Techbedrijven gaan wachtwoordloze authenticatie via FIDO in software plaatsen

Google, Apple en Microsoft gaan in het komende jaar verschillende soorten software voorzien van het FIDO-protocol. Onder andere Android, Chrome, iOS, macOS, Safari, Windows en Edge krijgen ondersteuning voor authenticatie en inloggen zonder wachtwoorden.

De bedrijven achter 'alle grote apparaatplatformen' hebben het voornemen om in het komende jaar de FIDO-sign-in-standaard te implementeren in hun software. Die komt in ieder geval in Android en Chrome, schrijft Google. Apple en Microsoft doen ook mee met het voornemen door de standaard te implementeren in besturingssystemen iOS en macOS, en in browsers Safari en Edge. Het is nog niet bekend op welke termijn dat precies per aanbieder moet gebeuren, maar de bedrijven hebben het over 'in het komende jaar'.

De software krijgt op dat moment ondersteuning voor de FIDO-standaard, die ontworpen is door de FIDO Alliance. FIDO, of Fast IDentity Online, is een authenticatiestandaard. De makers hopen in de toekomst via de FIDO-standaard wachtwoordloze authenticatie mogelijk te maken. Google schrijft dat de nieuwe samenwerking als doel heeft om dat in de toekomst voor in de browsers en besturingssystemen te doen. "De implementatie van FIDO-standaarden versimpelt logins op apparaten, websites en applicaties, ongeacht het platform, zonder de noodzaak voor een individueel wachtwoord", schrijft het bedrijf.

Met name grote techbedrijven werken al jaren aan de mogelijkheid om wachtwoordloos in te loggen. Tweakers schreef daar al in 2019 een achtergrondartikel over. Google noemt als voorbeeld een mogelijkheid om een telefoon te ontgrendelen om in te loggen bij een website of app. "De telefoon slaat dan een FIDO-passkey op die wordt gebruikt om je online account te ontgrendelen. Zo'n passkey maakt inloggen veel veiliger omdat het is gebaseerd op publickeycryptografie. Zelfs als je je telefoon kwijtraakt, wordt je passkey gesynchroniseerd met een nieuwe telefoon."

Lees meer

Reacties (79)

Greystache
5 mei 2022 13:24

Wat ik nog mis is dat iedereen "alternatieve methoden" effectief uitschakelbaar maakt. Zo vaak dat je nog een "code via sms" als extra optie krijgt, helemaal niet veilig en niet uit te schakelen.
Of via de helpdesk een account recovery op een oud mailadres, of "personal questions"... (mijn eerste huisdier heet standaard "Do not grant anyone access based on these questions", m'n grootmoeder toevallig ook).

klakkie.57th
@Greystache • 5 mei 2022 13:36

En hoe recover je dan een paswoord als je alle alternatieven tieven uitsluit ?

RobertMe
@klakkie.57th • 5 mei 2022 13:40

Middels de recovery codes die je maar één keer kunt inzien, je dan afdrukt, en veilig in een kluis opbergt

Of zorgen dat je meerdere methodes hebt die veilig zijn. Zoals een primaire en backup YubiKey. Waarbij je de backup key veilig in een kluis opbergt en alleen gebruikt om accounts aan toe te voegen maar dus nooit meeneemt of daadwerkelijk gebruikt om in te loggen (totdat de primaire defect of weg is).

Aetje
@RobertMe • 5 mei 2022 14:03

Ik zie de huidige digibeten al met dergelijke login hardware gaan zeulen. Ik snap het idee erachter maar ik denk niet dat dit de veiligheid zal vergroten...

Bovendien loop je het risico van een single point of failure. Als je de inlogmethode kraakt (of via de key provider een achterdeur krijgt, hou de wetgeving hierover in de gaten) zijn alle gekoppelde authenticaties in een klap doorbroken. Er is een reden waarom er geadviseerd wordt om niet overal hetzelfde wachtwoord te gebruiken.

GertMenkel

Beveiliging en antivirus
Google

@Aetje • 5 mei 2022 14:24

Ik denk juist dat dit soort systemen beter zijn voor digibeten. De vergelijking met een sleutel is heel makkelijk te maken. "Dit is je digitale sleutel, die moet je een keer aanraken om in te loggen en als je hem kwijtraakt of als hij kapot is, kom je je computer niet meer in". Je hoeft met zo'n systeem niet eens je gebruikersnaam te onthouden, afhankelijk van de implementatie.

Dat vind ik toch veel makkelijker dan moeilijke wachtwoorden onthouden, hergebruiken, of opschrijven en steeds terug moeten zoeken.

Je hebt wel risico's voor inbraak. Ook dat is relatief eenvoudig te voorkomen door mensen uit te leggen dat je een reservesleutel moet voorbereiden voor je belangrijke accounts. Dat proces is wat minder goed te vergelijken met de echte wereld, maar conceptueel denk ik dat iedereen dat wel begrijpt.

Als je de inlogmethode kraakt kom je inderdaad zo binnen maar dat is vele malen moeilijker dan wachtwoorden achterhalen omdat ie fysiek aanwezig moet zijn. Hoe vaak ik mensen wel niet Welkom123! als wachtwoord heb zien gebruiken omdat het zo lekker makkelijk is... Wachtwoordhergebruik is in de praktijk een veel groter probleem dan het extraheren van sleutels uit een chip, al is dat tweede natuurlijk verre van makkelijk.

Aetje
@GertMenkel • 5 mei 2022 16:55

Ook dat is relatief eenvoudig te voorkomen door mensen uit te leggen dat je een reservesleutel moet voorbereiden voor je belangrijke accounts.

Wie gaat dit doen? De Media Markt verkopers? Slimme Jantje die bijklust als IT mannetje? Of zoontje/dochtertjelief (die dan gelijk een kopietje voor zichzelf maakt en dan overal in kan)?

Alles waar gebruikers training voor nodig is zal tegenwoordig op zijn gat vallen omdat niemand het meer doet. Binnen een bedrijf kan het nog enigzins, maar ik zie dit voor prive systemen niet nuttig worden.

Hoe vaak ik mensen wel niet Welkom123! als wachtwoord heb zien gebruiken omdat het zo lekker makkelijk is...

*wachtwoord wijzig doet*

-ION-
@GertMenkel • 5 mei 2022 17:06

Ik denk juist dat dit soort systemen beter zijn voor digibeten. De vergelijking met een sleutel is heel makkelijk te maken. "Dit is je digitale sleutel, die moet je een keer aanraken om in te loggen en als je hem kwijtraakt of als hij kapot is, kom je je computer niet meer in".

De vergelijking eindigt echter snel omdat men bij het kwijtraken van de sleutel of het zichzelf buitensluiten de slotenmaker kan bellen of desnoods een ruit kan ingooien. En dat gebeurt vaker dan je zou denken.

[Reactie gewijzigd door -ION- op 5 mei 2022 17:06]

its_charro
@-ION- • 6 mei 2022 07:20

De vergelijking eindigt echter snel omdat men bij het kwijtraken van de sleutel of het zichzelf buitensluiten de slotenmaker kan bellen of desnoods een ruit kan ingooien. En dat gebeurt vaker dan je zou denken.

Daarom heb ik een persoon die een reserve sleutel van mij heeft, feitelijk dus een backup... komt geen slotenmaker of gebroken ruit aan te pas

gorgi_19
@RobertMe • 5 mei 2022 14:06

Aan de andere kant zijn er genoeg gebruikers die er dan niet inkomen, de applicatie de schuld geven en slechte reviews gaan plaatsen, of de helpdesk gaan volspammen dat ze er niet inkomen en het NU opgelost moet worden.

Backup codes zijn mooi, maar ik betwijfel of veel 'gewone' gebruikers deze gaan downloaden, veilig opslaan en later nog kunnen terugvinden.

Mensen beginnen net gewend te raken aan 2FA. Wachtwoordloos inloggen zal nog best een drempel zijn voor velen. Dan is het niet gek om 'oude' methodes nog even te laten staan, en die over een tijdje uit te faseren.

klakkie.57th
@RobertMe • 5 mei 2022 14:15

Dat helpt wel niet echt als je aan de andere kant van de wereld zit en je codes thuis in een kluis opgeslagen liggen.

LNDN
@RobertMe • 6 mei 2022 16:34

Ik zou het liefst TOTP via andOTP, FIDO bluetooth (wearauthn) en een yubikey als enige optie doen. Maar zowel yubi als de fido optie werken niet soepel genoeg om ook TOTP uit te zetten.

SunnieNL

@klakkie.57th • 5 mei 2022 14:28

Je hebt geen wachtwoord meer. Dat maakt alles ook gelijk een stuk veiliger. Ook voor bedrijven. Doordat jij jouw onderliggende wachtwoord niet weet kun jij niet met een ander apparaat inloggen. Het apparaat wat jij gebruikt is vertrouwd. Op het moment dat dat niet meer zo is (gestolen, vreemde apps op het device, geroot, jij bent als gebruiker ontslagen of hebt ontslag genomen, etc.) wordt je apparaat niet meer vertrouwd en kun je niet meer inloggen.
Bij problemen is hooguit een ander device authenticeren om te mogen ontgrendelen en daar zijn procedures voor. Meestal wordt dit gekoppeld aan een MDM oplossing bij bedrijven, waardoor dit vrijwel vanzelf gaat en je token dus ook mee verhuisd naar een nieuw apparaat.

Bruin Poeper
@SunnieNL • 5 mei 2022 15:46

Je hebt geen wachtwoord meer.

Nee? Volgens mij staat het wachtwoord op je telefoon, ook al heet het FIDO-passkey.

"De telefoon slaat dan een FIDO-passkey op die wordt gebruikt om je online account te ontgrendelen."

SunnieNL

@Bruin Poeper • 5 mei 2022 15:52

Ligt aan de implementatie.
Ik richt het meestal in met een certificate based backend en een MDM oplossing (bedrijf waar ik voor werk heeft dit al een paar jaar beschikbaar). Soms heeft het systeem waar je op wilt inloggen echter nog wel een wachtwoord nodig (een Windows Desktop bijvoorbeeld kan niet werken zonder wachtwoord op het gebruikersaccount).
In mijn implementatie staat er geen wachtwoord op het device. Die handelt puur en alleen de authenticatie van de gebruiker af (niet meer dan een True or False gaat naar de backend). Na authenticatie verloopt de rest via de backend.
Gebruiker weet geen wachtwoord, device weet geen wachtwoord. Veiliger kunnen we het niet maken

Bij lokale implementatie wordt er overigens ook geen wachtwoord opgeslagen, maar een private key.

[Reactie gewijzigd door SunnieNL op 5 mei 2022 15:53]

Bruin Poeper
@SunnieNL • 5 mei 2022 16:00

Gebruiker weet geen wachtwoord, device weet geen wachtwoord. Veiliger kunnen we het niet maken

Zo veilig lijkt me een "device" niet. Kan gestolen, geleend, verloren worden. Wie hem bij zich heeft is spekkoper.

Dan liever een PINcode, die is device-loos en kun je ook niet verliezen, stelen of lenen zolang je hem niet verklapt.

[Reactie gewijzigd door Bruin Poeper op 5 mei 2022 16:04]

SunnieNL

@Bruin Poeper • 5 mei 2022 16:32

Een device kun je verliezen, maar door management kun je hem niet unlocken zonder biometrische zaken. Het hele wachtwoordloos gaat niet werken op een device wat geen enkele factor actief heeft om te unlocken.
Een pincode wordt daarin zeker niet meer vertrouwd. Dat is echt te weinig voor authenticatie omdat een pincode juist snel verloren wordt. Met een pincode kan ik nooit met zekerheid zeggen dat jij wel de persoon bent bij wie die pincode hoort. Wat dat betreft is een pincode net zo onveilig als een wachtwoord.

Een device die biometrisch is beveiligd kun je niet uitlenen zonder hem te unlocken. Als hij gestolen wordt, is hij door de dief niet te unlocken zonder er zaken mee te doen die het device direct als onbetrouwbaar laat bestempelen.

[Reactie gewijzigd door SunnieNL op 5 mei 2022 16:36]

klakkie.57th
@SunnieNL • 5 mei 2022 17:00

Alleen faalt die biometrische herkenning nog al wel eens. Mijn samsung tablet faalt minstens 1 keer per dag.

Er moeten echt nog wel een hele hoop puzzelstukjes precies op zijn plek vallen wilt die feilloos werken.

darkjeric

@klakkie.57th • 8 mei 2022 10:01

Bedoel je dan "falen" als in hij herkent je niet, of hij herkent iemand anders als jou? Het eerste is vooral een usability-dingetje (maar nog te overzien), het tweede zou het hele security-verhaal wel serieus ondermijnen...

klakkie.57th
@darkjeric • 8 mei 2022 10:12

Gewoon de finger-print sensor is niet goed genoeg. Ik moet meestal 2 a 3 keer proberen voor het lukt en dus heel vaak lukt het gewoon niet en moet ik het paswoord ingeven

[Reactie gewijzigd door klakkie.57th op 8 mei 2022 10:12]

YopY
@klakkie.57th • 5 mei 2022 14:09

Uiteindelijk is dat afhankelijk van hoe veilig het moet zijn.

Voor consumenten: uiteindelijk gaat het naar een supportafdeling die een account kan herstellen. Daar zit een risico voor social engineering aan vast natuurlijk.

Voor echt geheime gegevens: Uiteindelijk moet je er een streep onder zetten en zeggen "de data is verloren". Een beetje zoals als je de private key van je bitcoin wallet verloren bent; daar is geen recovery meer voor, dus is het kwijt. Beter kwijt dan in de verkeerde handen, denk ik maar.

P_Tingen
@Greystache • 5 mei 2022 14:01

Bij "personal questions" vul ik juist vaak iets in wat er totaal niet op slaat. De naam van mijn eerste huisdier is op een of andere manier nog wel te achterhalen, behalve als ik er iets anders, zoals bv een gegenereerd wachtwoord in opsla. (helpdesk: heette uw eerste huisdier echt ''BeBR^H9M^p!T7#"?)

YopY
@P_Tingen • 5 mei 2022 14:10

Ik doe zelf idd gegenereerde wachtwoorden... dat is een gevaar als mijn password manager gehacked raakt of niet meer toegankelijk is, maar het is bestand tegen social engineering en dergelijke.

GertMenkel

Beveiliging en antivirus
Google

@P_Tingen • 5 mei 2022 14:28

Afhankelijk van het bedrijf kan zo'n beveiligingsvraag nog wel eens door de helpdesk overgeslagen worden als de phisher zegt "oh daar heb ik maar wat op mijn toetsenbord geramd volgens mij". Als je dat zegt en er een daadwerkelijk woord staat, zal de helpdeskpersoon dat waarschijnlijk laten blijken (en kun je na terugbellen bij de volgende helpdeskmedewerker opnieuw proberen) en als je wel een willekeurige string hebt, is de kans groot dat men het wel gelooft.

Nepinformatie genereren en opslaan als extra wachtwoord is zeker geen slecht idee, maar kijk uit voor willekeurige strings.

pitdicker
@P_Tingen • 5 mei 2022 14:30

Helemaal mee eens dat een beveiligingsvraag waar iedereen die een beetje moeite doet het antwoord op kan vinden of raden (waar ben je geboren etc.) niet erg veilig is.
Maar door onzin in te vullen beperk je wel je mogelijkheden om bij problemen je account in te komen. Zelf laatst nog problemen mee gehad met een Apple-account dat ik in een ver verleden had aangemaakt...

Een betere optie is om de vragen naar waarheid in te vullen, maar met een ander persoon in gedachten. Je vult de antwoorden in die een vriend zou geven, je vader, of bijv. een personage uit een film.

darkjeric

@pitdicker • 8 mei 2022 09:59

Of... Je gebruikt een wachtwoordmanager voor al je wachtwoorden (sowieso de beste manier om met wachtwoorden om te gaan) en slaat je onzin-antwoorden van security questions ook daarin op. Daarmee worden het de facto een paar extra en veilige wachtwoorden ipv iets dat te achterhalen is.

(Een leuk neveneffect is dat het recoveren van accounts een grappig proces kan worden. Zo ben ik geboren in "Een dikke Vette hamburger met curry" en is de 2e naam van mijn moeder blijkbaar "No but Yeah but no But zeker en vast not Albus Dumbledore". Tovert altijd een glimlach op m'n gezicht als ik zoiets moet overkopiëren

)

Dat je wachtwoordmanager dan een single-point-of-failure wordt kan je weer ondervangen door die op z'n minst ook met 2FA te beveiligen, en als je het helemaal goed wilt doen voeg je handmatig aan elk wachtwoord nog een klein stukje toe (kan vooraan of achteraan) dat niet staat opgeslagen in je database.

vDorst
@Greystache • 5 mei 2022 13:38

Voordeel en de bedoeling van FIDO is, dat je meerdere "devices" kan registeren.
Als je er dan een verliest dan heb je de andere nog.
Daarnaast kunnen er ook recovery codes worden gemaakt. Dit gebeurt bijvoorbeeld bij Github.

RobertMe
5 mei 2022 13:25

Ik heb het artikel nu al meerdere keren gelezen, maar ik snap er nog steeds niks van.

Ik weet van het bestaan van inloggen zonder wachtwoord middels Webauthn, de browser / JavaScript standaard voor FIDO gebruik op websites. Maar wat is nu precies het plan van de bedrijven? De genoemde browsers hebben namelijk allemaal al ondersteuning voor Webauthn, inclusief inloggen zonder wachtwoord. Heck, volgens mij had Microsoft al 3, 4 jaar geleden voorbeelden om middels Windows Hello (via vingerafdruk, gezichtsherkenning, of met een pincode) in te loggen zonder een wachtwoord middels de Webaithn standaard. Of gaat dit er om dat je bij genoemde besturingssystemen en browsers kunt inloggen middels een FIDO sleutel (zoals een YubiKey)? Of gaat dit er om dat je bv jouw Android telefoon kunt gebruiken als FIDO sleutel om je bv in Chrome op de desktop aan te melden? Maar ook dat is een techniek die Google IIRC al ingebouwd heeft. Dat Chrome op de desktop, mits je bent ingelogd, een notificatie naar de, met hetzelfde account ingelogde, Android telefoon en je met een akkoord op de telefoon de login op de desktop bevestigd. En dat de communicatie tussen Chrome en de website dus via Webaithn verloopt. Dat Chrome vervolgens met een Android telefoon babbelt maakt vervolgens niet uit, hetzelfde als dat het voor de website niet uit maakt of je rechtstreeks met bv een vingerafdruk op een laptop bevestigd, of een USB sleutel gebruikt, of als je hetzelfde op de telefoon doet dat het via NFC plaatsvindt. Wat de browser gebruikt om het Webauthn proces te doorlopen maakt daarbij niet uit. Het enige waar de Webauthn standaard onderscheid in maakt zijn resident vs roaming keys. Dus een ingebakken vingerafdrukscanner of 3D camera waardoor het alleen werkt op dat specifieke apparaat, of een USB / NFC / ... key die apparaat onafhankelijk is. Inloggen met vingerafdruk of gezichtsherkenning werkt dus alleen op het systeem waarmee je dit hebt ingesteld. Tetwijl bij een USB / NFC key, zoals een YubiKey, dit op elk systeem gaat, zolang je uiteraard maar dezelfde key gebruikt.

barbarbar
@RobertMe • 5 mei 2022 13:42

Inderdaad, snap het ook niet helemaal. Je kunt nu al Windows Hello gebruiken om in te loggen op websites die webauth gebruiken. Je kunt nu al inloggen op Windows zonder wachtwoord of pin, doe het zelf ook.

Ik denk dat ze er het meeste mee bereiken als ze de standaard inlogopties met gebruikersnaam en wachtwoord gaan wegstoppen, en dan inloggen met een key als eerste optie gaan tonen zodat gebruikers er bekend mee gaan worden.

Het idee van sleutels gebruiken is heel goed, maar weinig mensen snappen het echt, laat staan dat ze het vertrouwen. En dan bedoel ik op gebruikersnivo. Kom regelmatig tegen dat het gebruik van een password manager al een enorme stap blijkt, zelfs onder ict'ers.

En die reset opties moeten ook anders. Nu heb ik bij accounts twee factor aan staan, maar die kun je dan via sms uitzetten, of via een linkje in een mail, of via het beantwoorden van vragen waarop je de antwoorden van facebook kunt trekken voor veel mensen. Ik wil graag de mogelijkheid om die reset opties compleet uit te zetten. Mocht het ooit nodig zijn, gooi het dan achter een betaalmuur en stuur een code per post aangevuld met sms of mail. Als het achter een betaalmuur zit zullen hackers zich wel twee keer bedenken, en de gebruikers zullen beter gaan omgaan met hun gegevens.

RobertMe
@barbarbar • 5 mei 2022 13:50

Recovery kan natuurlijk nog makkelijker. Gewoon een timeout van 24 uur er op zetten. Nu recovery aanvragen is minimaal 24 uur wachten op toegang. Daarnaast meteen bv een mailtje naar de gebruiker sturen met "Heb je dit niet aangevraagd? Klik dan hier om in te trekken". Als het om een hackpoging gaat heeft de legitieme gebruiker de tijd om het in te trekken terwijl een kwaadwillende een tijd moet wachten voordat die toegang krijgt.

Geld ervoor vragen gaat daarbij ook niet helpen. Meeste zullen dan eerder een nieuw account aanmaken dan bv €50 te betalen. En daarnaast is het de vraag of een hacker niet wilt betalen. Het overnemen van een account gebeurt immers ook met een reden. Als in: waarschijnlijk valt er geld mee te verdienen. Wat onkosten om een recovery "af te kopen" maakt het verschil dan ook niet.

barbarbar
@RobertMe • 5 mei 2022 15:08

Die 24 uur wachten zie ik wel eens inderdaad, maar dan in andere vorm. Als een account in de afgelopen 24 uur nog actief was, kun je geen reset doen. Als je iemand gaat vragen om een verzoek in te trekken, zal vrijwel niemand dat opvallen want die mailtjes worden niet gelezen, heb zelf in ieder regelmatig periodes dat ik meer dan een dag geen mail lees en al helemaal niet actief iets moet gaan doen om een hackpoging tegen te houden.

Geld vragen zal een spoor achterlaten naar de hacker, de casual hacker die aan het vissen is houd je er echt wel mee tegen, die wil dat risico en geld echt niet missen. De doelbewuste hacker die het specifiek op jou gemunt heeft, en manieren heeft om zonder sporen een betaling te doen, zal je er niet door weerhouden, maar dan heb je wel 99,999% van alle pogingen tegengehouden denk ik. De prijs hoeft ook geen 50 euro te zijn, dat kan ook 50c zijn, het gaat er met name om dat er een spoor ontstaat en een extra juridische barriëre. Ook kan de betaling als controle gebruikt worden om accounts op naam te controleren.

Het zal niet voor elke site een uitkomst zijn, maar voor accounts van microsoft of google waar ik vrij veel aan heb hangen, zou ik dat best een geschikte oplossing vinden.

CAPSLOCK2000

Beveiliging en antivirus
Google
Microsoft

@RobertMe • 5 mei 2022 15:20

Ik heb het artikel nu al meerdere keren gelezen, maar ik snap er nog steeds niks van.

Ik weet van het bestaan van inloggen zonder wachtwoord middels Webauthn, de browser / JavaScript standaard voor FIDO gebruik op websites. Maar wat is nu precies het plan van de bedrijven?

Simpel gezegd: meer.
FIDO/webauthn is nu wel toegevoegd aan de belangrijkste apparaten en systemen maar een hele hoop ook niet. Voordat we echt afscheid kunnen nemen van wachtwoorden moet er nog een hoop gebeuren. Niet in het minst moeten de gebruikers overtuigd worden om er gebruik van te gaan maken. Een reclamecampagne hoort daarbij en vandaar dit presbericht

Verder zal de ondersteuning ook een stuk verder moeten gaan, het zijn nu nog veel losse stukjes die niet echt samenwerken. Je wil eigenlijk 1 raamwerk hebben om op je PC in te loggen, met je wifi verbinden, je telefoon koppelen, je print-job authenticeren, je postvakje ontgrendelen, de voordeur openmaken, inloggen op je e-mail, etc... Al die voorbeelden zijn mogelijk met wat werk en de juiste componenten maar echt soepel en universeel is het nog niet.

[Reactie gewijzigd door CAPSLOCK2000 op 5 mei 2022 15:22]

Terrestrial
5 mei 2022 13:11

Ik heb al jaren zo'n sleuteltje liggen maar het is te ingewikkeld om op te zetten, ik heb het wel is getest maar eerst maar is een fatsoenlijke handleiding/software er bij leveren.

barbarbar
@Terrestrial • 5 mei 2022 15:19

Je ervaring kan ik wel beamen. Heb zelf een middenweg gevonden. Ik gebruik nu de yubikey als tweede-factor voor mijn Bitwarden passwordmanager. Die is zo ingesteld dat die op de laptop en telefoon via biometrie ontgrendeld (Windows Hello of vingerafdruk). Dat is voor vertrouwde apparaten goed genoeg vind ik. Vervolgens gebruik ik de password manager om overal sterke wachtwoorden aan te maken, zodoende hoef ik nergens meer een wachtwoord te onthouden.

De yubikey en passphrase voor de kluis van Bitwarden ben ik dan alleen nodig als ik ergens anders inlog, of ik bewust mijn account uitlog (bijvoorbeeld bij reizen).

Inloggen op windows doe ik nu met Windows Hello, en heb via grouppolicy aangezet dat twee manieren nodig zijn. Dus kan nu met gezichtherkenning én vingerafdruk (of pin) inloggen. Laptop heeft bitlocker met pincode aanstaan, dus alleen bij opstarten geef ik een pincode in. Resultaat is dat als ik ergens ben er niks afgekeken kan worden omdat alles via biometry gaat, en ik de yubikey ook niet nodig ben voor de dagelijkse dingen.

Als een site zelf tweefactor ondersteund, stel ik altijd de totp code in via aan app op de telefoon. Die code die als key wordt gebruikt sla ik op een aparte keepass kluis, zodat die los staat van de bitwarden kluis (en dus 2fa niet ondermijnd), maar ik die wel kan overzetten als mijn telefoon weg is.

Praktisch kan ik dus overal een sterk wachtwoord gebruiken, heb die overal beschikbaar, is uiteindelijk beveiligd met yubikey. Gebruik nu de yubikey met vingerafdruk voor fido2 met bitwarden, een backup yubikey5 als 2fa ligt in de kluis, en bij een vertrouwde persoon ligt nog een gesealde envelop met een account waarmee mijn bitwarden kluis na 14 dagen is over te nemen. Daarmee kan in geval van nood toegang tot mijn accounts verkregen worden.

Newbey
@Terrestrial • 5 mei 2022 13:21

Je hebt wel tijd om hier te reageren, maar schijnbaar niet om hiervoor even te zoeken op internet.

sleiN13
@Newbey • 5 mei 2022 13:30

Als het a Yubikey is snap ik het wel. Heb ook al meerdere pogingen gedaan. Maar documentatie is soms verouderd, incompleet of geeft niet aan dat je specifiek een ander programma moet downloaden of zelfs een ouder programma. Daarnaast zou het windows signing moeten ondersteunen maar dat werkte niet meer na een bepaalde windows update. etc. etc. etc.

Gebruik de key nu alleen maar als 2fa middel en dat werkt best lekker.

mrdemc
@sleiN13 • 5 mei 2022 13:45

Ik gebruik de yubikey al jaren op verschillende manieren:

PGP encryptie/Ondertekenen van e-mail/berichten en bestanden
SSH authenticatie
FIDO login via WebAuthN op websites
PKCS#12 smartcard voor authenticatie en software signen

Alle manieren zijn eenvoudig op te zetten en te gebruiken met de beschikbare handleidingen. Ik heb in totaal 2 yubikeys voor verschillende doeleinden (persoonlijk en zakelijk) en beiden werken ook prima naast elkaar op hetzelfde apparaat. Zelfs smartcard login op Windows werkt al jaren prima. Heb daarbij ook geen last gehad van een Windows update.

sleiN13
@mrdemc • 5 mei 2022 15:11

Ik ben jaloers. Kreeg het allemaal niet voor elkaar.

mrdemc
@sleiN13 • 5 mei 2022 22:48

Is er iets specifieks wat je niet voor elkaar kreeg? Alleen het signen onder Windows? En met een smartcard certificaat of een PGP?

sleiN13
@mrdemc • 5 mei 2022 23:43

Het is al weer een paar jaar geleden dat ik het heb geprobeerd. Maar voor Windows sign-in moest je iets via de Windows store downloaden. Alleen had microsoft dat vervangen voor Windows hello waarmee de yubikey niet compatible was. Daar naast zou je de key ook voor fido moeten kunnen gebruiken en otp. Daarvoor moest je een speciaal programma downloaden en wat setting op de key aanpassen? Anyways wat wel out of the box werkte was 2fa voor de password manager en Google. Daarmee zijn de belangrijkste dingen wel afgedekt. Windows was meer omdat het kan, gebruik toch geen bitlocker dus toegevoegde beveiliging zou minimaal zijn geweest

GekkePrutser

Wachtwoord
Google
Beveiliging en antivirus

@mrdemc • 6 mei 2022 02:24

Ik gebruik precies ook al deze mogelijkheden. De Yubikey is echt fantastisch en zo moeilijk vind ik het niet. Toen ik vroeger een OpenSC smartcard gebruikte, was het veel meer geklooi met middleware en drivers om alles aan de praat te krijgen.

De Yubikey gebruik ik met name met OpenPGP voor mijn Paswoord manager ('pass'), SSH logins. Fido2 gebruik ik voor Office 365 en PIV voor mijn werk. Echt geweldig om alles op 1 token te hebben (al heb ik er meerdere voor backup).

En: Alles werkt op elk OS! Ik gebruik Windows, Mac, Linux, FreeBSD en Android door elkaar en het werkt allemaal overal op. Zelfs mijn paswoord manager.

Terrestrial
@Newbey • 5 mei 2022 13:41

Ja het is trouwens een Yubikey maar als het niet goed werkt en onduidelijke problemen geeft, ben ik ook die luie consument die roept. pleur maar op met dat kut ding. Besef dat de verwachting juist was dat dit mijn leven makkelijker zou maken.

- peter -

@Terrestrial • 5 mei 2022 13:47

Ik heb er ook een gekocht, had gehoopt ermee te kunnen inloggen op mijn MacBook, maar bleek helemaal niet ondersteund, of heel complex. En 2FA in de browser op Ubuntu ging ook niet lekker, dus hij ligt hier nog.... Jammer.

R.Hoekstra
5 mei 2022 13:07

Lijkt mij maar niks, ik heb vaak barstjes op mijn vingers, de reden waardoor ik nu al nooit de vinger print sensors gebruik....

nst6ldr

Google

@R.Hoekstra • 5 mei 2022 13:11

Voor FIDO heb je niet persé een vingerafdrukscanner nodig. Ik gebruik een Mooltipass, die is in z'n geheel opensource (hardware en software), ondersteund FIDO en TOTP, slaat ook wachtwoorden op (en kan via BT of USB een keyboard emuleren om ze in te typen), en werkt op basis van PIN en smartcard (die is klein genoeg om erin te laten zitten).

[Reactie gewijzigd door nst6ldr op 5 mei 2022 13:11]

amigob2
@nst6ldr • 5 mei 2022 13:23

Maar alle accounts op verschillende websites, kunnen dus aan elkaar gekoppelt worden omdat ze allemaal van het zelfde device/software, etc komen.

GertMenkel

Beveiliging en antivirus
Google

@amigob2 • 5 mei 2022 14:31

Voor ieder account wordt een nieuwe sleutel gegenereerd. Tenzij men je fysieke apparaat heeft, is het niet te achterhalen welke accounts aan jou gekoppeld zijn.

Het is niet alsof er één sleutel wordt gebruikt, je hebt één hoofdsleutel met verschillende subsleutels.

Dit heeft als nadeel dat je niet een kopie kan maken voor als je sleutel kapot gaat, omdat je voor ieder account dat je aanmaakt een nieuwe backup moet overzetten. Het heeft als voorbeeld dat ik nu je sleutel kan kopiëren en je toekomstige accounts nog compleet veilig zijn.

amigob2
@GertMenkel • 5 mei 2022 14:39

Je moet naast de sleutel toch ook een identifier hebben, of is een deel van de sleutel ook meteen een unieke identifier

GertMenkel

Beveiliging en antivirus
Google

@amigob2 • 5 mei 2022 14:46

Dat klopt, maar de publieke sleutel die voor ieder account wordt gegenereerd kan dienen als je identifier.

Hoe deze identifier exact wordt bepaald weet ik niet, maar ik weet wel dat het protocol unieke identifiers genereert voor elk account die niet van elkaar af te leiden zijn.

nst6ldr

Google

@amigob2 • 5 mei 2022 13:30

Dat is meer een kwestie van federatie, in geval van mooltipass krijg je dus een prompt op het apparaat of je wilt inloggen op site X. Daar vind ik Yubikey juist weer zwak in (net even té eenvoudig).

Maar ook met Yubikey staat het je vrij om meerdere keys te kopen en je credentials verspreid op te slaan. Je kan bijvoorbeeld in tiers of rubriceringsniveaus gaan werken.

ACM
@amigob2 • 5 mei 2022 13:34

Kunnen ze dat door jou? Ja. Maar dat wil je ook

Door je apparaat? Misschien. Hangt van af hoe ze e.e.a. precies opslaan. En dan is natuurlijk nog de vraag of dat erg is, of juist je bedoeling.

Door de websites? Nee. Zo werkt die (FIDO) standaard domweg niet. Ze krijgen geen identifier van het apparaat door, maar een unieke - volgens een gestandaardiseerd format - per situatie die door dat apparaat dan wordt gegenereerd in samenwerking met de website (beide moeten wat werk doen om elkaar wederzijds te vertrouwen).

[Reactie gewijzigd door ACM op 5 mei 2022 13:35]

Fronkie
5 mei 2022 13:05

En wordt er dan voor mij een profiel aangemaakt of moet ik zelf een FIDO passkey aanleveren?

Stel ik wil niet overal automatisch ingelogd worden, is dat wel een optie dan ?

!GN!T!ON
@Fronkie • 5 mei 2022 13:08

Als ik het goed lees genereert je telefoon of ander device zelf een passkey. Zo werkt het met mijn yubikey ook, daar genereer je met een yubi tooltje een passkey, en deze word weggeschreven op de yubikey zelf.

Maar ben er niet super in thuis, dus misschien dat ik er helemaal naast zit.

edit: https://fidoalliance.org/how-fido-works/

Private key blijft op device / bij jou. Public key gaat naar service waar je wilt inloggen. Op moment van inloggen stuurt service een met de public key gesingde challenge, welke je apparaat signed met je private key, en terug stuurt. Dan weet de service dat jij het bent, en word je ingelogd.

[Reactie gewijzigd door !GN!T!ON op 5 mei 2022 13:11]

bush
5 mei 2022 13:08

Windows 10, Azure AD etc can already be used with FIDO, what is new here? https://docs.microsoft.co...thentication-passwordless

Yggdrasil

@bush • 5 mei 2022 13:26

What's new is the wider and more public support. Microsoft is indeed a big promotor of passwordless already but still has areas where it's hard to use. Apple has, as far as I can tell, barely any services that support fully passwordless login. So with wider support we could see improved interoperability, better UX and hopefully other companies will start following them.

zerothe2nd
@Yggdrasil • 5 mei 2022 14:19

To hook in on the apple side:
You can use your Apple ID to "Sign In with Apple". This allows the usage of biometrics on an apple device (E.G. fingerprint scanner on a MacBook/iPad/iPhone, or the Face ID stuff) to do a one-touch sign-in to a service.

Of course, this is just as any 3rd-party auth provider, just like "Sign in with GitHub" or whatever else. However it does allow for a password-less (or fallback to your Apple ID Password) login.

R4gnax

Beveiliging en antivirus

@zerothe2nd • 5 mei 2022 18:58

Of course, this is just as any 3rd-party auth provider, just like "Sign in with GitHub" or whatever else.

Actually; no, it isn't.

Apple has some time back implemented FIDO and WebAuthn where the secure enclave of the device itself is the FIDO authenticator and thus you can authenticate to it with all the usual options such as fingerprint, Face ID, etc. and sign with those on the web through FIDO.

It's a genuine FIDO implementation all the way through. Not "yet another 3rd-party auth provider" that all services that require account authentication would need to explicitly connected with. To the whole wide world; or rather: the whole world wide web, "it's just FIDO" (TM).

Google gets even more crazy: your Android phone is a FIDO authenticator that can be temporarily paired to e.g. a laptop or desktop system via BlueTooth and then be used to log you in to Google services in a web browser on that laptop or desktop.

[Reactie gewijzigd door R4gnax op 5 mei 2022 19:01]

zerothe2nd
@R4gnax • 9 mei 2022 09:02

Excuse the late reply, however in my case I was referring to the service "Sign In with Apple", which is like a "regular" 3rd party SSO option.

But yes, iPhones also support FIDO and WebAuthn for websites who want to implement this themselves. So I guess we're both right.

Bruin Poeper
@bush • 5 mei 2022 15:52

Geweldig! Ik heb Windows 10 en een PINcode.
Klaar is Kees.

Anoniem: 428562
5 mei 2022 14:05

Wachtwoordloos gaat niet lukken, als apparaat dat je codes beheert zoek, defect of gestolen is niet kom je als laatste mogelijkheid altijd uit bij een toegangscode/password of een email met een code. Als je je email dan beveiligd hebt met het apparaat dat niet beschikbaar is heb je jezelf buitengesloten.

Als je dezelfde FIDO key gebruikt om in te loggen voor bijv. 25 websites en de key is defect dan zul je voor alle 25 websites de herstel procedure moeten doorlopen.

CAPSLOCK2000

Beveiliging en antivirus
Google
Microsoft

@Anoniem: 428562 • 5 mei 2022 15:41

Ik geloof niet dat het de bedoeling is om alle wachtwoorden 100% uit te bannen. Het combineren van verschillende systemen / middelen blijft een goed idee.

Niettemin denk ik dat we ze grotendeels kunnen uitbannen of in ieder geval veel minder belangrijk maken. Mijn hardware-token ontgrendel ik met een korte pincode, dat is ook een soort wachtwoord.

Dat hardware tokens stuk kunnen gaan vind ik niet zo'n best argument. Wachtwoorden kun je ook verliezen of vergeten. Bij wachtwoorden zal je ook maatregelen moeten nemen zoals het backupen van je wachtwoordfile. En laten we wel wezen, geen mens op deze wereld gebruikt honderden unieke en lange veilige wachtwoorden zonder hulpmiddelen. Dan kom je al snel uit bij een password-manager die de meeste mensen beveiligen met een enkel wachtwoord. Als dat verloren gaat ben je net zo ver van huis.

Bij hardware-tokens moet je inderdaad wel andere maatregelen treffen. Twee (of meer) tokens hebben is wel een beetje een basisvoorwaarde. Overigens heb ik nog nooit (in 20 jaar ervaring) te maken gehad met een defecte token. Het zal vast gebeuren hoor maar het is vrij zeldzaam.

Ik ben wel een keer mijn sleutelbos verloren en daarmee ook mijn huissleutel en m'n token. Gelukkig teruggevonden maar zo iets is behoorlijk zeldzaam. Er zijn vast mensen die vaker hun sleutels kwijt zijn en die hebben daar meestal een oplossing voor, zoals een reservesleutel bij de buren. Hardware tokens zijn wel wat minder makkelijk omdat je ze los aan iedere dienst moet koppelen en je reserve ook. Daar zijn oplossingen voor maar dat is nog niet echt uitgekristalliseerd. Niettemin is mijn ervaring dat de meeste mensen prima in staat zijn om hun huissleutel bij zich te houden en dat dit een stuk minder moeite kost dan goed met wachtwoorden omgaan. Een hardware-token die je op ongeveer dezelfde manier gebruikt als een huissleutel zal voor de meeste mensen prima werken voor de meeste dagelijkse toepassingen.

TheMak
@CAPSLOCK2000 • 5 mei 2022 17:02

Is het ook mogelijk om van authenticator te wisselen. Bijvoorbeeld als ik van laptop+yubikey af wil voor dagelijkse zaken en over wil gaan op ipad. Zijn dan de accounts over te zetten? En bijvoorbeel twintig jarige verliest vier jaar oude iPhone en wil over op android?

CAPSLOCK2000

Beveiliging en antivirus
Google
Microsoft

@TheMak • 5 mei 2022 18:20

Is het ook mogelijk om van authenticator te wisselen. Bijvoorbeeld als ik van laptop+yubikey af wil voor dagelijkse zaken en over wil gaan op ipad. Zijn dan de accounts over te zetten? En bijvoorbeel twintig jarige verliest vier jaar oude iPhone en wil over op android?

Het antwoord is dat het net zo werkt als met een wachtwoord. Het heeft in principe allemaal niks te maken met welke authenticator je gebruikt. Als je accounts kan overzetten door een wachtwoord in te tikken dan kun je ook accounts omzetten met je yubikey of met een vingerafdruk of een gezichtscan.

Overigens zijn er ook yubikeys die je op een ipad gebruiken, dat is geen belemmering.

RobertMe
@Tintel • 5 mei 2022 13:36

Bij FIDO (en in het verlengde Webauthn) hoef je juist geen gegevens af te staan. Je hebt een hardware device (ingebakken in PC / laptop / telefoon) die verantwoordelijk is voor de authenticatie van de gebruiker (vingerafdruk, gezichtsherkenning), of een los apparaat in de vorm van een USB key (bv YubiKey). De website vraagt bij registratie aan de browser om de registratie procedure te doorlopen. In dat geval doorloopt de browser een technisch proces waarbij de bv de vingerafdruk scanner een unieke code genereert bij de gebruikte vinger, waarbij de code dus ook niet herleidbaar is tot een vingerafdruk. Vervolgens wordt er een uniek public/private keypair gegenereerd, waarvan de private key op het systeem wordt opgeslagen (meestal zelfs in de biometrische hardware zelf) en de public key naar de website wordt verstuurd. De volgende keer dat je wilt inloggen stuurt de website een willekeurige stukje tekst, de browser geeft dat stukje tekst door aan de vingerafdrukecanner, die controleert de vingerafdruk van de gebruiker, zoekt de private key op, versleuteld het stukje tekst en geeft het versleutelde resultaat terug aan de browser. De browser stuurt de versleutelde tekst naar de website, en de website kan vervolgens met de public key van de gebruiker de boel weer ontsleutelen (is het met een andere private key versleuteld mislukt dit) en controleren of dit resultaat gelijk is aan de willekeurige tekst die die zelf verstuurd heeft. Is er een mismatch is het inloggen dus mislukt.

Jouw vingerafdruk of foto van het gezicht zal normaliter dus niet eens de vingerafdrukscanner of (3D) camera verlaten. Laat staan dat de browser toegang heeft tot een foto van de vingerafdruk of gezicht. Dus de website (en "grote tech bedrijven") hebben hier al helemaal geen toegang toe.

Dat is ook waarom dit zoveel veiliger is. Je hebt geen gebruikersnaam nodig die mogelijk jou naam bevat, en je hoeft bv geen mobiel telefoonnummer in te vullen voor het ontvangen van een 2FA inlogcode.

Dazenet
@RobertMe • 5 mei 2022 15:07

@Tintel heeft wel een punt.

Hoewel FIDO ontwikkeld is met de gedachte dat het "zo veel mogelijk apparaat gebonden" is en bedoeld is om jezelf te identificeren bij een dienst, zijn er natuurlijk wel kanttekeningen te plaatsen bij het gebruik ervan.

Zoals met alle "vooruitgang" zullen bedrijven er van alles aan doen om hier gebruik/misbruik van te maken.
Neem bijvoorbeeld het steeds meer en vaker verplichten van een online account, zogenaamd om het voor jou gemakkelijker en veiliger te maken. Over enkele jaren, als deze FIDO implementatie de norm is, zullen ze ongetwijfeld nog meer gaan pushen om dit te bewerkstelligen.

Het gaat dan niet om het verkrijgen van je biometrische data, hoewel ze daar uitermate geïntereseerd in zijn, maar simpelweg om het nog gemakkelijker maken van het volgen van de melkkoe.

"De telefoon slaat dan een FIDO-passkey op die wordt gebruikt om je online account te ontgrendelen. Zo'n passkey maakt inloggen veel veiliger omdat het is gebaseerd op publickeycryptografie. Zelfs als je je telefoon kwijtraakt, wordt je passkey gesynchroniseerd met een nieuwe telefoon."

Dit is voor mij een nogal wazig statement. Hoezo is dit "veel veiliger"? Hoe kan mijn passkey gesynchroniseerd worden met een nieuw/ander apparaat? ...en waarom zou ik dat willen?
Wat als ik in wil loggen op een apparaat dat ik normaal niet gebruik?

Niets is veiliger dan het wachtwoord dat in mijn hoofd is opgeslagen. Natuurlijk is het zwakke punt het invoeren daarvan, maar zonder mijn wachtwoord kan iemand anders niet inloggen. Dat bedrijven het gemakkelijk maken voor anderen om jouw wachtwoord te veranderen of verkrijgen, en dat ze vaak restricties aan de complexiteit en lengte van je wachtwoord stellen, is een ander verhaal.

Het is best een positieve ontwikkeling, maar niets wordt door techbedrijven ontwikkeld uit de goedheid van hun hart.

@RobertMe

Dat is ook waarom dit zoveel veiliger is. Je hebt geen gebruikersnaam nodig die mogelijk jou naam bevat, en je hoeft bv geen mobiel telefoonnummer in te vullen voor het ontvangen van een 2FA inlogcode.

Dat een gebruikersnaam je naam bevat is kortzichtigheid van bedrijven/ontwikkelaars. Dat is net zo dom als een emailadres moeten gebruiken als naam. 2FA is eigenliijk ook overbodig als je een goede login-routine hebt voor de webdienst en het opgeven van je telefoonnummer riekt in mijn opinie nog steeds naar datagrabbing.

Mijn uitgangspunt is nog steeds dat iets niet op het internet thuishoort als het belangrijk is.
Iets wordt als snel gemakkelijk genoemd terwijl het eigenlijk gewoon gemakzuchtig is.

Tintel
@RobertMe • 5 mei 2022 15:11

Ik zeg ook niet dat gegevens van het inlog-proces worden doorgestuurd - ik zeg dat 'ze' dan zeker weten wie iets doet aan de andere kant van de lijn.

GertMenkel

Beveiliging en antivirus
Google

@ronnySB • 5 mei 2022 14:17

't zal eerder andersom zijn. Je secure element/trustzone/TPM bevat de sleutels voor je identiteit. Een beetje dat vage web3-systeem maar dan zonder onnodige blockchain.

Ik weet niet wat precies je digital identity moet voorstellen, want als je daarmee je ID-kaart en BSN bedoelt, loop je een paar decennia achter. Je zit al lang in computersystemen namelijk, en wat de computer over je zegt gaaf boven wat er op je papieren paspoort staat. Als de algemene basisregistratie en je fysieke identiteit verschillen, wordt je ID-kaart eerder ingetrokken dan dat de gegevens van je ID-kaart naar de overheidsdatabase gaan. Bijna al het geld in de wereld is ook al lang digitaal, niemand gaat voor de tweeëneenhalve euro die je in de supermarkt pint daadwerkelijk munten verplaatsen in een kluis.

Al die samenzweringen lijken een beetje uit Amerika over te waaien waar men aan de ene kant enorm achterloopt op digitalisering wat de overheid betreft (mensen hebben er bijvoorbeeld niet per se een ID) maar aan de andere kant enorm voor als het op gegevensvergaren door het bedrijfsleven aankomt (Equifax is een mooi voorbeeld van hoe dat mis kan gaan). Een systeem als Digid of EIDAS is daar bijna ondenkbaar. Sterker nog, veel van die mensen moeten nog maandelijks cheques afleveren bij hun huisbaas omdat "automatisch incasso" daar nogal een uitdaging is.

Wat in Amerika een theorie is, is hier al zo'n tien tot twintig jaar geleden doorgevoerd en ik heb de hagedismensen uit de holle aarde nog niet zien rondlopen. Ik wacht wel tot Niburu in de lucht staat tot ik er aandacht aan ga besteden.

Helaas is dit niet meer dan een vervanger van wachtwoorden, je kunt er nog niet decentraal berichten mee ondertekenen met een identiteit naar keuze zoals met een smart card kan. Met een goede portomenee-oplossing zou je onafhankelijk van de overheid documenten moeten kunnen tekenen en je gegevens beheren, Verre van een digitale portomenee dus. Tot nu toe wordt er slechts geëxperimenteerd met IRMA, en dat lijkt me het dichtste bij de digitale portomenee dat we de komende jaren zullen komen.

Tintel
@GertMenkel • 5 mei 2022 16:40

ik heb de hagedismensen uit de holle aarde nog niet zien rondlopen

Dat is toch ook niet meteen het risico (al vind ik het wel erg grappig

) ?

Dat ultiem traceerbaar zijn betekent dat de overheid dus ook ultiem machtig is. Ik heb het meegemaakt - [al is de KvK niet echt zelf de overheid] door een fout bij de KvK was de verhuizing niet goed doorgevoerd (notabene een bedrijf dat adres gegevens bewaard...). Ze hadden het factuuradres niet veranderd - wel het vestigingsadres. Vervolgens ben ik ergens in loondienst (veel later) en ik wordt opeens gekort op mijn loon - op verzoek van een deurwaarder. Nooit iets van gezien... nooit een berichtje.
Terwijl ik dus letterlijk niets fout had gedaan. Ik had nooit een facuur ontvangen namelijk en ik betaalde netjes aan een andere KvK. Omdat dus dus veel systemen gekoppeld zijn en bij fouten is uiteindelijk maar afwachten wie de dupe is. "Computer says no".
Bij volledige koppeling had dit misschien juist eerder aan het licht gekomen zou je ook nog kunnen stellen maar ik noem het vooral als voorbeeld hoe de computer eigenlijk de nieuwe waarheid is - ook wordt een deel van die data ook maar gewoon door mensen ingevuld.

En ik heb nog wel meer voorbeelden. Telkens weer is de traceerbaarheid cq. computer-data is de waarheid, nadelig voor mij - terwijl ik netjes de regels volg. Nu kun je zeggen - 'als alle computersystemen gekoppeld zijn', daalt ook de foutkans - maar dat betwijfel ik.

Dat is een beetje de strekking; juist degene die de regels volgen maken geen kans want die zijn traceerbaar. En de echte criminelen kijken wel uit om hun echte identiteit te gebruiken - stromannen en katvangers alom.

Het is allemaal nog te overzien denken we dan - maar de toeslagenaffaire heeft aangetoond dan het leed best wel groot kan zijn als de overheid zich verstapt met haar gebruik van al die persoonsgegevens en koppelingen tussen systemen.
Nu ben ik niet tegen automatisering. Maar de overheid is nu eenmaal ook niet 100% betrouwbaar. Natuurlijk kan het erger maar dat betekent niet dat het goed is om anoniemiteit uit te bannen.

Wie had ooit kunnen denken dat de overheid ook het geld zou belasten waarover je allang belasting hebt betaald [spaargeld dus]? Toch gebeurt het en je kunt er niets tegen doen. Notabene om de kapitaal krachtige mensen meer te laten betalen ("brede schouders dragen zware lasten") maar vervolgens komt daar weer weinig van terecht.

Dus misschien is men daarom in de US daarom terecht sceptisch?

Dazenet
@Tintel • 5 mei 2022 18:33

Een conspiricy theory is een beetje van "waar rook is, is vuur". Ze blijken vaak meer waarheid te bevatten dan je in eerste instantie denkt. Na verloop van tijd komen ze toch uit, maar dan is het te laat en/of is iets al zo ingeburgerd dat terugdraaien niet meer mogelijk is. Dat is de kracht van lange-termijn planning. Ik praat hier niet over de lizard people of flat-earth, maar dat wordt als snel aangedragen als dooddoener.

Inloggegevens veilig houden is een zaak van de gebruiker, niet de aanbieder. Luiheid leidt tot fouten, daar gaat FIDO helemaal niets aan veranderen. Sterker nog; hoe "gemakkelijker" je iets maakt, hoe groter de kans dat er iets mis gaat (mijn bank heeft recentelijk het inloggen "eenvoudiger" gemaakt...ik weet alleen niet voor wie, want voor mij is het een hel).

Wat we nu vooral als probleemveroorzaker zien is dat bedrijven zo veel informatie verzamelen dat ze er niet mee overweg kunnen. Daardoor onstaan fouten. Hoe meer databases je koppelt, hoe groter de kans op fouten én misbruik. Misschien dat er in de toekomst beter mee omgegaan wordt als nu, maar het lijkt mij dat het alleen maar erger gaat worden, en hoe meer je automatiseerd...tja...er zijn al veel recente voorbeelden van hoe het niet moet.

Ik heb zelf ook diverse voorbeelden van informatie die niet of verkeerd gedeeld is, of nooit is aangekomen, wat veel problemen veroorzaakte voor mij. Natuurlijk ook van data die simpelweg gestolen is door kortzichtigheid van instellingen, waar ik vervolgens nooit meer iets van hoor, en ook compensatie kan je wel vergeten.

Het probleem is dat veilig inloggen mijn data niet beschermt. Ik kán mijn data ook niet beschermen want dat zou betekenen dat het niet verhandeld kan worden en/of toegangkelijk is voor het bedrijf/instelling. Dit is echter wel een interessant punt voor toepassingen die gebruik maken van FIDO.
Mijn gegevens zouden met een door mij aangedragen encryptiesleutel beveiligd moeten zijn bij een bedrijf, dat kan bijvoorbeeld door middel van een door FIDO aangdragen key, en als iemand/iets binnen een instelling toegang wil hebben tot mijn gegevens dan moeten ze mij eerst een verzoek sturen, waarna ik toestemming kan geven om voor bepaalde tijd en een bepaald persoon inzage te geven.
Dat lost direct heel veel problemen op, zoals de verplichte traceerbaarheid van data-access, gegevensbeveiliging en inzage door mij.

@Tintel heeft weer goede punten. Ook traceerbaarheid is wel een ding. Het uitgangspunt zou moeten zijn; als het niet nodig is, dan moet je het ook niet doen. Het percentage misbruik/criminaliteit wat vaak als leidraad wordt gebruikt is te verwaarlozen op het totale aantal activiteiten en dan nog had het in de meeste gevallen voorkomen kunnen worden door betere oplettendheid van de gebruiker en/of meer aandacht van het bedrijf/instelling bij de beveiliging van jouw gegevens.

Tintel
@Dazenet • 6 mei 2022 09:07

Inloggegevens veilig houden is een zaak van de gebruiker, niet de aanbieder.

Idd - dat is een goed punt. En dat is eigenlijk niet eens zo heel moeilijk. Een locaal opgeslagen password (in een virtuele fault - ie. password-manager) is voldoende.
Het frustreert me dan ook soms dat de password regels eigenlijk te beperkt zijn - max. 10 karakters of zo. Terwijl al lang aangetoond is dat lange passwords nu eenmaal erg moeilijk te kraken zijn als deze zo'n beetje random karakters bevatten.
En het aparte is: de handtekening is nog steeds een soort ultieme bevestiging van identiteit; die bijzonder makkelijk te dupliceren is - alleen niet waar de andere persoon bij staat - maar dat is lang niet altijd van toepassing.

mpkossen
@GertMenkel • 5 mei 2022 17:14

De reden dat een systeem als DigiD dat hier in de VS op nationaal niveau niet bestaat is omdat men het niet wil. Het is in deze samenleven niet de rol van de federale overheid om een registratie van alle burgers bij te houden. Echter, als je er voor kiest om een ID aan te vragen kom je wel in de database van de staat (die gedeeld wordt met andere staten), en als je kiest voor een paspoort komt je in de database van de federale overheid (overigens met minder gegevens dan in Nederland).

Ik zie de samenleving hier niet naar een DigiD-achtig systeem gaan, echter gaat FIDO dingen wel een stuk makkelijker maken voor mensen. Gelukkig komt de overheid daar niet mee, maar bedrijven. De overheid heeft geen rol in hoe mensen in loggen op hun accounts. De overheid moet zorgen dat mensen met FIDO in kunnen loggen op overheidswebsites.

Overigens lijkt je voorbeeld over checks gebaseerd op reddit memes. Checks zijn een keuze. Automatisch betalen is hier ongelofelijk eenvoudig en daar zijn meerdere manieren voor: bill payments, credit card, debit card, afschrijving van bankrekening.

oef!

@ronnySB • 5 mei 2022 14:15

Daar gaat het, los van digitale currency, wel naartoe en dat is niet eens verwonderlijk gezien de huidige ontwikkelingen.

Een belangrijk punt om daarbij te maken is dat het merendeel van de mensen dit willen of er geen bezwaar tegen hebben als het hun leven makkelijker maakt en de techniek veilig en goed ontworpen is.

MazDaMan1970
5 mei 2022 14:51

Op zich fijn dat iedereen zich aan deze standaard gaat houden, aan de andere kant brengt het ook 1 enorm groot risico mee; wat als Fido gehackt wordt, dan zijn 1 klap alle systemen gehackt. Dit is zeker niet ondenkbaar, hoe goed de beveiliging hiervan lijkt te zijn. Extra authenticatie middels SMS was jarenlang veilig, totdat een paar slimmeriken erachter kwamen hoe je dat kon hacken...

1 2 Volgende

Op dit item kan niet meer gereageerd worden.

Techbedrijven gaan wachtwoordloze authenticatie via FIDO in software plaatsen

Lees meer

Reacties (79)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden