Google stelt usb-key voor als alternatief voor wachtwoord

Google vindt dat wachtwoorden niet langer voldoende zijn om gebruikers veilig te houden en experimenteert met alternatieve authenticatiemethoden. Een van de voorstellen van het bedrijf is om kleine persoonlijke usb-keys te gebruiken.

"Net als veel mensen in de ict-sector vinden we dat wachtwoorden en simpele tokens als cookies niet langer voldoende zijn om gebruikers veilig te houden", zeggen beveiligingstopman Eric Grosse en ontwikkelaar Mayank Upadhyay in een onderzoeksdocument dat later deze maand in het blad IEEE Security & Privacy Magazine zal verschijnen. In het document, waarover Wired bericht, onthullen de twee alternatieven waar Google aan werkt.

Een van die authenticatiemethodes betreft de YubiKey: een kleine usb-key die een one time password kan sturen naar applicaties die de methode ondersteunen. Google heeft zijn Chrome-browser bij experimenten aangepast om de YubiKey te ondersteunen. Naast dit soort keys denkt Google aan smartphones als authenticatie-hardware om in te loggen in je online account.

De Google-medewerkers stellen dat in de toekomst dit soort hardware noodzakelijk is: "We zouden graag zien dat je smartphone of sleutelhanger met geïntegreerde smartcard gebruikt wordt om een nieuwe computer te authorizeren door middel van een enkele aanraking, zelfs als je smartphone geen bereik heeft."

Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen. Nadeel is dat websites de methode moeten ondersteunen. Hiervoor heeft Google een, naar eigen zeggen, onafhankelijk protocol ontwikkeld. Hiervoor zou geen speciale software nodig zijn en het zou voorkomen dat websites gebruikers online volgen. Een ander, niet onbelangrijk, nadeel is dat de gebruiker zeer kwetsbaar is als hij zijn hardware-authenticatie verliest.

Reacties (103)

Anoniem: 26447 19 januari 2013 15:49

Ik vind het ook niet zo'n prettig idee, om de hardwareaansluiting op de computer, gebruik veel usb sticks en er zijn al verschillende aansluitingen versleten, slechte contact, opeens de vraag of je wil formatteren omdat de usb stick een slecht contact maakt. Misschieen eerst eens de aansluitingen een 20 x degelijker maken en niet zo vreselijk kwetsbaar. Vooral bij ouderen mensen waar ik wel een kom zie ik vaak kapotte aansluitingen op de computer, want die zien niet zo best, gebruiken dan hun bril niet en drukken gewoon door terwijl de usb stick verkeerd om zit, dat ben ik echt al heel veel keren tegengekomen.

Anoniem: 238079 @Anoniem: 26447 • 20 januari 2013 01:28

Mee eens. Bovendien is dit een extra belasting op de toch al geïrriteerde professionele user. Vooral audioapplicaties leveren een dongle, waardoor je als audio- (en ik denk ook video-)specialist al snel met een dozijn aan usb sticks zit. In de audiowereld wordt dit iig als erg storend ervaren: je hebt dan 1 hoofdprogramma met daarnaast enkele onmisbare pluginpakketten, die ook allemaal 1 aparte dongle nodig hebben. Dan zit je workstation dus helemaal afgetjokt, terwijl je ook nog randapparatuur op USB nodig hebt.

Van zo'n bericht als dit word ik dan ook weinig blij.

[Reactie gewijzigd door Anoniem: 238079 op 25 juli 2024 04:00]

robertwebbe

19 januari 2013 10:08

Volgens mij zal de smartphone straks de beveiliging worden. Er zal een secure element in de hardware worden toegevoegd en via NFC tikken we de telefoon dan tegen een ander apparaat (ook met NFC) om in te loggen. Afhankelijk van WAAR we op inloggen kun je per doel nog instellen of extra beveiliging nodig is zoals bijvoorbeeld:
- een PIN code of wachtwoord (daarna nog een keer tikken om te versturen)
- tijd controle (bijvoorbeeld niet tussen 0:00 en 6:00)
- locatie controle (bijvoorbeeld alleen op je werk of niet buiten Nederland)

Ik kan me zo voorstellen dat een partij als Google standaard 3 niveaus van veiligheid aanmaakt: laag, middel en hoog. Je kunt dan zelf kiezen welke je per doel kiest en bij hoge beveiliging krijg je te maken met extra regels. Hoog gebruik je bijvoorbeeld voor zaken als bankieren, DigID, EPD, etc. Gemiddeld voor je e-mail, sociale netwerken, toegang tot je huis, werk, etc. En laag voor het inloggen op websites.

En als je je smartphone kwijt bent dan blokkeer je je smartphone (bijvoorbeeld via telefoon of internet via speciale blokkeerprocedure). Als je dan een nieuwe hebt (of de oude weer hebt gevonden) dan zul alle "onderdelen" weer terug kunnen installeren. Ik denk dat de digitale portemonee hier ook onderdeel in wordt dus dan is het logisch dat je dit doet op een trusted place na legitimatie (bijvoorbeeld bij een bank of telecom winkel). Die zullen dan van die NFC schaaltjes hebben waar je je smartphone inlegt en op deze manier wordt de beveiliging opgebouwd. Na controle van je identiteit voer je dan je security recovery wachtwoord in en wordt het hersteld.

Er zal eerst nog een digitale identiteitscrisis uit moeten breken voordat mensen zich bewust worden hoe belangrijk het is om jezelf goed te beveiligen. Ik ken nog heel veel mensen die al jarenlang hetzelfde wachtwoord gebruiken voor alles en mij dit zomaar vertellen. Met slechte bedoelingen kan ik hun leven ruïneren maar dat kunnen ze zich gewoon niet voorstellen.

[Reactie gewijzigd door robertwebbe op 25 juli 2024 04:00]

Anoniem: 428562 19 januari 2013 09:29

In 2011 is gebleken dat tokens geleverd door marktleider RSA niet veilig zijn.

Ik heb er niet veel vertrouwen in dat de yubikey veilig is.

http://webwereld.nl/nieuw...rid--vervangt-tokens.html

elmuerte @Anoniem: 428562 • 19 januari 2013 09:42

password + brakke one time pad is veiliger dan alleen een password.

Voor authenticatie gebruik je over het algemeen een of meerdere van:
- something you know (e.g. password, PIN)
- something you own (e.g. pin pas)
- something you are (e.g. vinger)

Hoe meer van die dingen je gebruikt, des te veiliger is de authenticatie.

Anoniem: 470177 19 januari 2013 10:46

De veiligheid van een wachtwoord zit niet in de complexiteit, maar in de lengte. Een mens kan een wachtwoord moeilijk maken met speciale tekens e.d. maar voor een brute force attack maakt het echt geen drol uit of er een a of een @ staat...

Neem een lomp lang wachtwoord opgebouwd uit makkelijk te onthouden onsamenhangende korte woorden. 'paardhuisbipskaasregenvorkkuiken' is een sterker wachtwoord dan '1993S@mm!3' o.i.d. en nog steeds praktischer dan een of andere USB-key die je mee moet nemen en kwijt kan raken.

Een apparaatje of andere fysieke authenticatie zal bepaalde vormen van criminaliteit ook alleen maar in de hand werken. Er zal een criminele stroming zich puur op deze fysieke authenticaie gaan richten, net als er nu met creditcards e.d. gebeurt...

BonzO @Anoniem: 470177 • 19 januari 2013 12:00

Het zit 'm in de combinatie van:
neem het wachtwoord 'hoi' en gegeven is dat alleen lowercase alfabet characters gebruikt wordt, dan is het aantal combinaties 26^3, doe je hier 1 character bij dan is dat 26^4. Maar als je het feit veranderd dat je niet alleen lowercase alfabet characters gebruikt (voorbeeld wacthwoord: 'H0!') dan moet je dus een set nemen van ongeveer:
- 26 lowercase characters
- 26 uppercase characters
- 10 cijfers
- ongeveer 30 speciale characters op je keyboard
en veranderd het aantal combinaties naar 92^3.

Begrijp me niet verkeerd, je hebt zeker gelijk dat de lengte uiteindelijk de belangrijkste rol speelt. Maar dan moet die lengte ook significant groot zijn dat het aantal characters in je set niet meer uit maakt, en dit maakt vrij veel uit bij wachtwoorden van 1-30 characters lang (wat een gemiddeld wachtwoord toch wel lang is).

Let ook op: dit is allemaal onder de aanname dat je brute-force gebruikt, er zijn meer methodes om wachtwoorden te genereren en raden.

Niemand_Anders @BonzO • 19 januari 2013 15:51

Maar de aanvaller weet niet of jouw wachtwoord 'hoi' of 'H0!' is en zal dus uitgaan van de bijna volledige volledige ascii range. Dus ook de diakritische tekens (umlauts, tremas, cedille, tilde, etc).

Als je een wachtzin ipv wachtwoord (SSH vraagt niet voor niets om een passPHRASE) gebruikt dan krijg je over het algemeen al een mis van karakters. 'Ik verhuis morgen naar België' is veel sterker dan menig wachtwoord via een password generator. Websites welke de lengte van je wachtwoord beperken, bewaren het wachtwoord vaak op een manier zodat de plain-text versie is terug te krijgen. Soms wordt het echt in plain-text opgeslagen, andere websites encrypten het wachtwoord naar de database.

Websites welke alleen werken met een hash van het wachtwoord hebben geen reden om de lengte te beperken omdat ongeacht de lengte, de lengte van een SHA1 hash altijd 20 bytes (40 in hex-printable format) zal zijn.

Een veelgebruikt karakter (in Europa) buiten de standaard en extended ascii range is het euro teken, maar zit wel op de meeste toetsenborden. 'H0!Tw€akers' is een wachtwoord waar de meeste crackers niet uitkomen binnen 72 uur. Hackers willen zoveel mogelijk accounts binnen een zo kort mogelijke tijd verzamelen.

Een veel groter probleem is het grote aantal websites welke nog steeds MD5 hashes gebruikt zonder een salt. Als zo'n lijst op internet (pastebin) terecht komt is het vrij eenvoudig om daarop een rainbow table los te laten. Met sql-injection is het vrij eenvoudig om een aan een lijst van gebruikers gegevens te komen. Meestal hoeft je niet verder te zoeken dan 'users', 'user', 'tblUser' of 'tblUsers'. Zijn de wachtwoorden netjes gehashed, dan zal de hackers meestal een enkel wachtwoord proberen te achterhalen via rainbow tables en dan dan controleren of daarmee ingelogd kan worden. Als dat niet werkt gebruik de website een salt. Veel hackers registeren zich dan bij zo'n website zodat ze al het wachtwoord weten. Vervolgens is niet niet meer zo moeilijk om dan via de brute-force methode de salt te achterhalen. Vervolgens bouw je een nieuwe rainbow table aan de hand van je salt. Vervolgens controleer je bij elke gegenereerde hash of je een match hebt. Hoe langer de lijst met accounts, hoe sneller je een match zult vinden. Werkt de login voor de gevonden match ook niet dan gebruikt men een salt per user.

Hackers zullen veel meer moeite doen om hashes met user-salts te genereren als het om een gebruikers lijst gaat van een bank of overheids instelling dan van een forum..

Hmpff @Anoniem: 470177 • 19 januari 2013 11:32

Compleet mee eens mensen zouden veel langere wachtwoorden moeten gebruiken.
En sites moeten dat ook mogelijk gaan maken, niet bij iedereen mag je meer dan 16 karakters gebruiken.
Kijk bij apple eerst je wachtwoord met hoofdletter en cijfer daarna vraagt het jou een paar vragen om er zeker van te zijn dat jij het bent maar ook daar moet je wat mooiers van maken dan van pietje en auto

D-Three 19 januari 2013 09:11

En wat als je het ding verliest?

edit:

Dan zou je hem onklaar moeten kunnen maken. Maar dat vereist weer servers die dat bijhouden.

Maar indien je het niet onmiddelijk door hebt dat jouw key weg is, kan een gerichte diefstal toch al wat schade aanrichten. En hoe rapporteer je jouw key dan als gestolen? Via een speciale website? Maar hoe log je daar dan op in? Via een wachtwoord?

Zelfs indien niet gestolen zijn er zwaktes, het huidige Google Authenticator is ook niet voldoende indien een hacker een bezoeker kan omleiden naar een website die er uit ziet als Google Mail.
Het neemt niet weg dat het inderdaad veiliger is dan enkel een wachtwoord.

[Reactie gewijzigd door D-Three op 25 juli 2024 04:00]

harley @D-Three • 19 januari 2013 09:15

Dan zou je hem onklaar moeten kunnen maken. Maar dat vereist weer servers die dat bijhouden.

mcDavid @D-Three • 19 januari 2013 09:17

er zal iets van een pincode op moeten. net als bij je bankpas, identifyer of mobiel-betalen app.

mkools24 @D-Three • 19 januari 2013 11:17

Het kan toch en-en. Je zal nog altijd een wachtwoord nodig hebben voor die hardware key. Op mn Linux servers gebruik ik ook public key authenticatie met een passphrase. Mocht de private key in verkeerde handen vallen hebben ze er zonder password nog niets aan.

Bij gmail gebruik ik ook al two factor authenticatie dmv sms codes en op kantoor log ik ook in met een RSA token.

Volgens mij zijn er dus al voldoende mogelijkheden buiten passwords.

Anoniem: 469887 @D-Three • 19 januari 2013 13:07

Ik voel me heel safe met die Google authenticator.

NaoPb @D-Three • 19 januari 2013 17:14

Daarom dien je nooit enkel afhankelijk te zijn van zo'n USB-key als verificatie. In combinatie met iets anders dat je niet bij je draagt zou het prima kunnen, maar alleen een USB-key als verificatie is wachten op dit soort problemen.

Ik zat nog te denken aan de mogelijkheid om een nieuwe key aan je account te kunnen koppelen in geval van diefstal of kwijtraken, door middel van je wachtwoord of iets dergelijks in te vullen. Maar dat zorgt dan weer voor het probleem dat als iemand je wachtwoord weet, die ook meteen zijn key eraan kan koppelen en dan als jou kan inloggen. Dat wordt 'm dus niet.

Anoniem: 469887 @NaoPb • 19 januari 2013 21:48

Right. Het enige dat het dus eigenlijk vervangt is het intoetsen van je wachtwoord.

source @D-Three • 19 januari 2013 09:15

Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode,

Yoshi 19 januari 2013 09:25

ik gebruik mijn gsm nu al voor verscheidene sites (waaronder alles van google trouwens). Men stuurt tijd van tijd een sms met een extra key, die je moet ingeven. Je moet deze key trouwens ook ingeven wanneer een nieuw ip adres wordt gebruikt om op die sites in te loggen.

Ik ga ervan uit dat dat inderdaad alleen nog beter gaat worden (misschien een kleine vingerafdrukscanner in de vorm van een sleutelhanger????

)

lazyduck @Yoshi • 19 januari 2013 09:59

Kunnen sms'en niet relatief eenvoudig onderschept worden?

Yoshi @lazyduck • 19 januari 2013 11:40

ja, maar key's kunnen ook relatief eenvoudig verloren of gestolen worden ;-). Dus wat dat betreft is deze key zeker en vast geen verbetering.

Het gaat hem uiteinderlijk over extra beveilingsmaatregelen. De belangrijkste blijft je eigen passwoord.

Ik vind bijgevolg mijn key-vingerafdrukscanner niet slecht

. Want je hebt nog steeds de vingerafdruk nodig. De technologie is er, nu de support nog.

[Reactie gewijzigd door Yoshi op 25 juli 2024 04:00]

mokkol @Yoshi • 19 januari 2013 10:25

Dat is leuk, maar ik kon een keer niet inloggen toen ik in het buitenland was en mijn ticket uit moest printen. Kan heel vervelend zijn. Smsje kreeg ik maar niet, en de volgende dag kreeg ik er 10.

Carharttguy @mokkol • 19 januari 2013 10:41

Om die reden geeft Google je 10 one-time passwords geeft, die hou je best wel ergens bij.

mobby1696 @Yoshi • 19 januari 2013 15:17

Dat doen ze allen maar zodat ze je nog beter kunnen tracken. Heeft niet heel veel met veiligheid te maken.

blorf 19 januari 2013 09:36

Google ziet nog wel een rol weggelegd voor wachtwoorden als secundaire inlogmethode, maar hardware zou de primaire rol moeten spelen.

Volgens mij is een wachtwoord dat iemand in zijn hoofd heeft altijd een betere beveiliging dan een (waarschijnlijk niet-transparante) hardwarematige oplossing zonder gebruikersinteractie waarbij een of meer bedrijven in vertrouwen moeten worden genomen. Het moet alleen wel serieus gebruikt worden dus een acceptabel wachtwoord dat nergens wordt opgeslagen, behalve in gecodeerde vorm aan de kant waar de controle wordt uitgevoerd.

[Reactie gewijzigd door blorf op 25 juli 2024 04:00]

Woverke @blorf • 19 januari 2013 10:04

Alternatieve inlogmethodes zitten hier in Estland al goed ingebakken, kijk maar naar de inlogmogelijkheden die je bij online banking hebt: https://www.swedbank.ee/private/?language=ENG

ID-kaart, Mobile ID (met speciale SIM-kaart), Paswoordkaartje (old-school

) en PIN-calculator (wat de meeste banken in Nederland gebruiken denk ik).

Hier rijst nu trouwens wel de vrees dat met de ID-kaart inloggen niet echt heel veilig is, aangezien je je PIN-code nog gewoon op je toetsenbord ingeeft en een keylogger dat dus kan oppikken (maar ze hebben wel nog steeds de fysieke ID-kaart nodig natuurlijk).

Dus wellicht stapt men binnekort over op ID-kaartlezers met geintegreerd keypad.

RielN @blorf • 19 januari 2013 12:00

Per definitie niet waar.

De meeste wachtwoorden in iemands hoofd zijn vele malen makkelijker te kraken dan deze keys. Dat is statistisch gezien juist een feit.

De sociale content, gebrek aan lengte en goede software maakt dat van de gemiddelde gebruiker een wachtwoord een 'eitje' is.

[Reactie gewijzigd door RielN op 25 juli 2024 04:00]

Rebunted

19 januari 2013 11:13

Google heeft inmiddels al Google Authenticator waarmee je een twee-stap authenticatie kunt gebruiken via een random code op je (Android) smartphone. Dit werkt bijvoorbeeld bij Gmail maar ook bij Lastpass.

Anoniem: 421973 @Rebunted • 19 januari 2013 12:10

Inderdaad, blizzard authenticator werkt via hetzelfde principe, Bij gebruik van bijvoorbeeld het rmAH op diablo3 is zelfs een extra layer of protection via sms vereist.

Plopeye @Rebunted • 20 januari 2013 22:01

Helaas zie je ook al 2 factor malware verschijnen, zo is er een ZEUS variant die de 2e factor van de ING afvangt... (sms met TAN)

Ik vind de smartphone dan ook ongeschikt als 2e factor omdat de smartphone too smart is en te veel aanvals factoren kent.
De naam telefoon doet het apparaat te kort maar ook de manier waarop mensen er naar kijken en security technisch mee omspringen.

De 2e al dan niet technische factor moet as dumb as possible zijn en al helemaal geen eigen internet verbinding hebben. Hiermee wordt het aantal factoren waarop de 2e factor te compromiteren is zo klein mogelijk.

McVirusS 19 januari 2013 10:10

Dan zal YubiKey binnenkort wel worden overgenomen

. Ik zie meer in een NFC oplossing i.c.m. GSM en wachtwoord op je GSM. Of stemherkenning/gezichtsherkenning op je GSM

mashell @McVirusS • 19 januari 2013 10:52

De GSM heeft 2 grotere problemen die verhinderen voor authenticatie geschikt te zijn. 1] De grote kans dat de battery weleens leeg is. 2] De grote hoeveelheid lekke software de op een moderne smartphone aanwezig kan zijn.

robertwebbe

@mashell • 19 januari 2013 16:01

1) De GSM zal een bepaalde batterijcapaciteit reseveren voor NFC toepassingen. Je hebt dan geen volledige functionaliteit meer maar de meest belangrijke zaken kunnen dan nog wel plaatsvinden.

2) Alle techniek kan gekraakt worden. Een online smartphone met security enhancements biedt per definitie meer veiligheid. En de smartphone kan geupdate worden als er onveiligheden zijn.

mashell @robertwebbe • 19 januari 2013 17:20

2a, iets wat online "veiliger" kan worden kan ook online onveiliger worden, bij veiligheid moet je van het ergste uitgaan dus zal het er per definitie juist onveiliger van worden. Mensen hechten een te sterk geloof aan updates, updates zijn geen verbeteringen maar reparaties van fouten die er eigenlijk niet eens in hadden mogen zitten, ze maken het Product dus hoogstens minder slecht. Een smartphone die geen updates nodig heeft is beter dan 1 die wekelijks een update ontvangt. Het gaat hier om een sleutel toepassing, dan is onbeschrijfbare hardware die bij een lek vervangen moet worden beter dan iets dat alle kanten op gepatched kan worden.

rob12424 19 januari 2013 09:16

Als het hardware matig is zoals mac adres op je wifi. Dan valt dit toch te spoofen?

watercoolertje @rob12424 • 19 januari 2013 10:20

Als het als een mac-adres is wel, maar dat is het gelukkig niet, yubiKey's zijn voor alsnog helemaal niet te hacken

Op dit item kan niet meer gereageerd worden.

Google stelt usb-key voor als alternatief voor wachtwoord

Lees meer

Reacties (103)

Sorteer op:

Weergave: