Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 52, views: 18.350 •

Google heeft zich aangesloten bij de FIDO-alliantie. FIDO, dat staat voor Fast Identity Online Alliance, wil open standaarden ontwikkelen voor gebruikersauthenticatie en daarmee veiligere alternatieven bieden voor het hedendaagse gebruik van wachtwoorden.

Net als andere bedrijven is Google al langer op zoek naar alternatieven voor de traditionele wachtwoordbeveiliging, omdat het van mening is dat wachtwoorden niet langer veilig genoeg zijn. Het bedrijf heeft onder andere de mogelijkheid voor tweestapsauthenticatie ingevoerd voor Google-accounts, waarbij een gebruiker een tweede code moet invoeren om toegang te krijgen. Steeds meer bedrijven volgen Googles voorbeeld. Zo hebben onder andere ook Facebook en Microsoft inmiddels tweestapsauthenticatie ingevoerd.

In een poging het aanbieden van alternatieve inlogmethoden te versnellen, heeft Google zich nu aangesloten bij de FIDO. Deze alliantie heeft onder andere Lenovo, PayPal en NXP als lid. De FIDO zegt in de komende jaren onderzoek te willen doen naar nieuwe authenticatiemechanismen die zijn gebaseerd op open standaarden. Er wordt onder andere gewerkt aan het verwerken van biometrische kenmerken, zoals vingerafdrukken en gezichtsherkenning, evenals aan eenmalige wachtwoorden en tokens die bijvoorbeeld met nfc-technologie werken.

Reacties (52)

Problemen met Microsofts eigen Authenticator? Ze gebruiken allemaal hetzelfde open standaard, dus zou moeten werken...
Is dat een reden om gebruikers die gebruik maken van _hun_ diensten het onveilig te laten doen? Misschien.
Je hebt nog altijd de SMS functionaliteit waar het ooit me begonnen is.
Ik heb wel eens gehoord dat behalve het wachtwoord dat men intypt, het ook heel erg kenmerkend is, de snelheid waarmee een persoon bepaalde lettertoetsen aanslaat. En dat dat als authenticatie gebruikt kan worden.
Ben erg benieuwd naar nog meer nieuwe ontwikkelingen op dit gebied
Ik heb wel eens gehoord dat behalve het wachtwoord dat men intypt, het ook heel erg kenmerkend is, de snelheid waarmee een persoon bepaalde lettertoetsen aanslaat. En dat dat als authenticatie gebruikt kan worden.
Maar dat is weer van teveel externe factoren afhankelijk; humeur, energieniveau, gebruikt toetsenbord, temperatuur, stress, etc.
En als je dan een keer een vinger breekt of erger kwijt raakt, dan kun je dus niet meer inloggen...

Lijkt me meer voor de hand dat het richting two-step gaat.
Je zou in dat geval kunnen instellen dat als de gebruiker het wachtwoord op de voor hem kenmerkende manier heeft ingevoerd, het two-step-systeem wordt overgeslagen. In het geval dat de manier van invoeren te veel afwijkt krijg de two-step alsnog voor je neus. Handig vanwege de snelheidswinst (en minder irritatie bij gebruiker), maar evengoed veilig. En als je de keuze bij de gebruiker laat (zoals nu bij two-step het geval is) dan lijkt het me alleen maar een verbetering.
het is dan ook meestal een combinatie van verschillende factoren die gebruikt worden.
Binnen een kantoor omgeving kan dit redelijk goed gebruikt worden.

Zonder te kijken naar privacy.
Temperatuur is redelijk stabiel, je aanslagen worden continu gemonitord dus fluctuaties die normaal zijn zullen herkend worden.
Als je net een nieuw wachtwoord gekozen hebt zal je langzamer zijn dan wanneer je dit wachtwoord al een jaar hebt en met grote regelmaat invoert.
Er wordt dan een profiel van je gemaakt en gekeken naar wat je gemidelden zijn met de maximale afwijkingen ed, zo kan er redelijk precies gezegd worden wie je bent en dat gaat door na het punt van authenticatie want dan komen gewoontes meer om de hoek kijken en zal je als er iemand anders achter zit waarschijnlijk merken dat er meer of juist minder typ fouten gemaakt worden.
En niet te vergeten het gebruik van bepaalde tekens een gemiddelde gebruiker zal bepaalde joker tekens minder gebruiken dan iemand die programmeert.
Ik heb wel eens gehoord dat behalve het wachtwoord dat men intypt, het ook heel erg kenmerkend is, de snelheid waarmee een persoon bepaalde lettertoetsen aanslaat. En dat dat als authenticatie gebruikt kan worden.
Dat gaat bij mij, en vele anderen niet lukken. Ik log meestal in met Lastpass, dus het is Flits! Hier zijn de username en password.

Ik hoop dat ze het op een makkelijke manier houden. Sms is op een telefoon onhandig sinds ze de toetsenborden verwijderd hebben. Anders kan je een code makkelijk copy&pasten. Nu moet je code onthouden, naar browser, intikken, terug voor de volgende karakters.
Ik heb mijn telefoon ook niet altijd bij me, geen bereik, of juist in gebruik omdat ik zit te bellen.
Dan heb ik liever een creditkaart achtige oplossing met toetsenbordje. Code in, en returncode, zoals bij veel banken.
Hmm, wat is er serieus mis met passphrases, in plaats van passwords?

De complexiteit van een passphrase is ongekend, ten opzichte van random gegenereerde 16 karakters wachtwoorden met mixed case en andere ongein wat niet te onthouden is. :D

Voor mobile devices wordt een passphrase dan weer wel wat onhandiger, maar voor het getypte zou dat toch wel een enorm verschil moeten kunnen maken.

Bijkomend voordeel is dat eventuele software minimaal hoeft te worden aangepast (gewoon meer dan x karakters ondersteunen. Sites die max 15 chars of minder ondersteunen moeten zichzelf schamen).
de reden is dat een bedrijf als facebook dan bijvoorbeeld 50 karakters per wachtwoord moet gaan reserveren. dat lijkt niet veel als je denkt aan 1 zin, want hoe veel ruimte kost dat nou eigenlijk. maar de databases die gebruikt worden om dit soort wachtwoorden op te slaan zijn immens groot, en zo veel extra karacters * zo veel duizend gebruikers is niet een kleine aanpassing. ik durf zelf te wedden dat dat een merkbaar verschil in snelheid op levert voor de gebruikers er van.
Wachtwoorden worden - als het goed is - nooit rechtstreeks opgeslagen, maar alleen een salted hash.
Theoretisch dan.
Dat zal reuze meevallen, want wachtwoorden zullen ze echt niet plaintekst opslaan maar encrypted / hashed. En die hebben een vaste lengte.
Wachtwoorden worden bij Facebook echt wel versleuteld. Meestal heeft zo'n sleutel 40 of meer (hangt van het algoritme af) karakters die moeten worden opgeslagen. Zie het probleem hier dan ook niet echt van in.
Nee, wat is dit nu voor reden. We uploaden megabytes aan foto en video en jij wilt beweren dat 30 extra lettertjes de reden is?

Wha!
Password of passphrase, ik denk dat het probleem hem op dit moment vooral zit in de veelvoud van accounts die we tegenwoordig hebben. Je kunt inloggen bij je bank, bij de overheid (DigiD), één of meerdere mailaccounts, facebook, online games, telefoon lockscreen, op je werk...
Op meerdere plaatsen hetzelfde wachtwoord gebruiken is iets wat ik een hoop mensen zie doen, maar dat is natuurlijk inherent onveiliger en ook niet altijd mogelijk: de Android app van ABN Amro vereist een 5-cijferige code, DigiD maakt het je zo moeilijk mogelijk met minimaal een hoofdletter, kleine letter, cijfer en leesteken, en ga zo maar door. Wat dan weer tot gevolg heeft dat mensen wachtwoorden op een Post-it aan hun scherm plakken of in een tekstbestand op hun desktop (of zelfs in een gedeelde folder op de server) zetten.
Tweestapsauthenticatie kan denk ik een belangrijke stap in de goede richting zijn, al is het nog niet de uiteindelijke oplossing.
Ik heb het laatst eens geteld, en ik heb in totaal 59 combinaties van gebruikersnamen en passwords. Email, werkgerelateerd (inloggen en applicaties), webwinkels, internetbankieren, internettoegang, dropbox etc. etc.. 59 unieke combi's kan ik niet onthouden, dus heb ik ze min of meer georganiseerd per cluster. Zo zijn mijn webwinkel-accounts allemaal op dezelfde wijze opgebouwd (doch niet hetzelfde) en dat geldt ook op mijn werk.

Het is dat ik een bovengemiddelde intelligentie heb, anders zou het nog moeilijk worden om alle ezelsbruggetjes te onthouden.
Ik heb inmiddels enkele jaren Roboform, inmiddels heb ik daarbij ongeveer 550(!) bestanden verzameld, elk bestand is een encrypted passcard, meestal met alleen gebruikersnaam/wachtwoord, maar vaak ook met meer.

Ik wil niet dat ik voor elke webapp/forum/enz dubbel moet gaan authenticeren, want dan heb ik niets/veel minder aan Roboform.
omdat ik bijvoorbeeld echt geen wachtzinnen (passphrase) kan onthouden, ik vergeet elke keer weer wat nou ook alweer de zin precies was. En ik vermoed dat ik dan echt niet de enige ben.

Daarnaast zijn wachtzinnen super irritant, want het intypen van een passphrase duurt veel langer dan een wachtwoord. Ik kan niet fourloos (blind)typen en maak heel veel typo's. Dus heel onhandig als je lockscreens hebt die binnen een paar min. locken. Je blijft typen...
"Steeds meer bedrijven volgen Googles voorbeeld. Zo hebben onder andere ook Facebook en Microsoft inmiddels tweestapsauthenticatie ingevoerd."

Ik gebruik mijn accounts op Facebook en Google dagelijks maar ik heb nooit een tweestapsauthenticatie gezien, nou weet ik niet of het voor de gebruiker ingevoerd word of de authenticatie zelf.

Ik kan ook zo niks vinden hier over, enig idee of iemand hier wat over kan uiten?
http://support.google.com...y?hl=nl&answer=180744

Het is al even beschikbaar. heb het wel gebruikt, maar teveel gedoe en hoef op google niks te beveiligen. (gebruik het niet voor mail e.d.)
En wat als iemand als jou inlogt en wel mail e.d. gaat gebruiken? Ik gebruik two-factor authentication bij Google al vanaf het begin en als ik kijk hoeveel SMS-jes ik sinds januari (nieuwe telefoon...) heb gehad daarvoor dan zijn dat er 7. Elke keer op een nieuwe installatie of nieuw device inloggen, maar daarna nog maar zelden.
Dan wens ik ze veel plezier. heb Gmail nooit gebruikt, dus kunnen ze er nog verdomd weinig mee. Heb ook geen emailadressen gesynct. Dus een simpel wachtwoord met hoofdletters en cijfers vind ik wel voldoende. Nog nooit problemen met accounts gehad.

Als er niks te halen is, ben je ook niet interessant. als ik nu CEO van Google was...... was ik vast interessant. Maarals simpel consumentje niet
En vervolgens loggen ze in, maken ze een google+ account.

Gaan berichten plaatsen over hoe je bepaalde bevolkingsgroepen haat en ze het liefst aan een koordje wilt hangen.

Daarbij kondig jij ook nog even aan dat je ergens een paar wapens hebt liggen die je 'binnenkort' gaat gebruiken om een paar mensen op een specifieke locatie om te brengen.

Ik wens je succes om vervolgens tegen de politie uit te leggen "m'n account was gehacked"

[Reactie gewijzigd door daan.timmer op 24 april 2013 19:23]

In beide gevallen, Google en Facebook, dien je de tweestapsauthenticatie zelf in te schakelen. Meer informatie hierover kan je vinden in de support-pagina's:

Google - Authenticatie in twee stappen
Facebook - Wat zijn aanmeldgoedkeuringen? Hoe schakel ik deze instelling in?
Ik hoop dat ze inderdaad in de toekomst wat anders vinden voor wachtwoorden. Niet alleen is er altijd een mogelijkheid om ze te kraken, maar ook omdat het inmiddels een irritatie begint te worden met die verplichte hoofdletters, kleine kletters, cijfers, tekens en whatnot.

Voor verificatie van gebruikers zijn er inmiddels ook al alternatieven voor captcha's ontstaan zoals Are You a Human en anderen. Niet altijd even bruikbaar, maar imo minder irritant dan die vage teksten die je de laatste tijd krijgt voorgeschoteld bij recaptcha e.d.

Toch denk ik dat een grotere beveiliging eerder van de HTML standaard af moet komen, dan de huidige mogelijkheden. Feit blijft dat het internet is opgezet om informatie te bekijken, het liefst anoniem. Niet om identificatie toe te voegen, laat staan met geavanceerde beveiliging te werken.

[Reactie gewijzigd door Martinspire op 24 april 2013 14:37]

Hoezo in de HTML5/6 spec? Dat heeft niks met de markup/opmaak van een webdocument te maken en heeft IMO dus ook geen plaats in de standaard.
Het kan wel degelijk in de spec. Zaken als nieuwe formulier-elementen gefocused op beveiliging, het genereren van een gebruikersid naar de server toe waarmee deze kan worden geidentificeerd en andere zaken waarbij de band tussen client en server wordt versterkt.
Ook formulierverificatie zou fijn zijn om in de HTML te kunnen toepassen en niet alleen mbv javascript of serverside. Een postcode veld met locatie/landverificatie, telefoonnummer verificatie en andere zaken zouden prima met de html-specificatie kunnen worden toegevoegd. Elementen als Number e.d. worden al wel toegevoegd, maar implementatie is nog gebrekkig en kan beter. Ook ondersteuning voor mobiele input zou fijn zijn. Dat het dan centraal wordt gestandardiseert ipv elke browser zijn eigen implementatie.

Het is niet voor niets dat jQueryMobile e.d. allerlei rare kronkels nemen om gebruikersinput, beveiliging en dynamische inhoud te kunnen serveren. HTML5 is een goede kant op, maar is nog lang niet waar het nu had moeten zijn.
Zo lang het maar een keuze blijft bij het gebruiken van dit soort alternatieven. niemand zit er bijvoorbeeld te op te wachten om straks je pc of facebook pagina met behulp van een cryptografische code te gaan ontsleutelen. voor thuisgebruik hoeft dat overkill. voor zakelijk gebruik is dit echter een must.
En gelukkig gebruiken ze gewoon een standaard hiervoor. Dus kan jij ook een eigen app maken, of eender wie. Er zijn dan ook verschillende mogelijkheden in plaats van de standaard google-app. Als er een markt voor is komt er wel een app voor, eender van wie ze komt.

Bron: wikipedia
Goede zaak dat er zowel hard- als software fabrikanten zich aansluiten bij dit consortium. Ben erg benieuwd hoe dit het inloggen de komende jaren gaat laten ontwikkelen.
FIOD, dat staat voor Fast Identity Online Alliance
Wat betekent de "D" in "FIOD" dan? De D van Alliance?

*edit*, oh, het moet zijn FIDO Alliance. Vier keer fout geschreven in het bovenstaande artikel...

Ik dacht al, heeft Google zich nu aangesloten bij de fiscale opsporingsdienst?! :o

[Reactie gewijzigd door jj71 op 24 april 2013 14:46]

Jammer dat OpenID niet zo is aangeslagen (ook tweakers.net niet). Dat we anno 2013 nog steeds voor iedere website een aparte inlognaam en wachtwoord hebben is toch absurd. Hopelijk kijken ze hier ook naar (denk van wel).
Dat is inderdaad het voornaamste probleem dat ik met wachtwoorden heb. Je hebt zoveel plekken waar je een gebruikersnaam en wachtwoord nodig hebt. Het is heel lastig om altijd andere gebruikersnamen en wachtwoorden te gebruiken.

Je weet verder ook niet hoe die gegevens worden opgeslagen. Er hoeft maar op één plek een wachtwoord niet gehasht opgeslagen te worden en je loopt een enorm risico als je dat wachtwoord elders ook gebruikt hebt.
Dat we anno 2013 nog steeds voor iedere website een aparte inlognaam en wachtwoord hebben is toch absurd.
Nee, juist fijn :) Anders kan men bij het hacken van één site meteen als Paul inloggen op heel veel sites...

Daarnaast zijn de 'Log in met je *** account' meestal een Live-ID of Facebook, en die zijn beiden van bedrijven die wat mij betreft maar heel weinig te maken hebben met of hoeven te weten wat ik op diverse sites allemaal doe :)
Nee, niet fijn.

En inloggen met OpenID is iets anders dan inloggen met Live-Id of Facebook zoals jij dat zegt. Je kan ook zelf een OpenID provider worden, dus je hoeft helemaal niet een gmail of yahoo account te hebben.

Maar, dit gezegd hebbende, laten we afwachten wat van dit initiatief komt. Ik weet echter wel dat het huidige inlog / wachtwoorden systeem niet veel langer houdbaar is.

Op dit item kan niet meer gereageerd worden.