachtwoord" is dat niet met risico's? In Multi-factor authenticatie maak je inloggen veiliger door meerdere mechanismen te gebruiken: iets dat je weet (bijv. wachtwoord), iets dat je hebt (mobiel, hardware sleutel, gsmnummer), iets dat je bent (biometrie). Iets dat je weet kan onderschept worden, Iets dat je hebt kan gestolen worden, en iets dat je bent kan benaderd worden met fysieke nepobjecten.
Inloggen zonder wachtwoord is gemakkelijker, maar niet per se veiliger. Het beste is een combinatie van meerdere factoren.

Verder onderschatten mensen denk ik in het algemeen hoeveel een hacker in staat is (kwa identiteitsfraude) met een gestolen telefoon.

Rob Coops @Cyb • 26 februari 2019 11:51

Het grote probleem is dat als men echt wil er altijd een manier is om binnen te komen en de data te bekijken. Kijk naar de aanvallen op Sony, Lockhead, de 3 letter Amerikaanse veiligheidsdiensten en bijvoorbeeld de aanvallen op de nucleaire centrifuges in Irak.

Maar de vraag is of men de moeite wil nemen als je het als persoon moeilijk genoeg maakt. Zelfs een complex wachtwoord is in de meeste gevallen al een goede manier om veel mensen tegen te houden. Een hardware sleutel is zo veel moeilijker te misbruiken dat dit eigenlijk 99% van de aanvallen tegen zal houden omdat het gewoon de moeite niet is tenzij men er redelijk zeker van is dat er echt iets te halen valt.

Beveiliging is nooit 100% of het nu fysiek of digitaal is het kan niet 100% zijn. Dus maak het zo moeilijk mogelijk en je komt al een heel eind. Het probleem met de wachtwoorden is dat de meeste mensen te lui zijn om wachtwoorden moeilijk genoeg te maken laat staan dat ze de moeite nemen om ze regelmatig te veranderen. Dit maakt dat een hardware sleutel (vergelijkbaar met een extreem lang en complex wachtwoord) een hele goede oplossing is.

Omdat mensen de technologie er achter niet begrijpen denken mensen al snel dat het minder veilig is. Maar in feite is het vaak een stuk veiliger dan vertrouwen op een wachtwoord, zelfs met multi factor authenticatie omdat de hardware (mobiel) echt niet nodig is dat signaal is gewoon goed te onderscheppen, al is ook dat niet nodig omdat de meeste 2fa oplossingen een simplistische implementatie gebruiken om de willekeurige code te genereren dat het te voorspellen is.

De fraude waar jij je zorgen overmaakt is te complex voor de meeste mensen die telefoons stelen. Zij de weten wat ze doen stelen niet zo maar telefoons maar weten maar al te goed van wie ze de telefoon stelen. Om deze reden zou ik me zeker hier om echt geen grote zorgen over maken (zeker als je bijvoorbeeld biometrische authenticatie gebruikt om je telefoon te beveiligen is het erg moeilijk om daar even langs te komen als ordinaire steel dief.

Rafe @Rob Coops • 26 februari 2019 14:39

Het klopt dat niet waterdicht is, maar dit is wel de sterkste en meest breed ondersteunde standaard van het moment.

FIDO2 en de WebAuthn APIs in de browser komen oorspronkelijk bij Google vandaan, die na de 'Operation Aurora' hacks in 2009 realiseerden dat network perimeter security niet voldoende was, want eenmaal binnen op het vertrouwde netwerk hadden de hackers het makkelijker omdat applicaties niet hardened waren zoals die die direct aan het internet hingen. Daar kwam het BeyondCorp-concept uit, maar moesten ze een betere methode van 2FA bedenken voor authenticatie. Dat was Project Gnubby, en kort na de oprichting van de FIDO Alliance besloot Google met FIDO samen te werken om dat door te ontwikkelen tot U2F, de voorloper van WebAuthn/FIDO2.

Het is al een paar jaar verplicht voor Google-medewerkers om in te loggen met security keys. Uit Googles eigen onderzoek van 2015 blijkt dat het sneller en veiliger is om mee in te loggen voor gebruikers dan alternatieven zoals SMS en TOTP (Google Authenticator). Vorig jaar maakten ze bekend sinds de invoering er 0 account takeovers zijn gemeld. Een belangrijke factor hierbij is dat WebAuthn bestand tegen phishing is, itt de andere twee genoemde en populaire 2FA-methodes.

[Reactie gewijzigd door Rafe op 23 juli 2024 01:29]

AceAceAce @Cyb • 26 februari 2019 11:04

Van deze blog:

FIDO2 adds more options to the login process:

Single Factor: This only requires possession of the Security Key to log in, allowing for a passwordless tap-and-go experience.
Second-Factor: In a two-factor authentication scenario, such as the current Google and Facebook FIDO U2F implementations, the Security Key by Yubico is used as a strong second factor along with a username and password.
Multi-Factor: This allows the use of the Security Key by Yubico with an additional factor such as a PIN (instead of a password), to meet the high-assurance requirements of operations like financial transactions, or submitting a prescription.

Rafe @AceAceAce • 26 februari 2019 14:28

De WebAuthn spec beschrijft het een beetje droog, maar er is een verschil tussen het testen voor 'user presence' (zoals je aanraken van een de gouden disc op een Yubikey) en 'user verification' (scanner van je mobiele telefoon of bijv. een Feitian BioPass).

Die laatste combineert iets dat je hebt (een apparaat met beveiligde opslag van de private key) met iets dat je bent (vingerafdruk), en is eigenlijk niet veel anders dan het authoriseren van een credit card betaling met je telefoon met Google Pay in de winkel.

AceAceAce @Rafe • 26 februari 2019 14:38

Mits de CDCVM (Consumer Device Cardholder Verification Method) die gebruikt wordt Google Pay app ook biometrics gebruikt.
Als de CDCVM een password/PIN gebruikt is dat een ander type factor en dus niet vergelijkbaar.

Rafe @AceAceAce • 26 februari 2019 17:37

Klopt als een bus, maar ik moet de eerste persoon nog tegenkomen die password/PIN verkiest boven vingerafdruk/gezichtsherkenning, zeker in combinatie met Apple/Google Pay

dus ik heb het gemakshalve in een adem genoemd.

lenwar

Smartphones
Google
Beveiliging en antivirus

@Cyb • 26 februari 2019 11:49

Uiteraard neemt het iets van risico's met zich mee.
Echter. Het basis-idee van dit mechanisme is dat er voor elke site/applicatie/dienst/whatever een nieuwe unieke sleutel wordt gegenereerd die via het lokale authenticatie-apparaat (in het voorbeeld van dit artikel de telefoon).

Het komt een beetje neer op een het gebruik van een wachtwoordbeheerder die voor elke site een ander wachtwoord maakt.

Je verplaatst dus de 'onveiligheid' van één factor van alleen een wachtwoord dat ingetypt moet worden, naar één factor die op de achtergrond wordt opgestuurd. Het enige dat dit mechanisme veiliger maakt is dat er dus met sleutelparen gewerkt wordt (aan de serverkant en aan de (in dit geval) telefoonkant)

Zoals anderen hier al hebben aangegeven kan je het dus uitbreiden met andere factoren.

Wat ik alleen nog niet heb kunnen vinden wat er gebeurd als je bijvoorbeeld je telefoon per ongeluk onder een stoomwals laat komen. Dan ben je natuurlijk al je sleutels kwijt en het lijkt mij persoonlijk niet zo'n handig idee om die sleutels ergens anders dan op je telefoon op te slaan?

Theone098 @Cyb • 26 februari 2019 11:09

Volgens mij is dit gewoon een toevoeging als factor aan MFA.

Wat volgens mij nieuw is, is dat het hier om een standaard gaat. Er zijn immers al apps die gebruik maken van de vingerafdruk scanner. FIDO2 wordt o.a. gebruikt door Yubikey (alleen dan als iets dat je hebt).

Ik lees namelijk nergens dat het gebruik van (bijvoorbeeld) een wachtwoord niet meer kan. De ontwikkelaar kan een username en password vereisen en als (extra) factor de vingerafdruk scanner gebruiken.Het artikel suggereert afschaffen van het wachtwoord, dan is het gewoon het vervangen van een wachtwoord door een andere factor.

De vraag is: wat is veiliger? Ik kies voor de vingerafdruk scanner.

[Reactie gewijzigd door Theone098 op 23 juli 2024 01:29]

Yev @Theone098 • 26 februari 2019 11:48

De vraag is: wat is veiliger? Ik kies voor de vingerafdruk scanner.

Ik maak mij toch serieus zorgen over die vingerafdrukken. Hoewel snel, handig en altijd bij je, is het wachten tot ergens één van de databases met miljoenen vingerafdrukken wordt gehackt. En het vervelende van een vingerafdruk is dat je die vinger niet kan afhakken en een andere kan laten aangroeien. Natuurlijk hebben wij er 10 maar ook dat is dus eindig.

Aanvulling: Er wordt vaak beweerd dat een vingerafdruk net als ander biomateriaal iets is wat je bent. Daar ben ik het niet mee eens want ook dat is informatie en ook die informatie is te copiëren en daarmee kan niet meer worden beweerd dat dit uniek jij is, want anderen kunnen die informatie ook presenteren.

[Reactie gewijzigd door Yev op 23 juli 2024 01:29]

RobertMe @Yev • 26 februari 2019 12:13

M.b.t. lekken. AFAIK kan dat niet. De hardware zelf genereerd een unieke code/hash op basis van de vingerafdruk. Het daadwerkelijke beeld van de vingerafdruk wordt dus niet bijgehouden/verwerkt. Daarnaast is het volgens mij ook nog eens zo dat deze unieke code/hash meestal niet eens de hardware van de vingerafdrukscanner verlaat. Ik meen dat het meer is dat bv een app aangeeft van "ik wil een vingerafdruk inscannen" vervolgens wordt die hash in de vingerafdruk scanner opgeslagen en weer iets anders terug gegeven aan de app. Op een later moment kan de app vervolgens vragen "ik wil controleren dat nu deze vingerafdruk gebruikt wordt" waarbij dus weer die unieke code wat de scanner naar de app heeft gestuurd wordt gebruikt. De scanner zoekt daarbij vervolgens de hash van de vingerafdruk op en valideert deze tegen hash van de gescande vinger. De "foto" van de vingerafdruk wordt dus nooit doorgestuurd naar de rest van de hardware/het OS, laat staan naar een third party zoals een website met "inloggen via vingerafdruk".

