Google voegt zich bij consortium voor wachtwoordalternatieven

Google heeft zich aangesloten bij de FIDO-alliantie. FIDO, dat staat voor Fast Identity Online Alliance, wil open standaarden ontwikkelen voor gebruikersauthenticatie en daarmee veiligere alternatieven bieden voor het hedendaagse gebruik van wachtwoorden.

Net als andere bedrijven is Google al langer op zoek naar alternatieven voor de traditionele wachtwoordbeveiliging, omdat het van mening is dat wachtwoorden niet langer veilig genoeg zijn. Het bedrijf heeft onder andere de mogelijkheid voor tweestapsauthenticatie ingevoerd voor Google-accounts, waarbij een gebruiker een tweede code moet invoeren om toegang te krijgen. Steeds meer bedrijven volgen Googles voorbeeld. Zo hebben onder andere ook Facebook en Microsoft inmiddels tweestapsauthenticatie ingevoerd.

In een poging het aanbieden van alternatieve inlogmethoden te versnellen, heeft Google zich nu aangesloten bij de FIDO. Deze alliantie heeft onder andere Lenovo, PayPal en NXP als lid. De FIDO zegt in de komende jaren onderzoek te willen doen naar nieuwe authenticatiemechanismen die zijn gebaseerd op open standaarden. Er wordt onder andere gewerkt aan het verwerken van biometrische kenmerken, zoals vingerafdrukken en gezichtsherkenning, evenals aan eenmalige wachtwoorden en tokens die bijvoorbeeld met nfc-technologie werken.

Door Dimitri Reijerman

Redacteur

Feedback • 24-04-2013 14:27 52

24-04-2013 • 14:27

52

Lees meer

Yubico werkt aan U2F-beveiligingssticks met bluetooth
Yubico werkt aan U2F-beveiligingssticks met bluetooth Nieuws van 16 juni 2016
Authenticatiestandaard als alternatief voor wachtwoorden is klaar
Authenticatiestandaard als alternatief voor wachtwoorden is klaar Nieuws van 9 december 2014
PayPal: wachtwoorden verdwijnen binnen tien jaar
PayPal: wachtwoorden verdwijnen binnen tien jaar Nieuws van 23 april 2014
Onderzoekers pogen spoofing bij biometrische authenticatie te verhinderen
Onderzoekers pogen spoofing bij biometrische authenticatie te verhinderen Nieuws van 22 oktober 2013
'Microsoft-accounts krijgen tweestaps-authenticatie'
'Microsoft-accounts krijgen tweestaps-authenticatie' Nieuws van 9 april 2013
Malware infecteert grote hoeveelheid websites op Apache-servers
Malware infecteert grote hoeveelheid websites op Apache-servers Nieuws van 3 april 2013
Onderzoekers: Linksys-lek treft ook Asus, Cisco, TP-Link, Zyxel en Netgear
Onderzoekers: Linksys-lek treft ook Asus, Cisco, TP-Link, Zyxel en Netgear Nieuws van 1 februari 2013
Google stelt usb-key voor als alternatief voor wachtwoord
Google stelt usb-key voor als alternatief voor wachtwoord Nieuws van 19 januari 2013
Meer producten en artikelen
Netwerk en systeembeheer Google

Reacties (52)

-Moderatie-faq
52
45
26
2
0
7
Wijzig sortering

Sorteer op:

Weergave:
cavey 24 april 2013 14:33
Hmm, wat is er serieus mis met passphrases, in plaats van passwords?

De complexiteit van een passphrase is ongekend, ten opzichte van random gegenereerde 16 karakters wachtwoorden met mixed case en andere ongein wat niet te onthouden is. :D

Voor mobile devices wordt een passphrase dan weer wel wat onhandiger, maar voor het getypte zou dat toch wel een enorm verschil moeten kunnen maken.

Bijkomend voordeel is dat eventuele software minimaal hoeft te worden aangepast (gewoon meer dan x karakters ondersteunen. Sites die max 15 chars of minder ondersteunen moeten zichzelf schamen).
real[B]art @cavey24 april 2013 14:49
Password of passphrase, ik denk dat het probleem hem op dit moment vooral zit in de veelvoud van accounts die we tegenwoordig hebben. Je kunt inloggen bij je bank, bij de overheid (DigiD), één of meerdere mailaccounts, facebook, online games, telefoon lockscreen, op je werk...
Op meerdere plaatsen hetzelfde wachtwoord gebruiken is iets wat ik een hoop mensen zie doen, maar dat is natuurlijk inherent onveiliger en ook niet altijd mogelijk: de Android app van ABN Amro vereist een 5-cijferige code, DigiD maakt het je zo moeilijk mogelijk met minimaal een hoofdletter, kleine letter, cijfer en leesteken, en ga zo maar door. Wat dan weer tot gevolg heeft dat mensen wachtwoorden op een Post-it aan hun scherm plakken of in een tekstbestand op hun desktop (of zelfs in een gedeelde folder op de server) zetten.
Tweestapsauthenticatie kan denk ik een belangrijke stap in de goede richting zijn, al is het nog niet de uiteindelijke oplossing.
Hoppa! @real[B]art24 april 2013 15:24
Ik heb het laatst eens geteld, en ik heb in totaal 59 combinaties van gebruikersnamen en passwords. Email, werkgerelateerd (inloggen en applicaties), webwinkels, internetbankieren, internettoegang, dropbox etc. etc.. 59 unieke combi's kan ik niet onthouden, dus heb ik ze min of meer georganiseerd per cluster. Zo zijn mijn webwinkel-accounts allemaal op dezelfde wijze opgebouwd (doch niet hetzelfde) en dat geldt ook op mijn werk.

Het is dat ik een bovengemiddelde intelligentie heb, anders zou het nog moeilijk worden om alle ezelsbruggetjes te onthouden.
DrBashir @Hoppa!24 april 2013 16:17
Ik heb inmiddels enkele jaren Roboform, inmiddels heb ik daarbij ongeveer 550(!) bestanden verzameld, elk bestand is een encrypted passcard, meestal met alleen gebruikersnaam/wachtwoord, maar vaak ook met meer.

Ik wil niet dat ik voor elke webapp/forum/enz dubbel moet gaan authenticeren, want dan heb ik niets/veel minder aan Roboform.
vancha @cavey24 april 2013 14:41
de reden is dat een bedrijf als facebook dan bijvoorbeeld 50 karakters per wachtwoord moet gaan reserveren. dat lijkt niet veel als je denkt aan 1 zin, want hoe veel ruimte kost dat nou eigenlijk. maar de databases die gebruikt worden om dit soort wachtwoorden op te slaan zijn immens groot, en zo veel extra karacters * zo veel duizend gebruikers is niet een kleine aanpassing. ik durf zelf te wedden dat dat een merkbaar verschil in snelheid op levert voor de gebruikers er van.
Upquark @vancha24 april 2013 14:43
Wachtwoorden worden - als het goed is - nooit rechtstreeks opgeslagen, maar alleen een salted hash.
ari @Upquark24 april 2013 15:07
Theoretisch dan.
Devilfish @vancha24 april 2013 14:44
Dat zal reuze meevallen, want wachtwoorden zullen ze echt niet plaintekst opslaan maar encrypted / hashed. En die hebben een vaste lengte.
Exception @vancha24 april 2013 14:44
Wachtwoorden worden bij Facebook echt wel versleuteld. Meestal heeft zo'n sleutel 40 of meer (hangt van het algoritme af) karakters die moeten worden opgeslagen. Zie het probleem hier dan ook niet echt van in.
RielN @vancha24 april 2013 15:01
Nee, wat is dit nu voor reden. We uploaden megabytes aan foto en video en jij wilt beweren dat 30 extra lettertjes de reden is?

Wha!
bed76 @cavey25 april 2013 11:35
omdat ik bijvoorbeeld echt geen wachtzinnen (passphrase) kan onthouden, ik vergeet elke keer weer wat nou ook alweer de zin precies was. En ik vermoed dat ik dan echt niet de enige ben.

Daarnaast zijn wachtzinnen super irritant, want het intypen van een passphrase duurt veel langer dan een wachtwoord. Ik kan niet fourloos (blind)typen en maak heel veel typo's. Dus heel onhandig als je lockscreens hebt die binnen een paar min. locken. Je blijft typen...
Hendriksie 24 april 2013 14:35
"Steeds meer bedrijven volgen Googles voorbeeld. Zo hebben onder andere ook Facebook en Microsoft inmiddels tweestapsauthenticatie ingevoerd."

Ik gebruik mijn accounts op Facebook en Google dagelijks maar ik heb nooit een tweestapsauthenticatie gezien, nou weet ik niet of het voor de gebruiker ingevoerd word of de authenticatie zelf.

Ik kan ook zo niks vinden hier over, enig idee of iemand hier wat over kan uiten?
Dint @Hendriksie24 april 2013 14:48
In beide gevallen, Google en Facebook, dien je de tweestapsauthenticatie zelf in te schakelen. Meer informatie hierover kan je vinden in de support-pagina's:

Google - Authenticatie in twee stappen
Facebook - Wat zijn aanmeldgoedkeuringen? Hoe schakel ik deze instelling in?
Waah @Hendriksie24 april 2013 14:38
http://support.google.com...er.py?hl=nl&answer=180744

Het is al even beschikbaar. heb het wel gebruikt, maar teveel gedoe en hoef op google niks te beveiligen. (gebruik het niet voor mail e.d.)
AtleX @Waah24 april 2013 14:42
En wat als iemand als jou inlogt en wel mail e.d. gaat gebruiken? Ik gebruik two-factor authentication bij Google al vanaf het begin en als ik kijk hoeveel SMS-jes ik sinds januari (nieuwe telefoon...) heb gehad daarvoor dan zijn dat er 7. Elke keer op een nieuwe installatie of nieuw device inloggen, maar daarna nog maar zelden.
Waah @AtleX24 april 2013 14:49
Dan wens ik ze veel plezier. heb Gmail nooit gebruikt, dus kunnen ze er nog verdomd weinig mee. Heb ook geen emailadressen gesynct. Dus een simpel wachtwoord met hoofdletters en cijfers vind ik wel voldoende. Nog nooit problemen met accounts gehad.

Als er niks te halen is, ben je ook niet interessant. als ik nu CEO van Google was...... was ik vast interessant. Maarals simpel consumentje niet
daan.timmer @Waah24 april 2013 15:34
En vervolgens loggen ze in, maken ze een google+ account.

Gaan berichten plaatsen over hoe je bepaalde bevolkingsgroepen haat en ze het liefst aan een koordje wilt hangen.

Daarbij kondig jij ook nog even aan dat je ergens een paar wapens hebt liggen die je 'binnenkort' gaat gebruiken om een paar mensen op een specifieke locatie om te brengen.

Ik wens je succes om vervolgens tegen de politie uit te leggen "m'n account was gehacked"

[Reactie gewijzigd door daan.timmer op 26 juli 2024 00:31]

Krytox 24 april 2013 14:32
Ik heb wel eens gehoord dat behalve het wachtwoord dat men intypt, het ook heel erg kenmerkend is, de snelheid waarmee een persoon bepaalde lettertoetsen aanslaat. En dat dat als authenticatie gebruikt kan worden.
Ben erg benieuwd naar nog meer nieuwe ontwikkelingen op dit gebied
Trasos @Krytox24 april 2013 14:53
En als je dan een keer een vinger breekt of erger kwijt raakt, dan kun je dus niet meer inloggen...

Lijkt me meer voor de hand dat het richting two-step gaat.
ari @Trasos24 april 2013 15:06
Je zou in dat geval kunnen instellen dat als de gebruiker het wachtwoord op de voor hem kenmerkende manier heeft ingevoerd, het two-step-systeem wordt overgeslagen. In het geval dat de manier van invoeren te veel afwijkt krijg de two-step alsnog voor je neus. Handig vanwege de snelheidswinst (en minder irritatie bij gebruiker), maar evengoed veilig. En als je de keuze bij de gebruiker laat (zoals nu bij two-step het geval is) dan lijkt het me alleen maar een verbetering.
King4589 @Trasos24 april 2013 15:15
het is dan ook meestal een combinatie van verschillende factoren die gebruikt worden.
Binnen een kantoor omgeving kan dit redelijk goed gebruikt worden.

Zonder te kijken naar privacy.
Temperatuur is redelijk stabiel, je aanslagen worden continu gemonitord dus fluctuaties die normaal zijn zullen herkend worden.
Als je net een nieuw wachtwoord gekozen hebt zal je langzamer zijn dan wanneer je dit wachtwoord al een jaar hebt en met grote regelmaat invoert.
Er wordt dan een profiel van je gemaakt en gekeken naar wat je gemidelden zijn met de maximale afwijkingen ed, zo kan er redelijk precies gezegd worden wie je bent en dat gaat door na het punt van authenticatie want dan komen gewoontes meer om de hoek kijken en zal je als er iemand anders achter zit waarschijnlijk merken dat er meer of juist minder typ fouten gemaakt worden.
En niet te vergeten het gebruik van bepaalde tekens een gemiddelde gebruiker zal bepaalde joker tekens minder gebruiken dan iemand die programmeert.
YopY @Krytox24 april 2013 14:39
Ik heb wel eens gehoord dat behalve het wachtwoord dat men intypt, het ook heel erg kenmerkend is, de snelheid waarmee een persoon bepaalde lettertoetsen aanslaat. En dat dat als authenticatie gebruikt kan worden.
Maar dat is weer van teveel externe factoren afhankelijk; humeur, energieniveau, gebruikt toetsenbord, temperatuur, stress, etc.
Verwijderd @Krytox24 april 2013 15:50
Ik heb wel eens gehoord dat behalve het wachtwoord dat men intypt, het ook heel erg kenmerkend is, de snelheid waarmee een persoon bepaalde lettertoetsen aanslaat. En dat dat als authenticatie gebruikt kan worden.
Dat gaat bij mij, en vele anderen niet lukken. Ik log meestal in met Lastpass, dus het is Flits! Hier zijn de username en password.

Ik hoop dat ze het op een makkelijke manier houden. Sms is op een telefoon onhandig sinds ze de toetsenborden verwijderd hebben. Anders kan je een code makkelijk copy&pasten. Nu moet je code onthouden, naar browser, intikken, terug voor de volgende karakters.
Ik heb mijn telefoon ook niet altijd bij me, geen bereik, of juist in gebruik omdat ik zit te bellen.
Dan heb ik liever een creditkaart achtige oplossing met toetsenbordje. Code in, en returncode, zoals bij veel banken.
Verwijderd 24 april 2013 14:56
Jammer dat OpenID niet zo is aangeslagen (ook tweakers.net niet). Dat we anno 2013 nog steeds voor iedere website een aparte inlognaam en wachtwoord hebben is toch absurd. Hopelijk kijken ze hier ook naar (denk van wel).
Whatevar @Verwijderd24 april 2013 15:37
Dat is inderdaad het voornaamste probleem dat ik met wachtwoorden heb. Je hebt zoveel plekken waar je een gebruikersnaam en wachtwoord nodig hebt. Het is heel lastig om altijd andere gebruikersnamen en wachtwoorden te gebruiken.

Je weet verder ook niet hoe die gegevens worden opgeslagen. Er hoeft maar op één plek een wachtwoord niet gehasht opgeslagen te worden en je loopt een enorm risico als je dat wachtwoord elders ook gebruikt hebt.
Paul @Verwijderd24 april 2013 23:05
Dat we anno 2013 nog steeds voor iedere website een aparte inlognaam en wachtwoord hebben is toch absurd.
Nee, juist fijn :) Anders kan men bij het hacken van één site meteen als Paul inloggen op heel veel sites...

Daarnaast zijn de 'Log in met je *** account' meestal een Live-ID of Facebook, en die zijn beiden van bedrijven die wat mij betreft maar heel weinig te maken hebben met of hoeven te weten wat ik op diverse sites allemaal doe :)
Verwijderd @Paul25 april 2013 06:31
Nee, niet fijn.

En inloggen met OpenID is iets anders dan inloggen met Live-Id of Facebook zoals jij dat zegt. Je kan ook zelf een OpenID provider worden, dus je hoeft helemaal niet een gmail of yahoo account te hebben.

Maar, dit gezegd hebbende, laten we afwachten wat van dit initiatief komt. Ik weet echter wel dat het huidige inlog / wachtwoorden systeem niet veel langer houdbaar is.
Martinspire 24 april 2013 14:36
Ik hoop dat ze inderdaad in de toekomst wat anders vinden voor wachtwoorden. Niet alleen is er altijd een mogelijkheid om ze te kraken, maar ook omdat het inmiddels een irritatie begint te worden met die verplichte hoofdletters, kleine kletters, cijfers, tekens en whatnot.

Voor verificatie van gebruikers zijn er inmiddels ook al alternatieven voor captcha's ontstaan zoals Are You a Human en anderen. Niet altijd even bruikbaar, maar imo minder irritant dan die vage teksten die je de laatste tijd krijgt voorgeschoteld bij recaptcha e.d.

Toch denk ik dat een grotere beveiliging eerder van de HTML standaard af moet komen, dan de huidige mogelijkheden. Feit blijft dat het internet is opgezet om informatie te bekijken, het liefst anoniem. Niet om identificatie toe te voegen, laat staan met geavanceerde beveiliging te werken.

[Reactie gewijzigd door Martinspire op 26 juli 2024 00:31]

sfranken @Martinspire24 april 2013 14:50
Hoezo in de HTML5/6 spec? Dat heeft niks met de markup/opmaak van een webdocument te maken en heeft IMO dus ook geen plaats in de standaard.
Martinspire @sfranken24 april 2013 15:58
Het kan wel degelijk in de spec. Zaken als nieuwe formulier-elementen gefocused op beveiliging, het genereren van een gebruikersid naar de server toe waarmee deze kan worden geidentificeerd en andere zaken waarbij de band tussen client en server wordt versterkt.
Ook formulierverificatie zou fijn zijn om in de HTML te kunnen toepassen en niet alleen mbv javascript of serverside. Een postcode veld met locatie/landverificatie, telefoonnummer verificatie en andere zaken zouden prima met de html-specificatie kunnen worden toegevoegd. Elementen als Number e.d. worden al wel toegevoegd, maar implementatie is nog gebrekkig en kan beter. Ook ondersteuning voor mobiele input zou fijn zijn. Dat het dan centraal wordt gestandardiseert ipv elke browser zijn eigen implementatie.

Het is niet voor niets dat jQueryMobile e.d. allerlei rare kronkels nemen om gebruikersinput, beveiliging en dynamische inhoud te kunnen serveren. HTML5 is een goede kant op, maar is nog lang niet waar het nu had moeten zijn.
1st_Ro 24 april 2013 15:14
Ik ben erg nieuwsgierig wat Launchkey gaat doen, als wachtwoord alternatief. Het ziet er veelbelovend uit, maar in hoeverre het al gebruikt kan worden op diverse websites is nog maar de vraag. De app is pas 6 maart gereleased voor iPhone in de App Store, maar ik wacht op de Android versie. :)
_Thanatos_ @1st_Ro24 april 2013 17:40
Dus Launchkey gaat er vanuit dat je mobieltje niet ergens rondslingert. Je partner kan hiermee dus nog steeds prima in jouw gmail komen, als je alvast naar bed bent of de kleine in bad aan het doen bent. Aannemen dat een ander nooit aan jouw telefoon kan en zal zitten, is m.i. een beetje far-fetched, en je partner die jouw telefoon even pakt is dan nog maar een heel mild voorbeeld.

Daarbij gaat dit ook niet zo fijn werken op vakantie. Je kunt wel internet hebben met een internet-pc, maar zonder dat je je telefoon met hun internet kan verbinden (en vanuit veiligheidsaspect: wil je dat wel?). Het wordt dus een duur geintje als je voor de toegang tot je mail even 3G à €10/MB moet aanzetten.

Ook is het compleet nutteloos voor websites die je wil benaderen op diezelfde mobiel. Je moet dan toegang verlenen met dezelfde device als die de toegang vraagt.
Virtlink 24 april 2013 17:50
Van mij mogen ze OpenID overal wel gaan invoeren. Eén site die ik mijn wachtwoord en persoonsgegevens hoef toe te vertrouwen, één site die zich volledig kan focussen op beveiliging, en één heel lang wachtwoord dat ik moet onthouden en elke zoveel tijd veranderen.

En alle andere sites die alleen maar OpenID hoeven aan te hangen en ik kan inloggen. Maar je hoeft ze niet een wachtwoord toe te vertrouwen. En die andere sites kunnen, net als nu, focussen op hun product in plaats van beveiliging.
Verwijderd @Virtlink24 april 2013 23:32
Ik begrijp waarom je dit een verbetering zou vinden maar stel nu stel eventjes dat OpenID gehackt wordt, of iemand daar springt toch niet zo voorzichtig om met je wachtwoord dan als ze je zeggen dan heeft die hacker of de persoon in kwestie zo maar eventjes toegang tot al je accounts..

Nee. Een wachtwoord intypen is gewoon verouderd, ben wel eens benieuwd wat de nieuwe standaard gaat worden!
vancha 24 april 2013 14:37
Zo lang het maar een keuze blijft bij het gebruiken van dit soort alternatieven. niemand zit er bijvoorbeeld te op te wachten om straks je pc of facebook pagina met behulp van een cryptografische code te gaan ontsleutelen. voor thuisgebruik hoeft dat overkill. voor zakelijk gebruik is dit echter een must.
marapuru 24 april 2013 14:42
Goede zaak dat er zowel hard- als software fabrikanten zich aansluiten bij dit consortium. Ben erg benieuwd hoe dit het inloggen de komende jaren gaat laten ontwikkelen.
Budha 24 april 2013 16:46
Ik voorzie een probleem bij overlijden. Nu hoeft mijn familie maar op één plek te kijken om alle wachtwoorden te zien van accounts die moeten worden gewijzigd of opgeheven als ik er niet meer ben.

Het is wel een beetje veelgevraagd om een wijsvinger of een oogbal te bewaren.
Verwijderd @Budha24 april 2013 23:34
Google / Twitter geven de optie om een overlijdensakte in te scannen en door te sturen. Point invalid maar wel grappig ;)

Wijsvinger in een potje

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq