Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties, 18.495 views •

Google heeft zich aangesloten bij de FIDO-alliantie. FIDO, dat staat voor Fast Identity Online Alliance, wil open standaarden ontwikkelen voor gebruikersauthenticatie en daarmee veiligere alternatieven bieden voor het hedendaagse gebruik van wachtwoorden.

Net als andere bedrijven is Google al langer op zoek naar alternatieven voor de traditionele wachtwoordbeveiliging, omdat het van mening is dat wachtwoorden niet langer veilig genoeg zijn. Het bedrijf heeft onder andere de mogelijkheid voor tweestapsauthenticatie ingevoerd voor Google-accounts, waarbij een gebruiker een tweede code moet invoeren om toegang te krijgen. Steeds meer bedrijven volgen Googles voorbeeld. Zo hebben onder andere ook Facebook en Microsoft inmiddels tweestapsauthenticatie ingevoerd.

In een poging het aanbieden van alternatieve inlogmethoden te versnellen, heeft Google zich nu aangesloten bij de FIDO. Deze alliantie heeft onder andere Lenovo, PayPal en NXP als lid. De FIDO zegt in de komende jaren onderzoek te willen doen naar nieuwe authenticatiemechanismen die zijn gebaseerd op open standaarden. Er wordt onder andere gewerkt aan het verwerken van biometrische kenmerken, zoals vingerafdrukken en gezichtsherkenning, evenals aan eenmalige wachtwoorden en tokens die bijvoorbeeld met nfc-technologie werken.

Reacties (52)

Reactiefilter:-152045+126+22+30
Moderatie-faq Wijzig weergave
Hmm, wat is er serieus mis met passphrases, in plaats van passwords?

De complexiteit van een passphrase is ongekend, ten opzichte van random gegenereerde 16 karakters wachtwoorden met mixed case en andere ongein wat niet te onthouden is. :D

Voor mobile devices wordt een passphrase dan weer wel wat onhandiger, maar voor het getypte zou dat toch wel een enorm verschil moeten kunnen maken.

Bijkomend voordeel is dat eventuele software minimaal hoeft te worden aangepast (gewoon meer dan x karakters ondersteunen. Sites die max 15 chars of minder ondersteunen moeten zichzelf schamen).
Password of passphrase, ik denk dat het probleem hem op dit moment vooral zit in de veelvoud van accounts die we tegenwoordig hebben. Je kunt inloggen bij je bank, bij de overheid (DigiD), één of meerdere mailaccounts, facebook, online games, telefoon lockscreen, op je werk...
Op meerdere plaatsen hetzelfde wachtwoord gebruiken is iets wat ik een hoop mensen zie doen, maar dat is natuurlijk inherent onveiliger en ook niet altijd mogelijk: de Android app van ABN Amro vereist een 5-cijferige code, DigiD maakt het je zo moeilijk mogelijk met minimaal een hoofdletter, kleine letter, cijfer en leesteken, en ga zo maar door. Wat dan weer tot gevolg heeft dat mensen wachtwoorden op een Post-it aan hun scherm plakken of in een tekstbestand op hun desktop (of zelfs in een gedeelde folder op de server) zetten.
Tweestapsauthenticatie kan denk ik een belangrijke stap in de goede richting zijn, al is het nog niet de uiteindelijke oplossing.
Ik heb het laatst eens geteld, en ik heb in totaal 59 combinaties van gebruikersnamen en passwords. Email, werkgerelateerd (inloggen en applicaties), webwinkels, internetbankieren, internettoegang, dropbox etc. etc.. 59 unieke combi's kan ik niet onthouden, dus heb ik ze min of meer georganiseerd per cluster. Zo zijn mijn webwinkel-accounts allemaal op dezelfde wijze opgebouwd (doch niet hetzelfde) en dat geldt ook op mijn werk.

Het is dat ik een bovengemiddelde intelligentie heb, anders zou het nog moeilijk worden om alle ezelsbruggetjes te onthouden.
Ik heb inmiddels enkele jaren Roboform, inmiddels heb ik daarbij ongeveer 550(!) bestanden verzameld, elk bestand is een encrypted passcard, meestal met alleen gebruikersnaam/wachtwoord, maar vaak ook met meer.

Ik wil niet dat ik voor elke webapp/forum/enz dubbel moet gaan authenticeren, want dan heb ik niets/veel minder aan Roboform.
de reden is dat een bedrijf als facebook dan bijvoorbeeld 50 karakters per wachtwoord moet gaan reserveren. dat lijkt niet veel als je denkt aan 1 zin, want hoe veel ruimte kost dat nou eigenlijk. maar de databases die gebruikt worden om dit soort wachtwoorden op te slaan zijn immens groot, en zo veel extra karacters * zo veel duizend gebruikers is niet een kleine aanpassing. ik durf zelf te wedden dat dat een merkbaar verschil in snelheid op levert voor de gebruikers er van.
Wachtwoorden worden - als het goed is - nooit rechtstreeks opgeslagen, maar alleen een salted hash.
Theoretisch dan.
Dat zal reuze meevallen, want wachtwoorden zullen ze echt niet plaintekst opslaan maar encrypted / hashed. En die hebben een vaste lengte.
Wachtwoorden worden bij Facebook echt wel versleuteld. Meestal heeft zo'n sleutel 40 of meer (hangt van het algoritme af) karakters die moeten worden opgeslagen. Zie het probleem hier dan ook niet echt van in.
Nee, wat is dit nu voor reden. We uploaden megabytes aan foto en video en jij wilt beweren dat 30 extra lettertjes de reden is?

Wha!
omdat ik bijvoorbeeld echt geen wachtzinnen (passphrase) kan onthouden, ik vergeet elke keer weer wat nou ook alweer de zin precies was. En ik vermoed dat ik dan echt niet de enige ben.

Daarnaast zijn wachtzinnen super irritant, want het intypen van een passphrase duurt veel langer dan een wachtwoord. Ik kan niet fourloos (blind)typen en maak heel veel typo's. Dus heel onhandig als je lockscreens hebt die binnen een paar min. locken. Je blijft typen...
"Steeds meer bedrijven volgen Googles voorbeeld. Zo hebben onder andere ook Facebook en Microsoft inmiddels tweestapsauthenticatie ingevoerd."

Ik gebruik mijn accounts op Facebook en Google dagelijks maar ik heb nooit een tweestapsauthenticatie gezien, nou weet ik niet of het voor de gebruiker ingevoerd word of de authenticatie zelf.

Ik kan ook zo niks vinden hier over, enig idee of iemand hier wat over kan uiten?
In beide gevallen, Google en Facebook, dien je de tweestapsauthenticatie zelf in te schakelen. Meer informatie hierover kan je vinden in de support-pagina's:

Google - Authenticatie in twee stappen
Facebook - Wat zijn aanmeldgoedkeuringen? Hoe schakel ik deze instelling in?
http://support.google.com...y?hl=nl&answer=180744

Het is al even beschikbaar. heb het wel gebruikt, maar teveel gedoe en hoef op google niks te beveiligen. (gebruik het niet voor mail e.d.)
En wat als iemand als jou inlogt en wel mail e.d. gaat gebruiken? Ik gebruik two-factor authentication bij Google al vanaf het begin en als ik kijk hoeveel SMS-jes ik sinds januari (nieuwe telefoon...) heb gehad daarvoor dan zijn dat er 7. Elke keer op een nieuwe installatie of nieuw device inloggen, maar daarna nog maar zelden.
Dan wens ik ze veel plezier. heb Gmail nooit gebruikt, dus kunnen ze er nog verdomd weinig mee. Heb ook geen emailadressen gesynct. Dus een simpel wachtwoord met hoofdletters en cijfers vind ik wel voldoende. Nog nooit problemen met accounts gehad.

Als er niks te halen is, ben je ook niet interessant. als ik nu CEO van Google was...... was ik vast interessant. Maarals simpel consumentje niet
En vervolgens loggen ze in, maken ze een google+ account.

Gaan berichten plaatsen over hoe je bepaalde bevolkingsgroepen haat en ze het liefst aan een koordje wilt hangen.

Daarbij kondig jij ook nog even aan dat je ergens een paar wapens hebt liggen die je 'binnenkort' gaat gebruiken om een paar mensen op een specifieke locatie om te brengen.

Ik wens je succes om vervolgens tegen de politie uit te leggen "m'n account was gehacked"

[Reactie gewijzigd door daan.timmer op 24 april 2013 19:23]

Ik heb wel eens gehoord dat behalve het wachtwoord dat men intypt, het ook heel erg kenmerkend is, de snelheid waarmee een persoon bepaalde lettertoetsen aanslaat. En dat dat als authenticatie gebruikt kan worden.
Ben erg benieuwd naar nog meer nieuwe ontwikkelingen op dit gebied
En als je dan een keer een vinger breekt of erger kwijt raakt, dan kun je dus niet meer inloggen...

Lijkt me meer voor de hand dat het richting two-step gaat.
Je zou in dat geval kunnen instellen dat als de gebruiker het wachtwoord op de voor hem kenmerkende manier heeft ingevoerd, het two-step-systeem wordt overgeslagen. In het geval dat de manier van invoeren te veel afwijkt krijg de two-step alsnog voor je neus. Handig vanwege de snelheidswinst (en minder irritatie bij gebruiker), maar evengoed veilig. En als je de keuze bij de gebruiker laat (zoals nu bij two-step het geval is) dan lijkt het me alleen maar een verbetering.
het is dan ook meestal een combinatie van verschillende factoren die gebruikt worden.
Binnen een kantoor omgeving kan dit redelijk goed gebruikt worden.

Zonder te kijken naar privacy.
Temperatuur is redelijk stabiel, je aanslagen worden continu gemonitord dus fluctuaties die normaal zijn zullen herkend worden.
Als je net een nieuw wachtwoord gekozen hebt zal je langzamer zijn dan wanneer je dit wachtwoord al een jaar hebt en met grote regelmaat invoert.
Er wordt dan een profiel van je gemaakt en gekeken naar wat je gemidelden zijn met de maximale afwijkingen ed, zo kan er redelijk precies gezegd worden wie je bent en dat gaat door na het punt van authenticatie want dan komen gewoontes meer om de hoek kijken en zal je als er iemand anders achter zit waarschijnlijk merken dat er meer of juist minder typ fouten gemaakt worden.
En niet te vergeten het gebruik van bepaalde tekens een gemiddelde gebruiker zal bepaalde joker tekens minder gebruiken dan iemand die programmeert.
Ik heb wel eens gehoord dat behalve het wachtwoord dat men intypt, het ook heel erg kenmerkend is, de snelheid waarmee een persoon bepaalde lettertoetsen aanslaat. En dat dat als authenticatie gebruikt kan worden.
Maar dat is weer van teveel externe factoren afhankelijk; humeur, energieniveau, gebruikt toetsenbord, temperatuur, stress, etc.
Ik heb wel eens gehoord dat behalve het wachtwoord dat men intypt, het ook heel erg kenmerkend is, de snelheid waarmee een persoon bepaalde lettertoetsen aanslaat. En dat dat als authenticatie gebruikt kan worden.
Dat gaat bij mij, en vele anderen niet lukken. Ik log meestal in met Lastpass, dus het is Flits! Hier zijn de username en password.

Ik hoop dat ze het op een makkelijke manier houden. Sms is op een telefoon onhandig sinds ze de toetsenborden verwijderd hebben. Anders kan je een code makkelijk copy&pasten. Nu moet je code onthouden, naar browser, intikken, terug voor de volgende karakters.
Ik heb mijn telefoon ook niet altijd bij me, geen bereik, of juist in gebruik omdat ik zit te bellen.
Dan heb ik liever een creditkaart achtige oplossing met toetsenbordje. Code in, en returncode, zoals bij veel banken.
Jammer dat OpenID niet zo is aangeslagen (ook tweakers.net niet). Dat we anno 2013 nog steeds voor iedere website een aparte inlognaam en wachtwoord hebben is toch absurd. Hopelijk kijken ze hier ook naar (denk van wel).
Dat is inderdaad het voornaamste probleem dat ik met wachtwoorden heb. Je hebt zoveel plekken waar je een gebruikersnaam en wachtwoord nodig hebt. Het is heel lastig om altijd andere gebruikersnamen en wachtwoorden te gebruiken.

Je weet verder ook niet hoe die gegevens worden opgeslagen. Er hoeft maar op één plek een wachtwoord niet gehasht opgeslagen te worden en je loopt een enorm risico als je dat wachtwoord elders ook gebruikt hebt.
Dat we anno 2013 nog steeds voor iedere website een aparte inlognaam en wachtwoord hebben is toch absurd.
Nee, juist fijn :) Anders kan men bij het hacken van één site meteen als Paul inloggen op heel veel sites...

Daarnaast zijn de 'Log in met je *** account' meestal een Live-ID of Facebook, en die zijn beiden van bedrijven die wat mij betreft maar heel weinig te maken hebben met of hoeven te weten wat ik op diverse sites allemaal doe :)
Nee, niet fijn.

En inloggen met OpenID is iets anders dan inloggen met Live-Id of Facebook zoals jij dat zegt. Je kan ook zelf een OpenID provider worden, dus je hoeft helemaal niet een gmail of yahoo account te hebben.

Maar, dit gezegd hebbende, laten we afwachten wat van dit initiatief komt. Ik weet echter wel dat het huidige inlog / wachtwoorden systeem niet veel langer houdbaar is.
Ik hoop dat ze inderdaad in de toekomst wat anders vinden voor wachtwoorden. Niet alleen is er altijd een mogelijkheid om ze te kraken, maar ook omdat het inmiddels een irritatie begint te worden met die verplichte hoofdletters, kleine kletters, cijfers, tekens en whatnot.

Voor verificatie van gebruikers zijn er inmiddels ook al alternatieven voor captcha's ontstaan zoals Are You a Human en anderen. Niet altijd even bruikbaar, maar imo minder irritant dan die vage teksten die je de laatste tijd krijgt voorgeschoteld bij recaptcha e.d.

Toch denk ik dat een grotere beveiliging eerder van de HTML standaard af moet komen, dan de huidige mogelijkheden. Feit blijft dat het internet is opgezet om informatie te bekijken, het liefst anoniem. Niet om identificatie toe te voegen, laat staan met geavanceerde beveiliging te werken.

[Reactie gewijzigd door Martinspire op 24 april 2013 14:37]

Hoezo in de HTML5/6 spec? Dat heeft niks met de markup/opmaak van een webdocument te maken en heeft IMO dus ook geen plaats in de standaard.
Het kan wel degelijk in de spec. Zaken als nieuwe formulier-elementen gefocused op beveiliging, het genereren van een gebruikersid naar de server toe waarmee deze kan worden geidentificeerd en andere zaken waarbij de band tussen client en server wordt versterkt.
Ook formulierverificatie zou fijn zijn om in de HTML te kunnen toepassen en niet alleen mbv javascript of serverside. Een postcode veld met locatie/landverificatie, telefoonnummer verificatie en andere zaken zouden prima met de html-specificatie kunnen worden toegevoegd. Elementen als Number e.d. worden al wel toegevoegd, maar implementatie is nog gebrekkig en kan beter. Ook ondersteuning voor mobiele input zou fijn zijn. Dat het dan centraal wordt gestandardiseert ipv elke browser zijn eigen implementatie.

Het is niet voor niets dat jQueryMobile e.d. allerlei rare kronkels nemen om gebruikersinput, beveiliging en dynamische inhoud te kunnen serveren. HTML5 is een goede kant op, maar is nog lang niet waar het nu had moeten zijn.
Ik ben erg nieuwsgierig wat Launchkey gaat doen, als wachtwoord alternatief. Het ziet er veelbelovend uit, maar in hoeverre het al gebruikt kan worden op diverse websites is nog maar de vraag. De app is pas 6 maart gereleased voor iPhone in de App Store, maar ik wacht op de Android versie. :)
Dus Launchkey gaat er vanuit dat je mobieltje niet ergens rondslingert. Je partner kan hiermee dus nog steeds prima in jouw gmail komen, als je alvast naar bed bent of de kleine in bad aan het doen bent. Aannemen dat een ander nooit aan jouw telefoon kan en zal zitten, is m.i. een beetje far-fetched, en je partner die jouw telefoon even pakt is dan nog maar een heel mild voorbeeld.

Daarbij gaat dit ook niet zo fijn werken op vakantie. Je kunt wel internet hebben met een internet-pc, maar zonder dat je je telefoon met hun internet kan verbinden (en vanuit veiligheidsaspect: wil je dat wel?). Het wordt dus een duur geintje als je voor de toegang tot je mail even 3G à ¤10/MB moet aanzetten.

Ook is het compleet nutteloos voor websites die je wil benaderen op diezelfde mobiel. Je moet dan toegang verlenen met dezelfde device als die de toegang vraagt.
Van mij mogen ze OpenID overal wel gaan invoeren. Eén site die ik mijn wachtwoord en persoonsgegevens hoef toe te vertrouwen, één site die zich volledig kan focussen op beveiliging, en één heel lang wachtwoord dat ik moet onthouden en elke zoveel tijd veranderen.

En alle andere sites die alleen maar OpenID hoeven aan te hangen en ik kan inloggen. Maar je hoeft ze niet een wachtwoord toe te vertrouwen. En die andere sites kunnen, net als nu, focussen op hun product in plaats van beveiliging.
Ik begrijp waarom je dit een verbetering zou vinden maar stel nu stel eventjes dat OpenID gehackt wordt, of iemand daar springt toch niet zo voorzichtig om met je wachtwoord dan als ze je zeggen dan heeft die hacker of de persoon in kwestie zo maar eventjes toegang tot al je accounts..

Nee. Een wachtwoord intypen is gewoon verouderd, ben wel eens benieuwd wat de nieuwe standaard gaat worden!
Zo lang het maar een keuze blijft bij het gebruiken van dit soort alternatieven. niemand zit er bijvoorbeeld te op te wachten om straks je pc of facebook pagina met behulp van een cryptografische code te gaan ontsleutelen. voor thuisgebruik hoeft dat overkill. voor zakelijk gebruik is dit echter een must.
Goede zaak dat er zowel hard- als software fabrikanten zich aansluiten bij dit consortium. Ben erg benieuwd hoe dit het inloggen de komende jaren gaat laten ontwikkelen.
Ik voorzie een probleem bij overlijden. Nu hoeft mijn familie maar op één plek te kijken om alle wachtwoorden te zien van accounts die moeten worden gewijzigd of opgeheven als ik er niet meer ben.

Het is wel een beetje veelgevraagd om een wijsvinger of een oogbal te bewaren.
Google / Twitter geven de optie om een overlijdensakte in te scannen en door te sturen. Point invalid maar wel grappig ;)

Wijsvinger in een potje

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True