Yev @RobertMe • 26 februari 2019 12:21

M.b.t. lekken. AFAIK kan dat niet. De hardware zelf

De hardware zelf leest dus die gegevens in. Dát is het moment dat die gegevens makkelijk kunnen worden gekopieerd. En zoals ik hierboven ook al zei: die zijn natuurlijk allang door zowel de NSA (via Google) en de Chinezen (via de Chineze smartphone) gekopieerd. Daar moeten we echt niet naïf over doen.

Afgezien van bovenstaande, wij allen laten dagelijks honderden vingerafdrukken achter. Klaar om gekopieerd te worden!

RobertMe @Yev • 26 februari 2019 12:34

"Via Google" kan dus niet. Want de vingerafdruk verlaat de hardware niet. Android kan dus nooit de "foto" van de vingerafdruk inzien. Alleen de fabrikant van de vingerafdruk scanner kan dat. En die kan de info weer niet doorsturen omdat die geen rechtstreekse toegang heeft tot de rest van de hardware (maar via het OS moet gaan). Of er moet al een groot complot zijn waarbij zowel de hardware maker als Google samen werken om de foto toch naar Android te sturen zodat die het kan doorsturen.

Maar als je zo extreem gaat in "veiligheid" dan zou ik me meer zorgen maken over het lekker van de cryptografische sleutels etc. Deze worden immers wel gedeeltelijk uitgewisseld met bv de website en zijn in die zin gelijk aan een (extreem lang) wachtwoord. Alhoewel als het inderdaad om een public/private key mechanisme gaat weet de website maar een van beide keys en zal de telefoon (/vingerafdruk scanner) een nonce (op dat moment uniek uitgewisseld gegeven) ondertekenen met de private key waarna de website deze met de public key weer kan ontsleutelen om te bevestigen dat inderdaad dezelfde nonce is over gestuurd gebruik makende van de juiste private key.

Yev @RobertMe • 26 februari 2019 14:02

Of er moet al een groot complot zijn waarbij zowel de hardware maker als Google samen werken om de foto toch naar Android te sturen zodat die het kan doorsturen.

Ja dus en dat complot heeft zelfs namen: NSA of Ministerie voor Staatsveiligheid van de Volksrepubliek China.

Natuurlijk worden die gegevens ontvreemd. Dat is zelfs de taak van die diensten en daar naïef over doen is gevaarlijk.

Verder reactie zoals ik elders heb geschreven om redundante informatie te voorkomen ;-)

CivLord

@Yev • 26 februari 2019 14:22

Op het moment dat je zodanig op het vizier van de NSA etc. staat dat ze bereid zijn je biometrische data te gebruiken, heb je een veel groter probleem. Dan is dit maar één van de mogelijkheden waaruit ze kunnen kiezen om je info te krijgen. Dit is geen methode die geschikt is voor een sleepnet, maar zou gericht ingezet moeten worden.

En wanneer je dan toch in complotten gelooft: Waarom zouden ze het zo ingewikkeld maken om m.b.v. jouw biometrische gegevens bij een dienst in te loggen, terwijl ze al via een achterdeurtje toegang hebben tot de complete database van die dienst?

Yev @CivLord • 26 februari 2019 14:37

Ik zeg niet dat (slechts) ik in het vizier van de NSA ben. Iedereen is in het vizier van de NSA want ook die biometrische gegevens kunnen op enig moment bruikbaar zijn ivm staatsveiligheid. Beter die gegevens al in het bezit hebben voordat de terroristische aanslag of oorlog is begonnen dan achteraf. Dat is gewoon relevante informatie dus zijn zij zelfs verplicht in het kader van de veiligheid die informatie in te winnen.

Ik geloof niet in complotten; verre van dat zelfs. Wel geloof ik dat inlichtingendiensten en zeker de grootste, alle mogelijke relevante data zullen verzamelen. En waarom moeilijk doen door dit te beperken tot gerichte doelen als dit relatief makkelijk en goedkoop kan via sleepnet methoden?

Waarom zijn wij zo naief als keer op keer wordt bewezen dat dit al erg lang aan de gang is. En dan hebben wij nog maar het topje van de ijsberg gezien terwijl ieder zinnig mens behoort te weten dat dit natuurlijk niet beperkt is tot de bekende gevallen.

ALLE maar dan werkelijk ook ALLE nuttige informatie welke eventueel nuttig kan zijn voor die diensten wordt op zo groot mogelijke schaal totaal en ongedifferentieerd ingewonnen.

En dat zou jij hopenlijk ook doen als je in hun schoenen stond. Want één ding weet je zeker: de ander doet het wel en als jij het niet doet dan breng jij jouw positie nodeloos op achterstand en eventueel zelfs je landgenoten in gevaar.

ACM Software Architect @Yev • 26 februari 2019 12:13

In de benoemde web authenticatie standaard krijgt de website helemaal niks van de biometrische gegevens en kan het dus ook niet in e.o.a. database opnemen. Je krijgt alleen een cryptografische sleutel a.d.h.v. een public/private key opzet.

Het is de verantwoordelijkheid van de client-software en/of hardware om op de juiste wijze daarop te reageren. En dat kan inderdaad met biometrische gegevens, maar in theorie ook door een bepaald riedeltje te fluiten of op een speciale manier met je telefoon te schudden.
Dat is het mooie van die webauthn standaard (en vziw ook FIDO2), dat het de manier waarop (aanvullende) authenticatie loopt helemaal los wordt gekoppeld van het protocol om te bepalen of er valide authenticatie is.

Het is me nog wel onduidelijk of je als website nou effectief de hele multi van MFA tot in totaal 1 challenge+response (ongeacht hoe complex het binnen die authenticator zelf is en of daar meerdere handelingen nodig waren) bovenop eventuele wachtwoordauthenticatie die je nog zelf zou kunnen blijven doen.

Yev @ACM • 26 februari 2019 12:18

In de benoemde web authenticatie standaard krijgt de website helemaal niks van de biometrische gegevens

Het gaat erom dat er 'ergens' die biometrische gegevens worden opgenomen en/of opgeslagen. Díe database kan - en zoals wij allemaal weten - op termijn onvermijdelijk zal worden gehackt.

Sterker nog, ik eet mijn hoed op als mijn vingerafdruk gegevens niet nu al in zowel een NSA database als een Chinese database staat!

CivLord

@Yev • 26 februari 2019 14:36

Maar er worden juist helemaal geen biometrische gegevens in een database opgeslagen.
De scanner van jouw telefoon registreert een bepaald patroon van snijpunten in jouw vingerafdruk in de vorm van een hash. Bij het inloggen maakt de scanner opnieuw een hash van de snijpunten in de vingerafdruk en vergelijkt dit met de vastgelegde hash. Wanneer beide hashes overeenkomen, gaat er een signaal uit dat Yev probeert in te loggen. Wanneer je andere inloggegevens kloppen (bv. inlognaam, device-id of een door een app aangemaakte sleutel) krijg je toegang.
Je vingerafdruk zelf komt niet verder dan de scanner en in de hele keten zitten voldoende andere zwakke punten waar schimmige organisaties naar binnen zouden kunnen.

Yev @CivLord • 26 februari 2019 14:41

Maar er worden juist helemaal geen biometrische gegevens in een database opgeslagen.

Kan je dat bewijzen?
Feit is: je vinger wordt gescand en de source code van de Android OS welke op de telefoon stond die jij kocht kan je niet inlezen. Noch van de chips. Niemand garandeerd je dat die niet wat extra's doen zoals de vinger scannen en die op enig moment opsturen.
Wat je wel weet is dat de NSA die gegevens wíl en zal krijgen en daar de middelen en methoden voor hebben.

Wat jij beschrijft is een ideale situatie waarbij je mensen/fabrikanten moet geloven. Ondertussen weten wij toch wel beter

Rafe @Yev • 26 februari 2019 15:06

Kan je dat bewijzen?

Ja, de WebAuthn spec schrijft voor wat voor data er uitgewisseld wordt tussen browser en server en er is geen ruimte gereserveerd voor ruwe biometrische data. Je kan zelf een webapp schrijven met een van de vele open source WebAuthn libraries en het zelf nalopen.

Heb zelf meegeholpen aan een Ruby library en de spec aardig wat keren doorgebladerd

maar als je het niet gelooft dan kan je ook WebAuthn gebruiken met veegpatroon op Android of een simpele security key kopen zonder biometrie.

RobertMe @Yev • 26 februari 2019 12:26

Die database staat als het goed is dus alleen in de vingerafdruk scanner/rechtstreeks bijbehorende hardware. Zo'n "database lek" is dus alleen mogelijk als er of een backdoor in de hardware zit, of de hardware lek is. En dan nog moet je van elke telefoon apart de data stelen. Dus ja, natuurlijk kan het lekken, maar de kans is wel vrij klein, en een stuk kleiner dan dat er bij een willekeurig lek van een website in een keer duizenden wachtwoorden op straat liggen. Want als er dus al een lek in de hardware zit kun je elke keer bv 5 vingerafdrukken per telefoon uitlezen, en voor duizenden moet je dus al een succesvolle aanval op 200+ telefoons hebben.

wauwwie @Yev • 26 februari 2019 12:42

FIDO zit iets beter in elkaar dan dat. Je biometische gegevens verlaten je device niet, immers je kan ook niet zomaar op een ander device inloggen met alleen je username en biometrische gegevens. De hash van je biometrische gegevens (samen met de secret van je device) wordt gebruikt om je lokale secret te ontsleutelen en dat mee te sturen in de inlog procedure. Dit is ook de reden dat je elk device moet configureren voordat je je biometrische gegevens kan gebruiken om in te loggen

Rafe @ACM • 26 februari 2019 15:01

Het is me nog wel onduidelijk of je als website nou effectief de hele multi van MFA tot in totaal 1 challenge+response bovenop eventuele wachtwoordauthenticatie die je nog zelf zou kunnen blijven doen.

Dat kan

Je kan in de request aangeven of user verification required, preferred (default) of discouraged is. In de response krijg je dan terug of 'user presence' of 'user verification' toegepast is, dat laatste is geschikt om MFA/wachtwoordloos inloggen.

Om er zeker van te zijn dat de responses betrouwbaar zijn kan je ook attestation aanvragen bij registratie, zodat je een door de fabrikant ondertekent certificaat terugkrijgt over het model authenticator. Daar moet de gebruiker apart toestemming voor geven in de browser, het is overkill voor de meeste websites maar kan voor bedrijven geschikt zijn. Het certificaat kan je controleren met behulp van FIDO's Metadata Service om te checken of het device gecertificeerd is door ze en/of er veiligheidsproblemen met de hardware bekend zijn.

Theone098 @Yev • 26 februari 2019 11:54

[...]

Ik maak mij toch serieus zorgen over die vingerafdrukken. Hoewel snel, handig en altijd bij je, is het wachten tot ergens één van de databases met miljoenen vingerafdrukken wordt gehackt. En het vervelende van een vingerafdruk is dat je die vinger niet kan afhakken en een andere kan laten aangroeien. Natuurlijk hebben wij er 10 maar ook dat is dus eindig.

Goed punt, probleem is dat het alternatief (alleen wachtwoord) niet beter is.

Ik maak mij toch serieus zorgen over die wachtwoorden. Hoewel snel, handig en altijd bij je, is het wachten tot ergens één van de databases met miljoenen wachtwoorden wordt gehackt. En het vervelende van een wachtwoord is dat je die hergebruikt, ergens noteert of opslaat en makkelijker te kraken zijn . Natuurlijk hebben gebruikers er 3 maar ook dat is dus eindig

Yev @Theone098 • 26 februari 2019 12:08

En het vervelende van een wachtwoord is dat je die hergebruikt, ergens noteert of opslaat en makkelijker te kraken zijn .
Natuurlijk hebben gebruikers er vooralsnog voor de huidige generatie computers een ontelbare hoeveelheid mogelijkheden dat is dus (praktisch) ∞

lenwar

Smartphones
Google
Beveiliging en antivirus

@Yev • 26 februari 2019 12:30

Het idee van vingerafdrukscanners op telefoons, is dat deze data nooit de telefoon verlaat. Je telefoon geeft niet je vingerafdruk aan een app. De telefoon verteld alleen tegen de app dat de vingerafdrukauthenticatie goed is gegaan.

De telefoon slaat een gegeneerde code op die door de vingerafdruk die door de vingerafdruk als sleutel werd gevoed en niet een plaatje van de vingerafdruk. Als die code wordt aangevuld met een unieke sleutel tijdens het opslaan heb je er dus niets aan buiten dat ene specifeke toestel.

Er zullen ongetwijfeld vingerafdrukdatabases bestaan, maar dan nog moet de betreffende crimimeel/overheidsfunctionaris/persoon fysiek bij je telefoon komen om er daadwerkelijk wat mee te kunnen (aangezien je vingerafdrukdata alleen op je telefoon staat).

Het afhakken van vingers vind ik overigens altijd een beetje een non-argument. Je moet dan fysiek bij een persoon zijn en wel HEEL erg graag bij die ene persoon z'n data komen. Er zijn ook andere manieren om daar bij te komen als je toch al fysiek bij hem/haar bent. (een mes tegen je keel of een ijspriem tegen je slaap om een pincode/wachtwoord in te toetsen motiveert heel erg om toch maar mee te werken)
Ik zeg altijd maar, als je voor het echie een doelwit bent, dan lukt het ze toch wel om bij je data te komen, ongeacht of je een vingerafdruk of een wachtwoord gebruikt.

Plekuz @lenwar • 26 februari 2019 13:27

Voor zover ik weet kun je met een afgehakte vinger niet eens een telefoon ontgrendelen, omdat de vingerscanner uit gaat van de kleine elektrische stroom die door onze huid loopt (capacitive) of van radio golven die alleen op levend materiaal reageren. Dus daar gaat men ook niet ver mee komen.

Yev @lenwar • 26 februari 2019 13:57

Het idee van vingerafdrukscanners op telefoons, is dat deze data nooit de telefoon verlaat.

Het idee van inlichtingendiensten is dat zij dit soort mooie veiligheden malverseren en omzeilen. Zodat zij tóch bij de data kunnen en lekker niemand het teweet komt

Maar wat de werkelijkheid is zullen we natuurlijk niet snel te weten komen tenzij nog eens een Wikileaks oid. Maar wat we wél met grote zekerheid kunnen stellen is dat die veiligheidsdiensten die data wil hebben en dat zij voor zover de VS niet aan wetten zijn gebonden als niet-VS grondgebied en dat bedrijven simpelweg wettelijk gedwongen worden hieraan mee te werken als de inlichtingendiensten dit eisen. Wbt China zijn er werkelijk helemaal geen normen/waarden/wetten waar de overheid zich aan hoeft te houden.

Wat mij verbaast is dat iedereen zo achter technisch fantastische theoriën aanloopt terwijl wij keer op keer op keer worden geconfronteerd met de harde realiteit.
Je weet simpelweg 100% zeker dat als Facebook WhatsApp overneemt en daarbij garandeerd dat FB nooit in de data van WA zal graaien, dit gegarandeerd toch zal gebeuren. Linksom of rechtsom. Openlijk of heimelijk. Wettelijk of wederrechtelijk.

Ik weet niet of er al iemand een verstandige wet heeft verzonnen maar het zal tijd worden om die al vanaf lagere school als wijsheid te leren: data die je aan derden geeft wordt ontvreemd. ALTIJD!

Dorank @Cyb • 26 februari 2019 12:22

Het beste is een combinatie van meerdere factoren.

Deze implementatie is in het simpelste geval:
-iets wat "iedereen" weet: username
-iets wat je hebt: telefoon (zonder enige vorm van toegangscontrole)

Maar voor de meesten is het dan al:
-iets wat "iedereen" weet: username
-iets wat je hebt: telefoon
-iets wat je weet/bent voor toegang tot het device: PIN en/of passphrase en/of biometrisch

Ik heb een yubikey en dan wordt het dus:
-iets wat "iedereen" weet: username
-iets wat je hebt: telefoon
-iets wat je weet/bent (voor device): PIN en/of passphrase en/of biometrisch
-iets wat je hebt: token (bv yubikey)
optioneel:
-iets wat je weet/bent voor token met authenticatie

Verder onderschatten mensen denk ik in het algemeen hoeveel een hacker in staat is (kwa identiteitsfraude) met een gestolen telefoon.

Dat komt omdat het bezit van de telefoon andere recovery mechanismen mogelijk maakt. Google kan bv een telefoontje of SMS sturen met een PIN als je je 2FA niet meer hebt. Je kan het bezit van het telefoonnnummer overtuigend gebruiken om via social engineering te werk te gaan.

AceAceAce @Dorank • 26 februari 2019 15:09

Iets wat 'iedereen' weet is geen factor in authenticatie, dit is een factor in identificatie.

LNDN @Cyb • 26 februari 2019 12:27

Inloggen zonder wachtwoord maar mét biometrische authenticatie of een auth-key is veiliger dan het gebruik van een wachtwoord alleen want:
1) Je ontneemt mensen het risico een makkelijk te raden wachtwoord te gebruiken.
2) Ontneemt mensen het risico gehackt te worden met phising omdat zij niet herleidbare gegevens aan derden geven bij een phisingspoging maar slechts een hash met salts en private key (en de hele rataplan) die bij problemen ge-unlinkt kan worden van een fysieke representatie van de vingerafdruk. (Als dit is hoe het protocol werkt.) Zo'n verdachtheidsmechanisme is al in werking bij Google producten bijv.
3) het hardwaregedeelte zorgt ervoor dat bij eventuele vermissing van de key of mobiel de radius waarin gezocht moet worden naar een dader kleiner is dan bij een wachtwoord dat bijv. in Noord-Korea kan eindigen.

Uiteraard is het minder veilig dan multifactor auth, maar dat is uiteraard logisch: een full bodyscan met irisscan, vingerafdrukscanner, stemherkenning, loopherkenning en hersenactiviteit scanner is uiteraard sterk dan vingerafdrukscanner en wachtwoord alleen.

T-men @Cyb • 26 februari 2019 11:46

Verder onderschatten mensen denk ik in het algemeen hoeveel een hacker in staat is

Volgens mij óverschatten veel mensen het belang van veel (!) wachtwoorden !

B.v. hier op tweakers heb ik een wachtwoord nodig om te verifiëren dat ik écht T-men ben. Een vorm van beveiliging is nodig anders kan iedereen wel roepen dat 'ie T-men is, maar verder is het wachtwoord hier vrij zinloos. Zéker sterke, niet te onthouden wachtwoorden zijn over-kill.

De informatie is niet echt waardevol voor hackers. Ik ben vrijwel anoniem en er is geen geld die via deze site over en weer gaat...

Wachtwoorden op Digid sites, mijn mail, mijn Facebook (lees: daar waar persoonlijke zaken op staan) die zijn belangrijk. Die moeten goed en sterk zijn !

Maar voor een forum als Twaekers kan een simpel single ID best volstaan. Dat geld voor veel sites op het net. Voor die sites is een beveiliging met FIDO2 ruim voldoende.

Pathogen @T-men • 26 februari 2019 12:18

Vergeet niet dat er ontzettend veel wordt gedaan aan tracking en profiling, waardoor T-men op Tweakers gelinkt kan worden aan T-men op LinkedIn, DigiD, Facebook etc.

Overigens is het niet erg moeilijk om aan de hand van jouw Tweakers profiel je Facebook te vinden.

T-men @Pathogen • 26 februari 2019 12:44

Mijn Facebook VINDEN is geen probleem. Zoals ik al schrijf moet (en zit !) dáár wél een goed en sterk wachtwoord op.
Mijn punt is dat het voor 'tig' sites nauwelijks uit maakt, maar voor enkele wél.

Alleen door het moeten onthouden van 'tig' verschillende wachtwoorden, elk met andere eisen gaan mensen grijpen naar telkens weer eenvoudig te onthouden (vaak zwakke) wachtwoorden. En die gaan ze dan ook gebruiken op de wél belangrijke sites.

Dat is het grote gevaar van het (overal) eisen van sterke wachtwoorden.

FIDO2 kan voor dát soort sites een oplossing zijn.

(Ja ik weet het, je kunt ook een wachtwoordmanager gebruiken, maar de eerste leek die dat ook werkelijk doet moet ik nog tegenkomen...)

vrow @Pathogen • 26 februari 2019 12:37

Overigens is het niet erg moeilijk om aan de hand van jouw Tweakers profiel je Facebook te vinden.

Ja, had hij nou maar een beter wachtwoord op zijn Tweakers-account gezet, dan had je zijn Facebookpagina nooit gevonden natuurlijk

markg85 26 februari 2019 23:42

Oke, goed, leuk!
Werkt idd op mobiel en werkt ook leuk!

De korte beschrijving voor wie het wil proberen:

Installeer Google Authenticator*
Ga naar https://webauthn.io/
Registreer (alleen je e-mail invullen)
Next. Je moet nu een popup krijgen om met je vingerafdruk te registreren
(als het goed is) klaar, geregistreerd. En je heb nooit een wachtwoord ingevuld!

Hoe werkt het nu?.. Zie hier veel vragen daarover.
Vergelijk het met een SSH authorized keys. Alleen is het daar zichtbaar wat er gebeurd. Daar genereer je eerst een public en private key, de public key stop je in het authorized_keys bestand en vervolgens kan je vanaf overal waar je de private key heb inloggen op je pc.

Zo werkt FIDO2 ook. Jouw telefoon doet de "private key" kant. Bij het registreren gaat de public key naar de site toe. Bij het inloggen (je ben dan al geregistreerd) kent de site je public key al en kom je erin.

Een enorm grote feature die ik wel mis is om mijn smartphone te gebruiken voor het inloggen op websites op mijn desktop of simpelweg ergens anders dan op de smartphone zelf. Weet iemand of er al ergens iets is dat je dat werkend kan krijgen? Naar mijn idee is dat nog een beetje de laatste drempel die genomen moet worden voor dit systeem breed een succes kan worden.

Al is het wellicht ook wat vroeg. Android is blijkbaar nu pas net compatible dus moeten ze nu nog met android bluetooth die FIDO2 toegankelijk maken. Je PC vervolgens koppelen met je smartphone en dat vervolgens weer doorgeven aan je browser (pff, veel laagjes)... Komt vast nog wel

* = Mogelijk moet je 2FA aanzetten in je google account en moet je de Goole Authenticator koppelen met je Google account.

[Reactie gewijzigd door markg85 op 23 juli 2024 01:29]

Mushroomician 27 februari 2019 01:57

Biometrische inlogdata is, o.a. in Nederland, niet beschermd door het zwijgrecht.
nieuws: Rechter: verdachte dwingen om smartphone te ontgrendelen met vingeraf mag

Daarnaast mag onze eigen overheid hun eigen database gebruiken:
nieuws: Overheid mag biometrische gegevens paspoort gebruiken voor opsporing

Deze mogen ze ook delen met de FBI:
nieuws: Nederlandse politie en FBI geven elkaar toegang tot databank met ving...

En in de VS mag deze data zonder enig belemmering worden gebruikt door de overheid, want wij zijn geen Amerikaanse burgers.

Conclusie: achteruitgang vanwege gemakzucht. Een wachtwoord mag (nog) niet met een MRI-scan uit je brein worden gehaald.

[Reactie gewijzigd door Mushroomician op 23 juli 2024 01:29]

MenN 26 februari 2019 13:52

Hoe is dit nu anders dan de gegenereerde wachtwoorden gebruiken die safari op mijn iPhone maakt, welke vervolgens automatisch ingevuld worden door middel van faceID?

Zo'n key is natuurlijk ook maar alleen een serie van getallen. Dus als het wachtwoord gewoon langer gemaakt wordt zijn we er toch al?

Rafe @MenN • 26 februari 2019 14:42

Nee, het is absoluut niet hetzelfde. FIDO2 gebruikt public key cryptography: elke keer dat je authenticeert is er een random challenge en is domeincontrole onderdeel van het protocol om het bestand te maken tegen phishing. Ook als de server database lekt kan een hacker weinig met publieke sleutels, zelf als deze onversleuteld worden opgelsagen. Zoals we allemaal weten is dat met normale wachtwoorden wel anders.

MenN @Rafe • 26 februari 2019 18:54

Ah thx voor de uitleg. Dit maakt het geheel wat duidelijker.

KWOAD

26 februari 2019 11:35

Ik hoop ook dat meer diensten fido2 echt gaan ondersteunen. Tot nu toe kan ik mijn fido2-sleutel nog nergens zonder wachtwoord inloggen.

Dorank @KWOAD • 26 februari 2019 12:26

Ik heb een Yubikey gekoppeld aan mijn Google account (al minimaal 1 jaar), erg irritant aangezien dat de eerste auh methode is die wordt gevraagd en die key veilig is opgeborgen (omdat die ook mijn master private GPG key bevat).

NEO256

26 februari 2019 10:56

Kort door de bocht: prachtig en nobel idee, maar als ik dan zo iets lees als dit:

"Nu is het tijd dat ontwikkelaars hun gebruikers van het risico en de lasten van wachtwoorden bevrijden en FIDO-authenticatie integreren", stelt Brett McDowell, topman van de alliantie.

Krijg ik wel een "wij van wc eend, adviseren wc eend" gevoel. Beetje zoals bij de OV chipkaart, prachtige beloftes, maar tijd doet leren.

Ik hoop van harte dat dit een succes wordt. En niet zozeer meteen in implementatie en gebruik aantallen, maar dat het daadwerkelijk een goed veilig standaard wordt waar we op door kunnen bouwen.

Als er dan x jaar lang bij groot gebruik niks naars gebeurt (lekker van biometrische informatie, hardware sleutels of andere account informatie om maar iets te noemen) dan wil ik ze graag omarmen als "de beste" oplossing voor authenticatie.

CivLord

@NEO256 • 26 februari 2019 14:51

Als er dan x jaar lang bij groot gebruik niks naars gebeurt (lekker van biometrische informatie, hardware sleutels of andere account informatie om maar iets te noemen) dan wil ik ze graag omarmen als "de beste" oplossing voor authenticatie.

We zijn al een aantal jaar bezig met vingerafdrukscanners op telefoons. Veel van die scanner, zeker in het begin, waren van bedenkelijke kwaliteit en soms kinderlijk eenvoudig te omzeilen of te belazeren. Toch is daar nooit (grootschalig) misbruik van gemaakt. Nu wordt het gebruik uitgebreid, maar de scanners en de implementatie zijn veel beter geworden. Ik denk dat het beveiligingsniveau een stuk beter is en blijft t.o.v. wachtwoorden.

NEO256

@CivLord • 26 februari 2019 16:24

Ik denk dat het 'hoe interessant' het is om een bepaald systeem te kraken groeit met hoeveel toepassingen het heeft. Als een telefoon ontgrendeld kan worden met een vinger afdrukscan... leuk voor een hacker, maar dan heb je dus nog steeds fysieke toegang nodig tot het apparaat voor je er iets mee kunt.

Als dadelijk alles en iedereen bij die data zou kunnen en kan gebruiken om toegang te krijgen tot data die bij hen is opgeslagen, dan wordt het toch vervelender. Zeker omdat je vinger afdrukken niet kunt uitwisselen. En als je ze alle 10 een keer gebruikt hebt, dan ben je klaar.

En dit is alleen nog maar vinger afdruk. Ik kan me ook andere nare zaken voorstellen die men zou kunnen doen mocht er toch nog ergens iets van ongeautoriseerde toegang mogelijk zijn. Ik zeg niet dat de heren en dames er niet over na zouden hebben gedacht, maar vertrouwen winnen duurt lang daar is een grote groep gebruikers en tijd voor nodig. En dat vertrouwen is ook zo weer verloren.

Fido 26 februari 2019 11:30

Goed bedachte naam ook.

Ben wel benieuwd wanneer Apple deze certificering krijgt.

mutley69 26 februari 2019 11:41

Wat ik rampzalig vindt is - dat er met vingerafdrukken gewerkt kan worden. Security en biometrie gaan alleen maar samen als er met 3 factoren gewerkt wordt, en de vingerafdruk (of iets anders qua biometrische eigenschap) gebruikt wordt als vervanger van het account. Niets meer - niets minder.
Gezien nu door ex-minister Jambon de vingerafdrukken en alle gegevens gratis en draadloos gaan verdeeld worden met de nieuwe paspoorten (niet alleen COSIC heeft daar dus kritiek op). Bewijst het samenvoegen van die 2 "it-aanbiedingen" in feite het faillisement van biometrie als beveiligingsmethode.
Die hardwarematige sleutel is al een heel stuk beter, maar gezien het gebakken is in hardware - als er ooit lekken zijn ben je ook geschoren. De massa zou dus sterk moeten vergroten, zodat die prijs naar beneden gaat, en de vervanging dus iets minder duur gaat worden. 50€ voor één stick is geen stick. Je wil er nl. minstens 2. Want als één niet werkt - moet je de reserve kunnen gebruiken.
De goedkopere varianten (de chinezen vanaf 10€) blijken bijna allemaal wat lancunes te bevatten - 't is maar dat je 't weet...

Coffee2Code 26 februari 2019 16:43

Zojuist getest, werkt als een zonnetje! :-)

Plaatjes

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (64)

Sorteer op:

Weergave: