Door Tijs Hofmans

Nieuwscoördinator

Feedback • 17-06-2022 06:00 80

Vergeet je wachtwoord

Techbedrijven kiezen andere inlogmethode

17-06-2022 • 06:00

80

Wachtwoordloos inloggen

Tweeënhalf jaar geleden schreven we op Tweakers een achtergrondartikel over 'de toekomst van het wachtwoord'. Als je wat verder zoekt op internet, kun je nog veel verder terug lezen over dat onderwerp. Bill Gates voorspelde in 2004 al het einde van het wachtwoord; hij dacht dat het in de toekomst overbodig zou worden. Veel lijkt er sindsdien niet veranderd. Nog steeds zijn er iedere dag datalekken en het aantal wachtwoorden dat we nodig hebben, stijgt eerder dan dat het daalt. Onlangs zetten Google, Apple en Microsoft een belangrijke stap om wachtwoorden te elimineren uit Chrome, Android, iOS en Windows. Daarmee lijken de bedrijven definitief te hebben gekozen voor een specifieke methode van wachtwoordloos inloggen: FIDO2 en WebAuthn. Het was een lange rit om daar te komen en zeker geen vanzelfsprekendheid. De grote vraag wordt nu hoe de plannen van de techbedrijven eruit komen te zien. Gaan ze het wachtwoord nu écht overbodig maken?

Probleem met wachtwoorden

HaveIBeenPwnd_2Waarom willen we eigenlijk van het wachtwoord af? In de basis werkt authenticeren met een combinatie van gebruikersnaam en wachtwoord best goed, althans, vanuit een gebruikersperspectief. Als gebruiker moet je slechts twee dingen onthouden en dat is best eenvoudig te doen. Dat verandert op het moment dat je wachtwoorden nodig hebt voor verschillende diensten. Dan wordt het moeilijker ze te onthouden en aanvallers kunnen ze steeds makkelijker stelen of geautomatiseerd achterhalen. Zoals Mark Rishner het eerder aan Tweakers uitlegde: "Wachtwoorden zijn moeilijk voor gebruikers en gemakkelijk voor aanvallers." Ideaal is volgens hem een alternatief dat niet alleen het onthouden van wachtwoorden overbodig maakt, maar ook de wachtwoorden zelf.

Single sign-on

In een ideale wereld zouden wachtwoorden in hun huidige vorm helemaal verdwijnen. In plaats van een unieke authenticatie voor iedere losse dienst op te stellen, maakt een gebruiker dan één authenticatie aan die kan worden gebruikt voor zowel het inloggen op Windows als in een Google-account en bij het account van de spreekwoordelijke slager op de hoek.

Zoiets bestaat al in de vorm van single sign-on. Een gebruiker kan dan inloggen met zijn Google-, Facebook- of Apple-account op een website die niet van die dienst is. Dat heeft voordelen; het is gebruiksvriendelijk en je kunt Google over het algemeen meer vertrouwen met beveiliging dan die slager. Single sign-on is echter verre van perfect en geen waardige vervanger voor het wachtwoord. Je moet nog steeds een wachtwoord gebruiken, weliswaar van je Google- of Facebook-account, maar nog steeds een wachtwoord. Er zijn vooral praktische problemen. Vendor lock-in is een risico. Facebook en Google gebruiken hun single sign-on daarnaast om bij te houden welke websites een gebruiker bezoekt, dus het gebruik ervan heeft ook privacyimplicaties.

Smartcards

smartcardSmartcards zijn vooral bij grote bedrijven en overheidsinstellingen al jaren een populaire manier van wachtwoordloos inloggen. Werknemers krijgen dan een fysiek apparaat of een keycard met soms een bijbehorende lezer. Zulke kaarten maken in de meeste gevallen gebruik van personal identity verification volgens een Amerikaanse NIST-standaard die gebruikers veilig authenticeert. Piv-apparatuur is op verschillende manieren te gebruiken, als een tweede stap bij tweestapsverificatie en als een losstaande inlogmethode. Smartcards en piv-standaarden zijn voor bedrijven die serieus zijn over hun beveiliging wel uit te rollen, maar het is ook duur, omdat er speciale hardware nodig is, en het kost vaak veel moeite om de uitrol en het beheer van smartcards te centraliseren. Bedrijven als Google, Apple en Microsoft, die voornamelijk op consumenten zijn gericht, hebben daarom weinig interesse in zulke smartcards voor wachtwoordloos inloggen. Smartcards zijn in de afgelopen jaren ook steeds minder interessant geworden doordat telefoons een belangrijke stap kunnen spelen bij tweestapsverificatie.

Tweestapsverificatie

Experts zijn het erover eens dat tweestapsverificatie een gigantisch deel van de accountinbraken kan voorkomen. Volgens Microsoft is het voor 99,9 procent effectief. De meest voorkomende vormen van tweestapsverificatie, zoals time-based one-time passwords, of totp, en hmac-based one-time passwords, of hotp, zijn duidelijke vormen van een tweede stap in het authenticatieproces. Ze bestaan duidelijk naast wachtwoorden en zijn daar geen vervanger van.

Ook aan dit proces zitten risico's. Zo is een hotp-code lang geldig, zodat er een groter gevaar is dat die onderschept kan worden via een simswap of phishing. Bij totp-codes, die je via bijvoorbeeld een app als Google Authenticator instelt, heb je een probleem als je je telefoon verliest. Daar zijn weer oplossingen voor, zoals een cloudback-up in apps als Authy of door het bewaren van back-upcodes die je kunt printen, maar je begrijpt inmiddels dat dit soort oplossingen vooral pleisters op de wonden zijn. Het zijn houtje-touwtjeoplossingen voor problemen die in de praktijk juist meer problemen rondom gebruikersgemak en beveiligingsrisico's opleveren.

Een vorm van tweestapsverificatie die dichter bij wachtwoordloos inloggen komt, zijn fysieke beveiligingssleutels. Die maken namelijk gebruik van de FIDO2-standaard. Die staat centraal in de nieuwe plannen van de techbedrijven.

securitykeys

FIDO2

In 2012 werd de FIDO Alliance in het leven geroepen door PayPal, Lenovo en een groep beveiligingsbedrijven waarvan je waarschijnlijk nooit hebt gehoord: Nok Nok Labs, Validity Sensors, Infineon en Agnitio. Die gingen aan de slag om een standaard te ontwikkelen voor zowel tweestapsverificatie als wachtwoordloos inloggen. Opvallend genoeg waren Google, Apple en Microsoft niet betrokken bij de oprichting van de Alliance, evenmin als Yubico, dat de Yubikey maakt en dat inmiddels een van de belangrijkste spelers is bij het populariseren van de standaard. Die bedrijven sloten zich later pas aan bij de groep, maar zijn inmiddels belangrijke kartrekkers.

De FIDO-standaard is een poging om authenticatiemethoden te standaardiseren, zodat niet iedere fabrikant met een eigen authenticatorapp of fysieke beveiligingssleutel een eigen authenticatiesysteem hoeft te bouwen. Je zou het eerdergenoemde piv-smartcardprotocol ermee kunnen vergelijken, maar FIDO is door de jaren heen uitgegroeid tot de de-factostandaard voor deze vorm van authenticatie. Of beter gezegd, dat is FIDO2, de opvolger van de oorspronkelijke standaard. FIDO2 maakt gebruik van publickeycryptografie; bij het koppelen van een securitysleutel wordt een sleutelpaar gemaakt en wordt de privésleutel aan het authenticatiemiddel gekoppeld om verbinding te maken met de publieke sleutel. Naast FIDO zijn er nog wat andere protocollen die je moet kennen, zoals WebAuthn en het Client-to-Authenticator-protocol. We zetten ze op een rij.

FIDO

Staat voor Fast IDentity Online en is de overkoepelende term voor de manier waarop verschillende authenticatieprotocollen bij elkaar komen. FIDO is dus op zichzelf niets, maar is de verzamelnaam voor verschillende standaarden, specifiek UAF en U2F. FIDO is de eerste iteratie van de authenticatiestandaard. Later kwam daar FIDO2 bij, waardoor de originele FIDO-standaard amper meer wordt gebruikt.
UAF

Staat voor Universal Authentication Framework. Deze standaard zorgt ervoor dat een server een key pair kan genereren voor een door FIDO ondersteund apparaat. UAF wordt ook in FIDO2 nog ondersteund.
U2F

Staat voor Universal 2 Factor. U2F probeert tweestapsverificatie te standaardiseren. Dat gebeurt nog steeds met sommige oude U2F-sleutels. Veel websites, zoals Facebook en Dropbox, ondersteunen de standaard nog wel. U2F is echter achterhaald en moet op termijn worden vervangen door WebAuthn. U2F werd ontworpen door Google en Yubico, de maker van Yubikeys.
FIDO2

Dit is de tweede iteratie van de authenticatiestandaard. De grootste verandering is dat FIDO2 twee nieuwe protocollen ondersteunt die wijdverspreid gebruikt worden, of beter gezegd, dat FIDO2 de verzamelnaam is geworden van die twee protocollen. Dat zijn WebAuthn en CTAP, of het Client to Authenticator Protocol. Ook is WebAuthn backwards compatible met U2F, zodat websitebouwers ook sleutels met die oude standaard nog ondersteunen. FIDO2 is de moderne standaard die momenteel het meest wordt gebruikt en staat ook aan de basis van de nieuwe plannen van Google, Microsoft en Apple.

Waar U2F vooral bedoeld is om tweestapsverificatiemethoden te standaardiseren, is FIDO2 specifiek ontworpen om ook als eenzijdige login te kunnen werken. U2F is dus alleen voor die tweede factor, maar FIDO2 kan ook worden gebruikt voor wachtwoordloos inloggen. 'Kan' is daarbij wel het kernwoord, want dat gebeurt nog lang niet overal, maar daar vertellen we later meer over.
WebAuthn

WebAuthn is een standaard die niet door de Fido Alliance, maar door het World Wide Web Consortium is opgezet. Deze standaard is de kerncomponent van FIDO2 en als we het hebben over FIDO2, gaat het in de praktijk meestal over WebAuthn. WebAuthn is een api die softwaremakers zoals websitebouwers kunnen implementeren. Ze kunnen het dan gebruiken om authenticatiemiddelen met FIDO2-ondersteuning, zoals een Yubikey, aan te bieden als inlogmethode.
Client to Authenticator Protocol

Het Client to Authenticator Protocol, afgekort CTAP, regelt de communicatie tussen twee FIDO2-apparaten, zoals een webapp en een Yubikey. Dankzij CTAP kan een FIDO2-sleutel communiceren met de computer. Het ondersteunt daarvoor verschillende protocollen, zoals bluetooth, NFC en natuurlijk USB.

Nu we een beetje snappen hoe die verschillende protocollen met elkaar verband houden, kunnen we kijken naar de manier waarop authenticatie op dit moment wordt ingezet en hoe de techbedrijven dat in de toekomst willen veranderen. Momenteel wordt FIDO2 al door veel software ondersteund. De kerncomponent, de WebAuthn-api, werkt inmiddels op 90 procent van alle browsers, voornamelijk de grote en moderne, met Samsungs mobiele browser als grootste uitzondering. Dat betekent dat je een beveiligingssleutel met FIDO2-ondersteuning kunt gebruiken in die browsers. Als je op Chrome inlogt met Google, accepteert die je Yubikey of je Solokey. Stel dat je zelf in je vrije avonduren je eigen beveiligingssleutel zou willen maken die geen FIDO2 of het oudere U2F ondersteunt, dan kun je die bijvoorbeeld niet koppelen aan Gmail. Op dat gebied is het goed dat de FIDO Alliance zo groot is en bijna een monopolie heeft op de beveiligingsstandaard; er zijn geen conflicterende protocollen.

Dat wil niet zeggen dat FIDO2 klaar is om alles en iedereen wachtwoordloos te maken. Een groot probleem is namelijk dat de WebAuthn-api zowel authenticatie als single-factor en multi-factor toestaat. Dat eerste gebeurt nog amper, in tegenstelling tot het tweede. Anders gezegd, je kunt FIDO2-sleutels wél gebruiken als tweestapsverificatie bij Dropbox en Facebook, maar niet als de enige verificatiemethode ofwel wachtwoordloos.

Van sleutel naar telefoon

We hebben het tot nu toe telkens over fysieke beveiligingssleutels. De Yubikey is daarvan het bekendste voorbeeld, maar zoals we eerder al schreven, zijn er veel van dergelijke sleutels in verschillende vormen, maten en prijzen. Nu denk je misschien: zo'n sleutel, dat heeft toch bijna niemand? Dat klopt en dat is precies het probleem dat Google, Apple en Microsoft nu willen oplossen. Voor de adoptie van wachtwoordloos inloggen moeten veel mensen een sleutel hebben, maar niemand koopt zo'n sleutel, omdat het toch bijna nergens wordt ondersteund. En natuurlijk speelt mee dat de sleutels duur en onhandig in het dagelijks gebruik zijn. Een Yubikey kost al snel 50 euro en als je hem verliest of vergeet mee te nemen naar je werk, heb je een probleem. De mobiele telefoon dan? Dat is de perfecte vervanger voor een sleutel. Het gros van de mensen draagt er dagelijks een bij zich. En niet onbelangrijk, er zijn niet zoveel verschillende besturingssystemen, dus met een samenwerking tussen drie bedrijven haal je een hoge dekkingsgraad.

Google probeert zoiets al een tijd. In 2019 kreeg Android 7 FIDO2-certificering. Kort daarna werd het mogelijk om een Android-toestel in te zetten als beveiligingssleutel. Gebruikers die inloggen op hun desktop, kunnen dan via een prompt op hun telefoon toestemming geven om in te loggen. Dat werkt alleen als vorm van tweestapsverificatie en niet als eenzijdige login. Volledig wachtwoordloos is het dus nog niet, maar het is niet moeilijk voor Google om dat later alsnog door te voeren.

FIDO2

Het plan van Google, Apple en Microsoft is dus om een telefoon of een ander apparaat in te zetten als authenticatiemethode. Een telefoon of zelfs een laptop kan daarmee dienen als vervanger van een Yubikey. Het idee is om dat niet alleen voor Google- en Apple-accounts beschikbaar te stellen, maar juist ook voor bijvoorbeeld Dropbox. Je zou daarmee straks op dezelfde manier bij Dropbox kunnen inloggen als je nu bij Google doet; je gaat naar Dropbox.com, vult je gebruikersnaam en wachtwoord in en daarna vraagt Dropbox je om een tweede factor voor authenticatie. Je krijgt dan op Android een pop-up met een bevestigingsverzoek.

Naast praktische voordelen, zoals dat je het vaker bij je draagt, heeft het nog andere voordelen om een telefoon te gebruiken. Een telefoon kun je bijvoorbeeld extra beveiligen met een pincode of biometrische authenticatie. Sommige fysieke beveiligingssleutels, zoals Feitians of de Yubikey Bio, kunnen dat ook.

Meer apparaten

Een puzzelstuk dat de techbedrijven wel nog moeten oplossen, is wat er gebeurt als je van apparaat wisselt of als een telefoon stukgaat of kwijtraakt. Ben je dan je authenticatiemethode helemaal kwijt? De FIDO2-standaard voorziet in dat probleem. Bij tweestapsverificatie met fysieke beveiligingssleutels is het een goed gebruik om een tweede sleutel te koppelen voor als de eerste niet beschikbaar is. Twee sleutels koppelen betekent echter dat je twee key pairs aanmaakt. Via een telefoon is het mogelijk een key pair te delen. Bij het aanmaken van een nieuw account op Dropbox wordt er een key pair aangemaakt voor Dropbox, waarvan een cryptografische sleutel op het toestel wordt opgeslagen. Die sleutels, voor alle verschillende accounts, zouden dan deelbaar kunnen zijn naar nieuwe apparaten. Hoe dat in de praktijk gebeurt, kunnen fabrikanten zelf invullen. Apple kondigde tijdens zijn ontwikkelaarsconferentie WWDC onlangs aan hoe het dat wil doen. Het bedrijf geeft Safari ondersteuning voor 'passkeys', een vorm van authenticatie op basis van de FIDO2-protocollen die worden opgeslagen in iCloud Keychain.

Apple passkeys

Lang niet iedereen heeft zo duidelijk voor ogen hoe dat eruit komt te zien. In de whitepaper van de FIDO Alliance over het plan worden geen technische voorschriften gegeven over hoe fabrikanten dat wisselen van FIDO-passkeys moeten regelen. Sterker nog, de Alliance erkent dat het delen van cryptografische passkeys 'misschien niet altijd mogelijk is, bijvoorbeeld als een gebruiker een nieuw apparaat van een andere fabrikant gebruikt dat niet wordt gesynchroniseerd met de andere apparaten'. In dat geval kan de gebruiker terugvallen op bluetooth om FIDO-sleutels over te zetten, maar hoe gaat dat? Daarvoor moeten in de praktijk nog nieuwe plannen worden gemaakt.

Tot slot

De plannen die Google, Apple en Microsoft nu hebben gepresenteerd, zijn een belangrijke stap naar wachtwoordloos inloggen. Via de FIDO2-standaard willen de bedrijven het mogelijk maken een telefoon in te zetten als een fysieke beveiligingssleutel. Van de andere kant, er wordt al jaren beloofd dat wachtwoordloos inloggen er nu echt aan zit te komen. De grootste technische hobbels daarvoor zijn inmiddels wel genomen; wachtwoordloos inloggen kan op een veilige manier. De gebruiksvriendelijkheid blijft echter nog achter. Er is bijvoorbeeld geen goede manier om iemand te helpen die zijn telefoon kwijtraakt. Ook moeten drie techbedrijven nu veel moeite doen om miljarden gebruikers zover te krijgen dat ze wachtwoordloos inloggen als normaal en veilig gaan zien. Dat is een zware klus. Of dat gaat lukken en wanneer hangt af van de manier waarop de bedrijven de implementatie gaan doorvoeren. Welke appjes komen er straks beschikbaar, welke UI- en UX-keuzes maken ze en hoe overtuig je gebruikers van de veiligheid? Die uitwerking is er nu nog niet en als de geschiedenis ons iets heeft geleerd, is het wel dat je authenticatieprotocollen niet zomaar implementeert.

Lees meer

YubiKey Bio - FIDO Edition

vanaf € 108,89

4 van 5 sterren

Alles over dit product

Yubico YubiKey 4

geen prijs bekend

4 van 5 sterren
Nieuwe Microsoft-accounts worden standaard wachtwoordloos
Nieuwe Microsoft-accounts worden standaard wachtwoordloos Nieuws van 2 mei 2025
Yubico begint met leveren verbeterde Yubikey Bio met ruimte voor meer passkeys
Yubico begint met leveren verbeterde Yubikey Bio met ruimte voor meer passkeys Nieuws van 13 augustus 2024
Yubico YubiKey 5 NFC Review Productreview door grindal81 5
+2 4 van 5 sterren
Yubico YubiKey Bio Fido Edition usb-c Review Productreview door grindal81 1
+1 4 van 5 sterren
Yubico YubiKey 5 Nano

vanaf € 72,59

4 van 5 sterren

Alles over dit product

Yubico YubiKey 5 NFC

vanaf € 58,08

4 van 5 sterren

Alles over dit product

Yubico YubiKey 5C

vanaf € 59,-

4 van 5 sterren

Alles over dit product

Yubico YubiKey 5Ci

vanaf € 90,-

5 van 5 sterren

Alles over dit product

Yubico YubiKey 5C Nano

vanaf € 78,64

Alles over dit product

Yubico YubiKey 5C NFC

vanaf € 64,46

5 van 5 sterren

Alles over dit product

Authy stopt in augustus met desktopapps en raadt mobiele apps aan
Authy stopt in augustus met desktopapps en raadt mobiele apps aan Nieuws van 9 januari 2024
Zakelijke Google Workspace- en Cloud-accounts krijgen passkeyondersteuning
Zakelijke Google Workspace- en Cloud-accounts krijgen passkeyondersteuning Nieuws van 5 juni 2023
Kwetsbaarheid in wachtwoordmanager KeePass, oplossing volgt in juni
Kwetsbaarheid in wachtwoordmanager KeePass, oplossing volgt in juni Nieuws van 21 mei 2023
Microsoft Authenticator verplicht number matching bij Microsoft-diensten
Microsoft Authenticator verplicht number matching bij Microsoft-diensten Nieuws van 10 mei 2023
YubiKey-maker Yubico wil in derde kwartaal naar Zweedse beurs
YubiKey-maker Yubico wil in derde kwartaal naar Zweedse beurs Nieuws van 19 april 2023
PayPal komt met beperkte ondersteuning wachtwoordloos inloggen op Android
PayPal komt met beperkte ondersteuning wachtwoordloos inloggen op Android Nieuws van 24 maart 2023
Stabiele Chrome-versie krijgt ondersteuning voor op FIDO gebaseerde passkeys
Stabiele Chrome-versie krijgt ondersteuning voor op FIDO gebaseerde passkeys Nieuws van 9 december 2022
1Password krijgt begin 2023 passkeys voor wachtwoordloze authenticatie
1Password krijgt begin 2023 passkeys voor wachtwoordloze authenticatie Nieuws van 18 november 2022
Microsoft breidt mfa-app Authenticator uit met number matching en meer context
Microsoft breidt mfa-app Authenticator uit met number matching en meer context Nieuws van 26 oktober 2022
Mullvad brengt fysieke beveiligingssleutel uit en zet broncode en ontwerp online
Mullvad brengt fysieke beveiligingssleutel uit en zet broncode en ontwerp online Nieuws van 20 september 2022
LastPass laat gebruikers via authenticatie-app inloggen zonder wachtwoord
LastPass laat gebruikers via authenticatie-app inloggen zonder wachtwoord Nieuws van 7 juni 2022
Yubico brengt nieuwe beveiligingssleutel met USB-C en NFC uit
Yubico brengt nieuwe beveiligingssleutel met USB-C en NFC uit Nieuws van 27 oktober 2021
Yubico brengt beveiligingssleutel YubiKey Bio met vingerafdruklezer uit
Yubico brengt beveiligingssleutel YubiKey Bio met vingerafdruklezer uit Nieuws van 5 oktober 2021
Microsoft: 85 procent van Windows 10-gebruikers logt niet in met wachtwoord
Microsoft: 85 procent van Windows 10-gebruikers logt niet in met wachtwoord Nieuws van 21 december 2020
Meer producten en artikelen
Overige randapparatuur Beveiliging en antivirus Apple Google Microsoft Yubico iPhone FIDO Tweakers Plus Wachtwoord yubikey

Reacties (80)

-Moderatie-faq
80
80
31
3
0
37
Wijzig sortering
MadEgg
17 juni 2022 08:12
Ik snap die focus op wachtwoordloos nog steeds niet goed. Dit is allemaal heel mooi als 2e factor maar als vervanging? Iets was je bent, iets wat je hebt, iets wat je weet.

Ik hoop dat dat wachtwoord er heel lang tussen blijft zitten.

Daarnaast willen Apple e.d zoveel mogelijk richting een SSO oplossing waarbij je Apple device je identiteit is. Ik heb voor sommige sites bewust meerdere accounts om zaken gescheiden te houden. Moet ik dan ook meerdere devices hebben?
CAPSLOCK2000
@MadEgg17 juni 2022 10:15
Ik snap die focus op wachtwoordloos nog steeds niet goed.
Ik zie het een beetje als een schommelbeweging. Na jaren lang alleen maar wachtwoorden gebruiken zwaaien we nu de andere kant op en misschien schieten we iets te ver door. Maar er is ook wel een hoop recht te zetten.
Dit is allemaal heel mooi als 2e factor maar als vervanging?
Waarom? Wat maakt een wachtwoord beter?

Grappig genoeg zie ik het tegenwoordig andersom. Een wachtwoord als 2e factor kan wel maar als enige middel zou ik liever niet meer doen. Ik leg hieronder uit waarom.
Iets was je bent, iets wat je hebt, iets wat je weet.
Is een wachtwoord iets dat je hebt of iets dat je weet?
De meeste mensen denken dat een wachtwoord een factor is die je "weet".
In praktijk kan 99% z'n wachtwoorden niet onthouden en 99% van de wachtwoorden die mensen proberen te onthouden is eigenlijk niet sterk genoeg. Om goede wachtwoorden (lang, uniek, onvoorspelbaar) te gebruiken moet je een password-manager gebruiken.
In praktijk is zo'n password-manager meer iets dat je 'hebt' dan iets dat je 'weet'.
Meestal is er nog wel masterpassword maar over het algemeen is dat veel te kort en veel te makkelijk, zoals vrijwel alle wachtwoorden die mensen zelf bedenken.

Dan zijn er ook nog mensen die hun password-manager niet alleen voor wachtwoorden gebruiken maar ook als OTP-client. Dan heb je geen 2e factor meer want beide factoren zitten in je wachtwoord-manager en zijn niet meer onafhankelijk.

Nu zijn er hier op Tweakers vast wel een paar die het wel goed doen maar dat zijn echt uitzonderingen.

Alleen al die verwarrende mix van "iets dat je hebt" en "iets dat je weet" is een reden om weg te willen van de huidige situatie. Als mensen het model niet eens snappen dan kunnen ze er nooit goed mee omgaan.

Ik ben niet tegen wachtwoorden als tweede factor maar als enige factor vind ik ook niet ideaal. Een goed te gebruiken moet het wachtwoord zo simpel zijn dat je het zonder veel moeite kan onthouden. Wachtwoorden als "macaroni" of "voetbal" kunnen mensen nog wel onthouden maar moeilijker moet het niet worden. Je moet zo'n simpel wachtwoord dus combineren met andere middelen.

Een mooi voorbeeld is de pinpas die met een vier cijferige pincode is beveiligd, maar het is niet de enige beveiliging. Je moet de pas fysiek hebben en na drie verkeerde pincodes wordt de pas geblokkeerd of zelfs ingenomen.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 21:16]

Blokker_1999
@CAPSLOCK200017 juni 2022 22:24
Waarom? Wat maakt een wachtwoord beter?
Ik denk dat vele mensen gewoon niet begrijpen wat multifactor nu eigenlijk juist betekend. Je wachtwoord op zich is namelijk geen onvervangbare factor. Dat valt onder de factor "iets dat je kent". Merk vooral op dat bij die factor NIET staat dat het iets moet zijn dat enkel en alleen jij kent. Je accountnaam, die vaak wel publiek is, is ook een factor in iets dat je kent.

Maar in 2FA verlangt men 2 factoren. En je smartphone vervult perfect dat idee van 2 of zelfs 3 factoren in 1 enkel device. Iets dat je kent kan in dit geval de PIN code zijn van je toestel of van de app die je gebruikt. Daarnaast heb je nog de factor "iets dat je hebt", dat is je telefoon zelf in dit geval. Die heb je. En als laatste mogelijke factor heb je nog "iemand die je bent". Zo kan je perfect je telefoon ontgrendellen met biometrics, maar de app die de authenticatie doet met een PIN code. Dan heb je in 1 klap alle 3 de factoren.
Grappig genoeg zie ik het tegenwoordig andersom. Een wachtwoord als 2e factor kan wel maar als enige middel zou ik liever niet meer doen. Ik leg hieronder uit waarom.


[...]


Is een wachtwoord iets dat je hebt of iets dat je weet?
Een wachtwoord blijft iets dat je weet. Zelfs als je het antwoord moet gaan opzoeken weet je het antwoord. Je geeft het in in een tekstveld. Wanneer je het hebt over de factor "iets dat je hebt", dan heb je het over iets dat je fysiek in je handen moet hebben. Waarvoor men dus een fysieke diefstal hoort te plegen. En zoals je aanhaalt. Als je je wachtwoorden niet weet, zit het meestal achter een masterwachtwoord (hopelijk ook met MFA) en voldoe je alsnog aan het feit dat je iets moet weten, namelijk dat masterwachtwoord.
Dan zijn er ook nog mensen die hun password-manager niet alleen voor wachtwoorden gebruiken maar ook als OTP-client. Dan heb je geen 2e factor meer want beide factoren zitten in je wachtwoord-manager en zijn niet meer onafhankelijk.
Klopt, en spijtig genoeg niet alleen gebruikers. Recent had onze CISO een online meeting met een potentiele vendor van wachtwoordkluizen. Heb achteraf een kort gesprekje met hem gehad omdat ik tijdens de meeting de naam van het bedrijf meermaals hoorde vallen en ik even hun website had bekeken (CISO zit in zelfde fysieke kantoor als ik) en ik merkte netjes op dat ik die toko niet zou vertrouwen net omdat ze op hun site reclame maken voor een SSO product te zijn waarbij je gebruikers zich niet eens iets moeten aantrekken van diensten die MFA gebruiken omdat hun app dat allemaal zou afvangen. Na heel even na te denken gaf hij mij gelijk op de stelling dat je dan inderdaad MFA buiten spel zet en de beveiliging net weer sterk verlaagt.
Nu zijn er hier op Tweakers vast wel een paar die het wel goed doen maar dat zijn echt uitzonderingen.

Alleen al die verwarrende mix van "iets dat je hebt" en "iets dat je weet" is een reden om weg te willen van de huidige situatie. Als mensen het model niet eens snappen dan kunnen ze er nooit goed mee omgaan.

Ik ben niet tegen wachtwoorden als tweede factor maar als enige factor vind ik ook niet ideaal. Een goed te gebruiken moet het wachtwoord zo simpel zijn dat je het zonder veel moeite kan onthouden. Wachtwoorden als "macaroni" of "voetbal" kunnen mensen nog wel onthouden maar moeilijker moet het niet worden. Je moet zo'n simpel wachtwoord dus combineren met andere middelen.
Complexe wachtwoorden onthouden is niet moeilijk, maar we moeten af van dat woord. Wachtwoord is niet meer van deze tijd. Ik ben dan ook blij dat je in het Engels steeds vaker, maar nog veel te weinig, de term passphrase ziet opduiken. Een wachtzin dus. Dat geeft aan dat je wel eenvoudig te onthouden woorden kunt gebruiken, zolang je er maar een zin van maakt die lang is. Daarbij is het ook zeer belangrijk dat complixiteitsvereisten net uitstaan. Wanneer je mensen gaat verplichten om cijfers en speciale karakters te gaan gebruiken voorhoog je de kans enorm dat ze die eenvoudigweg aan het begin of einde gaan toevoegen. Door dat niet te verplichten maar vooral de focus op lengte te leggen, bijv. 32 karakters minimaal en dat is enorm lang, en daarbij alles toe te staan maar niet te verplichten maak je het voor een aanvaller zeer moeilijk, maar voor de gebruiker zeer eenvoudig.
CAPSLOCK2000
@Blokker_199918 juni 2022 11:32
Je wachtwoord op zich is namelijk geen onvervangbare factor. Dat valt onder de factor "iets dat je kent". Merk vooral op dat bij die factor NIET staat dat het iets moet zijn dat enkel en alleen jij kent.
Ik geloof dat je impliceert dat je wachtwoorden kan delen. Dat klopt maar ik zou oppassen met dat als voordeel aan te prijzen. Meestal is het geen goed idee omdat a). het moeilijker wordt om mensen buiten te sluiten, bv bij ontslag, en b). je een veilige manier nodig hebt om dat wachtwoord te delen en te updaten.
Een wachtwoord blijft iets dat je weet. Zelfs als je het antwoord moet gaan opzoeken weet je het antwoord.
Je geeft het in in een tekstveld. Wanneer je het hebt over de factor "iets dat je hebt", dan heb je het over iets dat je fysiek in je handen moet hebben. Waarvoor men dus een fysieke diefstal hoort te plegen.
Zodra je je wachtwoord opschrijft, of dat nu op papier of in een passwordmanager is, dan wordt het iets dat je hebt. De HD of de post-it waar je wachtwoord op staat kan gestolen worden.
En zoals je aanhaalt. Als je je wachtwoorden niet weet, zit het meestal achter een masterwachtwoord (hopelijk ook met MFA) en voldoe je alsnog aan het feit dat je iets moet weten, namelijk dat masterwachtwoord.
Strict genomen heb je gelijk maar het is wel een beetje koorddansen. Je offert namelijk ook voordelen van wachtwoorden. Door ze op te schrijven, versleuteld of niet, krijgt een aanvaller de kans om te brute forcen of te deleten. Als je 2fa factor ook iets is dat je hebt, en dus gestolen kan worden, wordt het nog iets spannender.

Hoewel ik ook zo'n systeem heb vind ik het niet ideaal. Mijn wachtwoorden met dezelfde 2fa beveiligen als andere zaken voelt ook niet helemaal goed.Verschillende hardware tokens gebruiken helpt maar je krijgt een steeds groter sleutelbos.
Een wachtzin dus.
Zeg eens eerlijk, hoeveel wachtzinnen ken jij van buiten? Ik minder dan 10. Zinnen zijn makkelijker te onthouden dan random codes maar ook daar zit een grens aan. Ik kan er in ieder geval geen 500 onthouden.
Een ander praktisch nadeel is dat je goed blind moet kunnen tikken. Ik kan het vrij aardig maar bij een zin van meer dan 30 tekens (het absolute minimum voor wachtzinnen) is de kans dat er een fout in sloopt toch te groot. Je kan je eigen fouten niet zien dus als het niet goed is moet je de hele zin opnieuw invoeren.
Invoeren op een mobiele telefoon of het bedieningspaneel van je printer is helemaal een ramp.

In principe sta ik achter het concept wachtzinnen maar echt handig zjin ze niet.
YoMarK @CAPSLOCK200017 juni 2022 17:19
Er is helemaal niets mis met een inlognaam, wachtwoord en daarnaast TOTP.
Maar 'something you know + something you have' is gewoon de way to go.
Waar het nog mis gaat is dat je smartphone of smartphone app geen goede 'something you have' is. Nog los van gehackte telefoons....
Je kan in de basis b.v. de Microsoft Authenticator, RSA secureID token of FreeOTP op een Android VM installeren (binnen Windows) en dan heb je lekker alles bij de hand op één device. Inlognaam, wachtwoord opgeslagen in de browser en de 2e factor op hetzelfde device.
Niet veilig.

Hardware tokens(FIDO2/WebAuthn of OTP), die hebben toch zo z'n voordelen, en het kan ook heel gebruiksvriendelijk zijn.
Blokker_1999
@YoMarK17 juni 2022 22:27
Maar het is net dat wanneer alles op 1 device staat dat het ook weer gevaarlijk wordt. Als dat ene, enkele apparaat gehacked wordt heeft men potentieel toegang tot alle data die men nodig heeft om met jouw credentials te kunnen inloggen. Je wil dus altijd een factor hebben die los staat van het toestel waarop je wenst aan te melden. Dat kan biometrisch zijn, moeilijk te stelen of dus een extern apparaat zijn, zoals je telefoon.

Bij mijn vorige werkgever was er een absoluut verbod om je RSA token op je eigen PC te installeren. Dat moest op je mobiele telefoon zijn. Evenwel mocht ik van onze CISO wel een niet officiele app gebruiken die de RSA code gewoon als widget op mijn telefoon kon tonen (wel niet op het lockscreen).

Wanneer je telefoon je "something you have" is, is dat nog altijd maar 1 factor van de 2 of 3 die je nodig hebt om in een account te geraken. En dat is vooral waar het om gaat. Meerdere minder sterke factoren zijn samen sterker dan 1 enkele sterke factor.
gevoelig @CAPSLOCK200017 juni 2022 13:23
Voor mij ligt het aan het type dienst. Voor sommige fora, registratie-procedures om iets te kunnen downloaden of lezen ed. vind ik een wachtwoord genoeg. Ik gebruik mijn passwordmanager maar het zal me in veel van die gevallen een biet zijn of de accounts worden gehackt of die gegevens openbaar komen. Omdat ik voor deze diensten verzonnen gegevens gebruik en een mailadres dat geen verwijzingen bevat.

[Reactie gewijzigd door gevoelig op 22 juli 2024 21:16]

YoMarK @MadEgg17 juni 2022 08:54
Helemaal mee eens.
Ik gebruik overigens een Mooltipass device. Een enorm veelzijdig dingetje, maar helaas niet goedkoop.
MadEgg
@YoMarK17 juni 2022 09:00
Haha ja, die heb ik hier ook liggen. Moet er nog eens werk van maken. Ziet er wel erg leuk uit.
Jan-Remco @YoMarK17 juni 2022 14:21
Ik gebruik ook nog steeds de allereerste versie, elke dag. De nieuwste versie is veel beter, maar de prijs weerhoud me idd om een goedwerkend product te vervangen. Misschien de volgende generatie.
Milmoor @YoMarK20 juni 2022 22:01
Ik ook, maar ik gebruik de gadget van inputstick.com. Je maakt gebruik van de standaard wachtwoord systematiek van bijv. je telefoon, en typt de uitkomst vanzelf in op je pc.
gevoelig @MadEgg17 juni 2022 09:03
Ik deel je mening en zou altijd de vrije keus willen houden om ze te gebruiken. Mijn passwordmanager voldoet prima icm two-factor waar nodig.

Verder gebruik ik altijd lokale logins omdat ik zaken juist volledig gescheiden wil houden. Niet alleen vanwege veiligheid maar ook wege privacy.

[Reactie gewijzigd door gevoelig op 22 juli 2024 21:16]

jeroen79 @MadEgg17 juni 2022 13:25
Wachtwoorden zijn voor veel gebruikers toch erg moeilijk.
-een sterk wachtwoord kunnen ze niet onthouden
-voor alles een ander wachtwoord is verwarrend
-regelmatig een nieuw wachtwoord is nog meer verwarring

En als ICT dit dan geforceerd gaat handhaven dan gaan de gebruikers er om heen werken.
-toch een makkelijk wachtwoord met 1234! erachter.
-toch overal hetzelfde wachtwoord
-het wachtwoord ergens opschrijven
-dit dan niet goed opbergen
Met als gevolg dat alleen maar minder veilig wordt.
Miglow @jeroen7917 juni 2022 17:07
Yup. Ik word ook schijtziek van de 2FA bij het minste of geringste en daarbij heb ik de belangrijkste wachtwoorden die ik gebruik gewoon met een post-it aan mijn laptop scherm hangen. Bij mijn vorige werkgever "kreeg" ik een emailadres dat ik geacht werd te gebruiken en checken voor zakelijke toepassingen en ook elke 3 maanden het wachtwoord te veranderen. Saillant detail, ik was daar vuilniswagenchauffeur en in 1,5j is mijn account 3x geblokkeerd geweest omdat ik niet vaak genoeg inlogde/wachtwoord veranderde. Compleet over de top dus om elke werknemer in een IT-policy te betrekken terwijl 95% gewoon met de handjes werkt en niet met een computer.
lenwar
@Miglow19 juni 2022 08:39
Ik snap je sentiment volledig. Wat wel een ding is, is bij wat voor soort data kan je/jouw account. Kan je aankunt bij gevoelige data? In vorm van burger/bedrijfsgegevens, persoonlijke gegevens van collega’s, dat soort zaken. Dan is er natuurlijk wel wat voor te zeggen.

Als je account voor weinig meer dan wat Office-dingetjes gebruikt kan worden (waar geen/nooit gevoelige data in kan staan) dan is het allicht wat overkill.
Miglow @lenwar19 juni 2022 10:13
Volgens mij alleen AFAS en bedrijfscommunicatie. Maar zoals gezegd, ik had er absoluut geen enkel nut voor behalve AFAS meldingen op ontvangen voor aanvragen compensatie dagen, verlof, reiskostenvergoeding, loonstroken, etc.
Sicco2 @MadEgg17 juni 2022 09:31
Daarnaast willen Apple e.d zoveel mogelijk richting een SSO oplossing waarbij je Apple device je identiteit is. Ik heb voor sommige sites bewust meerdere accounts om zaken gescheiden te houden. Moet ik dan ook meerdere devices hebben?
Volgens mij is het mooie dat je met deze Keys bij apple kan inloggen, maar ook bij andere diensten die deze keys ondersteunen , zonder apples SSO te gebruiken. (maar plz correct me if im wrong, misschien hoop ik dit gewoon heel erg ;-) )
sympa @MadEgg17 juni 2022 09:43
Wachtwoorden zijn schijnveiligheid. Het is immers een secret dat je deelt.
Noem het dan een PIN of iets dergelijks, ofwel iets waarvan je bewijst dat je het weet. Maar dat geeft dan geen toegang.
Een soort 2FA, maar "wat je weet" wordt de tweede factor en is niet de eerste meer.
lenwar
@MadEgg17 juni 2022 13:52
Een wachtwoord is opgeslagen stukje data dat aan twee kanten bekend is.
Het probleem is dat de authenticerende kant (de gebruiker) niet gecontroeerd wordt.

Ofwel. Als jij mijn wachtwoord weet, kan jij overal ter wereld als mij inloggen.
Als ik mijzelf authenticeer met een apparaat dat ik in bezit heb, kan jij daar nooit wat mee (tenzij jij mijn apparaatje in bezit krijgt). Als dat apparaatje mij authenticeerd met mijn vingerafdruk, dan is dat wezenlijk al je tweede factor, alleen niet aan de serverkant. De serverkant 'vertrouwd' mijn apparaatje, en als mijn apparaatje zegt "Het is goed", dan is het goed. (in de praktijk zal de server een sleutel opsturen, die ondertekend wordt door mijn apparaatje en teruggestuurd en zo kan hij dus de echtheid van mijn apparaat verifieren)

De meest gangbare 2fa is TOTP (Bij de meeste mensen bekend 'Google Authenticator'). TOTP is niks meer dan een shared secret, vermenigvuldigd met een timestamp met wat simpel rekenwerk.
(abcdefghikl * 20220617133700 * gedeeld door drie, 2 opschrijven, vijf onthouden, blablabla, de code voor deze dertig seconden is 123456), Beide kanten voeren exact dezelfde handeling uit. Er is GEEN authenticatie tussen de twee systemen. (je kan je TOTP-appje in vluigtuigstand gebruiken en het blijft werken). Dit maakt TOTP zeer vatbaar voor gestolen wachtwoorddatabases, omdat de shared secret per definitie uitleesbaar in de database moet staan. (uiteraard kan je hem versleutelen, maar de sleutel moet ergens beschikbaar zijn, enzovoorts)

Het feit dat jij als gebruiker die shared secret niet in de app kan zien is puur en alleen wat obscurity, want die data staat er gewoon als platte tekst in, of in elk geval ontsleutelbaar in. (anders kan de app er niks mee)

Een ander iets. Doordat jouw telefoon/apparaat (iets wat je hebt) ontsleuteld wordt door iets wat weet of bent ( je PIN/wachtwoord of vingerafdruk/gelaat), betekend dat er al 2fa is. Alleen niet aan de serverkant. De 2fa wordt gedelegeerd naar een beveiligd apparaat (de telefoon dus)
Moet ik dan ook meerdere devices hebben?
Het idee is dat 'jij als persoon' de eigenaar bent van een unieke sleutel (opgeslagen in een veilig apparaat, in Apple z'n geval een telefoon). Die sleutel ondertekend en verifieerd andere sleutels van de diensten.

Ter vergelijking met meerdere accounts: Jij (als persoon) bent niet je e-mail adres/gebruikersnaam. Jij hebt een e-mail adres/gebruikersnaam. Jij kiest ervoor er meerdere te hebben wat natuurlijk prima is als je daar een gebruik voor hebt (mij lijkt dat logisch bij privé/zakelijke scheiding).

Het idee van wat Apple doet, is dat jij je als persoon authenticeert op je telefoon en daarmee je telefoon tot een soort generieke beveiligde sleutel omtovert. Als jij om welke reden dan ook meerdere sleutels wil hebben, dan moet je dus meerdere apparaten kopen.

Maar je kan, mits Apple dat toelaat, meerdere accounts bij dezelfde dienst aan dezelfde telefoon koppelen. Je telefoon vervangt in principe alleen je wachtwoord. Je telefoon zal technisch gezien voor ieder account een andere ondertekende sleutel genereren. (of de interfaces van Apple dat ook toelaten zou ik niet weten)
MadEgg
@lenwar18 juni 2022 08:14
Jij stelt het allemaal wel heel houtje touwtje voor. Het wachtwoord is als het goed is niet aan twee kanten bekend. De server zou het gehasht opgeslagen moeten hebben. De gebruiker produceert een wachtwoord die na hashing hetzelfde is.

En TOTP is met een public en een private key. De server kan de tokens niet produceren maar alleen valideren met de signature van de key die de client alleen heeft. En die key kan je prima overzetten, ik heb ze allemaal verzameld in mijn Keepass database, zodat ik geen app nodig heb.
lenwar
@MadEgg18 juni 2022 15:03
Jij stelt het allemaal wel heel houtje touwtje voor.
Ik vertaal het inderdaad misschien een beetje simpel. Maar ik ben van mening dat mijn verhaal wel degelijk de lading dekt. Los van hoe het wordt opgeslagen, is het wachtwoord aan twee kanten bekend. Het feit dat er een vaste wiskundige truc op wordt losgelaten voordat het de lijn over gaat of voordat het, het validatieproces in gaat staat er wat mij betreft los van. Puur technisch gezien heb je natuurlijk gewoon gelijk, dat de serverkant (hopelijk) niet het platte wachtwoord kent, maar in de praktijksituatie is die hash niet een string met willekeurige data. Het is een string die als wachtwoordvalidatie gebruikt wordt, in theorie uniek is te genereren vanuit één wachtwoord, en die zich voordoet als 'willekeurige data'.

Het enige waar die hashing in de wachtwoorddatabase in de praktijk goed voor is, is dat als die database gestolen wordt (of iemand die toegang heeft tot de database en al dan niet kwade bedoelingen heeft) dat dan in elk geval niet de plattetekstwachtwoorden zichbaar zijn. Niks meer of minder dan dat.

Simpele voorbeelden:
Stel dat de verbinding niet versleuteld is (geen https of andere methode):
Ik stuur een plat wachtwoord op, dan is dat te zien door een stuk malware (of iemand die een router monitort of zo. In elk geval alles tussen de browser/applicatie en de server).
Ik stuur een hash op, dan is dat ook gewoon te zien. (vervolgens kan de kwaadwillende gewoon mijn hash met de hand opsturen, in plaats van netjes mijn wachtwoord in te kloppen. Dit is natuurlijk wat gedoe, maar zeker niet onmogelijk (ik kan het niet, maar ik ben dan ook geen hacker))
Als de verbinding wel versleuteld is:
Ik stuur plat een wachtwoord op, dan is dat niet te zien door een stuk malware (mits die niet direct in de browser/applicatie zit. Zelfs als hij in het OS zit, maakt dat niet uit, want de browser/applicatie versleuteld)
Ik stuur een hash op, dan is dat ook niet te zien.

(( Uiteraard zijn er nog andere versleuteling- en ondertekenmethoden die bovenstaande versterken, maar dat staat even los van hetgeen dat ik beschrijf ))
En TOTP is met een public en een private key
TOTP is kort door de bocht soort een extensie op HOTP, die als zwakte had dat er actief een teller bijgehouden moest worden aan allebei de kanten. TOTP lost dit op door effectief geen teller te gebruiken, maar de 'huidige tijd' als "teller" te pakken (versimpeld gezegd).
TOTP zoals Google (en RSA en al die anderen) het geïmplementeerd hebben is het dus gewoon een symmetrische sleutel (zoals met HOTP) die aan beide zeiden wordt opgeslagen. Je zou misschien de 6 cijfers, met een heel liberaal genomen definitie de publieke sleutel kunnen noemen, maar dan rek je het wel heel erg op.

Wikipedia heeft een prima document over hoe HOTP werkt. De C wordt met TOTP 'vervangen' met de huidige timestamp (komt iets meer bij kijken, maar daar komt het in de basis op neer). (voor meer details over HMAC zelf is ook het huidige Wikipedia-document prima.)
Waah
17 juni 2022 10:02
Het artikel heeft me nog niet overtuigd.
Er wordt nu een ingewikkelde oplossing gekozen met allerlei nadelen, terwijl het probleem hier zit:
"Wachtwoorden zijn moeilijk voor gebruikers en gemakkelijk voor aanvallers."

Maak de wachtwoorden dan makkelijk. Ophouden met verplichten tot wachtwoorden met speciale tekens, hoofdletters en andere ongein. En gebruik maken van wachtwoordzinnen

We gaan nu een oplossing ontwikkelen die vooral goed is voor de techbedrijven, niet de klanten. Het gaat helemaal niet om "het beschermen van de klant". Het gaat om meer data vergaren en zorgen dat je als techbedrijf onmisbaar word.

Telefoons kan ik verliezen, andere biometrische tokens/smartcards/USB kan ik verliezen, kunnen stuk gaan etc.

Een password manager is IMHO nog altijd het veiligste. Het enige wat je hoeft te weten is één wachtwoord... Veiliger? Gebruik 2FA op die wachtwoordmanager (FaceID, fingerprint of whatever. Als het maar lokaal werkt). Het enige wat je gebruikers dan moet leren is dat je dat wachtwoord nergens anders gebruikt, en het nooit ergens anders invult dan in díé app...

Want met smartcards, telefoons etc: Hoe ga je dat doen als je die kwijt bent? Dan kun je dus nergens meer inloggen? Hoe vraag je een nieuwe aan zonder in te loggen? Kopie paspoort? Hoezo is dat niet te vervalsen? Echt paspoort langs de gemeente?

En wat als ze je telefoon stelen? Hoe ga ik inloggen om de "find my phone" of "block my phone" te activeren? En als ze in mijn telefoon kunnen, kunnen ze dus met 1 login-authenticatie bij al mijn gegevens/bankrekeningen etc.

Geef mij maar gewoon een wachtwoord. een verschillend (en totaal onbekend voor mij zelfs) wachtwoord per website zodat als men (weer) eens zijn security niet op orde heeft, dat geen invloed heeft op de rest.
AuteurTijsZonderH Nieuwscoördinator @Waah17 juni 2022 11:34
Want met smartcards, telefoons etc: Hoe ga je dat doen als je die kwijt bent? Dan kun je dus nergens meer inloggen? Hoe vraag je een nieuwe aan zonder in te loggen? Kopie paspoort? Hoezo is dat niet te vervalsen? Echt paspoort langs de gemeente?

En wat als ze je telefoon stelen? Hoe ga ik inloggen om de "find my phone" of "block my phone" te activeren? En als ze in mijn telefoon kunnen, kunnen ze dus met 1 login-authenticatie bij al mijn gegevens/bankrekeningen etc.
Dit komt in het artikel aan bod. De FIDO2-standaard voorziet hierin door keypairs deelbaar te maken via accounts dus je kunt die gewoon overzetten naar nieuwe devices. Bovendien kun je een telefoonsleutel vergrendelen met biometrie als extra (lokale) beveiligingslaag.
Waah
@TijsZonderH17 juni 2022 11:45
Oke, maar ik zie het nog steeds niet.

Ik maak 2 keypairs... één wordt gestolen. Hoe kan de dief dan niet een extra keypair aanmaken zoals ik dat doe bij verlies?

En beveiligen met biometrie, hoe gaat dat dan bij verlies van mijn biometrische device (telefoon). De biometrische data staat lokaal, dus als ik die kwijt ben, kom ik niet in mijn accounts. Tenzij het níét lokaal is. Maar ik wil zeker niet dat die biometrische data bij een cloud server komt. Niet eens alleen omdat ze daar misschien dingen uit kunnen halen (hoe ik eruit zie, hoe mijn vingerafdruk eruit ziet) maar vooral omdat ik niet "even" een nieuw gezicht, of een nieuwe vingerafdruk kan genereren. Een nieuw wachtwoord? Dat is zo gegenereerd.

Met Apples oplossing komt er dus een authenticatie met hun iCloud. Dus we worden meer afhankelijk van de "Big tech". Ik zie nog altijd geen voordeel van het verdwijnen van wachtwoorden. Makkelijker? misschien (al is meerdere authenticators, cloud-keychains die offline kunnen zijn niet echt geweldig). Veiliger? Het is nog veel theorie en weinig praktijk als ik het zo lees.
Memori @Waah17 juni 2022 14:38
Maak de wachtwoorden dan makkelijk. Ophouden met verplichten tot wachtwoorden met speciale tekens, hoofdletters en andere ongein.
Dit is wel het voornaamste. Destijds bij DigiD dezelfde klacht gemaakt, maar ze wouden niet luisteren. Elk jaar opnieuw dus (expres) zo'n DigiD brief aanvragen met een code erin.

Al helemaal met 2FA is het niet meer nodig om complexe wachtwoorden te hebben.
Darses @Waah17 juni 2022 18:03
Wachtwoorden zijn vatbaar voor phishing. Zelf in combinatie met de meest gebruikte 2FA methodes, zoals TOTP codes, is dat niet te voorkomen. De FIDO2 standaard voorkomt phishing in zijn geheel, dat is een van de grootste voordelen.
Waah
@Darses17 juni 2022 20:32
Das nogal een statement. Hoezo kan ik de authentication niet via een eigen server laten uitlezen of doorsturen zodat ik kan inloggen ipv een ander?

Ik verwacht niet dat er geen nieuwe phising methodes komen. Zeker niet zolang er geen oplossing is voor het kwijtraken van je telefoon.

Daarbij kan je straks de telefoon + 2e key van iemand stelen, en vervolgens zie ik geen enkele mogelijkheid meer om toegang tot je accounts te blokkeren. Want je kunt immers niet meer inloggen.
Darses @Waah17 juni 2022 21:07
Das nogal een statement. Hoezo kan ik de authentication niet via een eigen server laten uitlezen of doorsturen zodat ik kan inloggen ipv een ander?
De FIDO2 standaard is gebaseerd op digitale handtekeningen. Bij het inloggen geeft de webbrowser de URL van de website mee aan de beveiligingssleutel. De beveiligingssleutel meeneemt dit mee in de data die ondertekend wordt. Deze ondertekende data wordt tijdens het authenticeren weer naar de website gestuurd. Een (echte) website kan daardoor altijd controleren of de (ondertekende) URL van zichzelf is, of van een neppe website die de handtekening probeert door te zetten. Een neppe website kan, vanzelfsprekend, de ondertekende data niet aanpassen zonder dat de handtekening ongeldig wordt.

[Reactie gewijzigd door Darses op 22 juli 2024 21:16]

Raven__NL @Waah17 juni 2022 19:26
Bij een wachtwoordzin zit je nog altijd met hetzelfde probleem dat je voor elke login een aparte 'ww(zin)' nodig hebt. Inmiddels heb ik 100en accounts en ga dat dus never nooit onthouden. Dus daar schiet je nog altijd niks mee op.

Persoonlijk zie ik paswordless inloggen wel zitten. Gebruik het nu al bij bepaalde MS diensten en zou graag willen dat dit doorzet. Hier heb je nog de mogelijkheid om met een pw in te loggen.
amsterdamned 17 juni 2022 10:21
Wachtwoorden moet je onthouden? Nee, dat moet helemaal niet en dat is ook helemaal niet de bedoeling! Neem daarom een wachtwoord manager die open source is en die zelf hosting mogelijkheid biedt, meest veilige en handige optie.

Bitwarden is wat ik aanraad en werkt perfect. Het is ook nog eens gratis (of 10 dollar per jaar voor premium opties, o.a. 2FA integratie). Het enige wachtwoord dat je dan moet onthouden is die van Bitwarden. Daarnaast moet je uiteraard een 2FA methode gebruiken om bij de wachtwoorden te kunnen (vanaf een nieuw apparaat). 2fa uiteraard ook altijd instellen op websites die dat aanbieden (zoals tweakers.net).
barbarbar @amsterdamned17 juni 2022 15:46
Helemaal mee eens. Grootste obstakel wat mij weerhoud om via keys in te loggen is ook het niet kunnen maken van een backup van die certificaten op je yubikey, telefoon of laptop. Komt in het artikel mooi naar voren.

Gebruik nu ook bitwarden en gebruik die op de volgende manier:
- Passphrase staat op yubikey, 1x drukken en passphrase wordt ingevuld. Passphrase vul ik zelf aan met kort stukje ww (dus iets wat ik heb, en iets wat ik weet)
- Bitwarden 2fa gekoppeld aan yubikey bio, dus nog een token + vingerafdruk
- Hiermee is de kluis helemaal beveiligd, ik zou niet weten hoe iemand er in kan komen, ook al heeft ie beide keys en mijn vinger afgesneden, dan nog is er een stukje wachtwoord nodig wat alleen ik weet.
- in fysieke kluis ligt een backup yubikey, en bij een vertrouwd persoon ligt een dichte envelop met gegevens van een account welke na 14 dagen toegang kan krijgen tot de bitwarden kluis.

Dagelijkse praktijk is dan:
- Bitwarden ingelogd laten op laptop en telefoon
- Gelocked met Windows Hello en met vingerafdruk op telefoon
- Voor gebruik dus even unlocken met gezicht of vingerafdruk, en in de browser wordt gebruikersnaam en ww ingevuld
- 2fa voor belangrijke accounts via totp codes op de telefoon. Backups hiervan sla ik op in een keepass kluis (dus niet in de bitwarden kluis bij de rest van de gegevens).
- Windows inloggen op laptop heb ik ingesteld met bitlocker pincode bij opstarten, en dan grouppolicy ingesteld om twee verificaties te vereisen voor lokale account (gezicht+vingerafdruk, of pincode en vinger of gezicht, of wachtwoord).

Praktisch vul ik dus alleen bij opstarten een keer de bitlocker pincode in, en de rest gaat via biometrie. Hoef nooit meer ergens een wachtwoord of gebruikersnaam te onthouden, en werkt platform onafhankelijk. Zelf als ik laptop, telefoon en yubikeys verlies kan ik zo weer verder door even backup uit de kluis te halen, of bij vertrouwde persoon de envelop op te halen.

[Reactie gewijzigd door barbarbar op 22 juli 2024 21:16]

indexample @barbarbar17 juni 2022 20:18
"ik zou niet weten hoe iemand er in kan komen, ook al heeft ie beide keys en mijn vinger afgesneden"

Simpel: dreigen die andere 8 vingers ook af te snijden.
barbarbar @indexample17 juni 2022 22:31
Pfew, gelukkig tref ik dan iemand die niet weet dat ik er tien heb.
AuteurTijsZonderH Nieuwscoördinator @amsterdamned17 juni 2022 11:32
Wachtwoorden moet je onthouden? Nee, dat moet helemaal niet en dat is ook helemaal niet de bedoeling!
In de letterlijke zin des woords wel. Bij authenticatie maak je verschil tussen iets dat je weet (wachtwoorden), bent (biometrie), of hebt (fysieke sleutel). Wachtwoorden zijn iets dat je weet en wachtwoordmanagers zijn daarin een middel om het makkelijker te maken, maar de essentie blijft dat je het moet onthouden. Dat je dat onthouden kunt uitbesteden doet daar niet aan af.

Vergeet ook niet dat wachtwoordmanagers voor veel doorsnee gebruikers niet altijd even intuïtief en gebruiksvriendelijk zijn - LastPass dat ineens de stekker uit multideviceondersteuning terugtrekt, een ww-generator erin waarvan mijn moeder echt niet weet waarom ze het met X of Y moet configureren, add-ons, plug-ins en mobiele apps... Voor ons als tweakers logisch, maar echt niet voor iedereen.
Blokker_1999
@TijsZonderH17 juni 2022 22:32
Maar met MFA is het wel zo dat die iets dat je weet geen geheim meer moet zijn in de strikte zin van het woord. Als ik al mijn wachtwoorden in een txt bestandje publiek op een website zet maar er niet bij zet welk wachtwoord voor welk, met MFA beschermd, account is, ben je met die lijst alsnog heel weinig.
CAPSLOCK2000
@amsterdamned17 juni 2022 13:10
Wachtwoorden moet je onthouden?
Neem daarom een wachtwoord manager

Het enige wachtwoord dat je dan moet onthouden is die van Bitwarden. Daarnaast moet je uiteraard een 2FA methode gebruiken om bij de wachtwoorden te kunnen (vanaf een nieuw apparaat). 2fa uiteraard ook altijd instellen op websites die dat aanbieden (zoals tweakers.net).
Als je dan toch software hebt om wachtwoorden op te slaan en in te vullen dan kun je ook een protocol afspreken waarmee een website en jouw password-manager zelfstandig een nieuw wachtwoord aanmaakt als je een account aanmaakt. Als je dan toch software hebt die zelf wachtwoorden kan aanmaken en invullen dan hoef je je ook niet te beperken tot "eenvoudige" wachtwoorden die handig zijn voor mensen maar je kan enorm lange codes gebruiken. Sterker nog, in plaats van direct wachtwoorden uit te wisselen kun je een public/private-key systeem gebruiken zodat je nooit echt je wachtwoord via internet hoeft te versturen maar alleen cryptografische codes die niet terug te voeren zijn op je wachtwoord/private key. Als je dan toch een public-key infrastructuur gebruikt dan kun je de private key ook wel in een apart stukje hardwere opslaan (zoals een hardware token of een TPM-chip). Als je dat allemaal hebt dan zou je het FIDO2 kunnen noemen.

Bovenstaande is niet 100% accuraat maar ik hoop dat je ziet dat dit ergens een natuurlijk evolutie is en een logische volgende stap na password managers en 2fa met hardware tokens.
CAPSLOCK2000
17 juni 2022 10:35
De mobiele telefoon dan? Dat is de perfecte vervanger voor een sleutel. Het gros van de mensen draagt er dagelijks een bij zich
Dat vind ik een zwak punt. Het model gaat er van uit dat je op een vaste computer werkt en er een mobiele telefoon naast hebt waar je dan een onafhankelijke authenticatie op kan doen. Maar wat nu als je op je telefoon zit te browsen, zoals iedereen tegenwoordig dagelijks doet? Dan heb je je authenticatie weer op hetzelfde device draaien. Dat maakt het voor aanvallers veel makkelijker om toegang te krijgen tot jouw geheimen of het beeld te manipuleren om een valse authenticatie-popup te laten zien of zo iets.

Ik ben juist erg voorstander van aparte apparaten. Een Yubikey met USB en NFC heeft mijn voorkeur omdat die zowel op mijn PC als op mijn telefoon werkt. Het ding past aan m'n sleutelbos en in mijn hele volwassen leven ben ik nog nooit m'n huissleutel kwijt geraakt dus zo'n yubikey zal ik ook niet snel kwijt raken.

Al is het wel zo dat ik door die yubikey m'n sleutelbos vaker uit m'n broekzak moet halen wat de kans op vergeten groter maakt. Ik heb er dus maar een bluetooth tag aan gehangen zodat mijn mobiele telefoon alarm slaat als ik mijn sleutels vergeet, en andersom.

Mijn volgende upgrade wordt waarschijnlijk een security key in de vorm van een ring, armband of horloge. In ieder geval iets dat je aan je handen draagt en dus altijd in de buurt van je toetsenbord of telefoon is.
AuteurTijsZonderH Nieuwscoördinator @CAPSLOCK200017 juni 2022 11:29
Als persoonlijk model werkt een Yubikey voor jou en mij misschien het beste. Het probleem is dat je dit wil implementeren voor iedere gebruiker van Android, iOS, Windows en macOS. De oplossing voor de techbedrijven is om iets te pakken dat voor miljarden (!) gebruikers realistisch is om uit te rollen. Dat is natuurlijk onmogelijk maar de telefoon is wel de meest logische stap daarin. Logischer dan een los, fysiek apparaat dat geld kost.
CAPSLOCK2000
@TijsZonderH17 juni 2022 11:39
Als persoonlijk model werkt een Yubikey voor jou en mij misschien het beste. Het probleem is dat je dit wil implementeren voor iedere gebruiker van Android, iOS, Windows en macOS. De oplossing voor de techbedrijven is om iets te pakken dat voor miljarden (!) gebruikers realistisch is om uit te rollen. Dat is natuurlijk onmogelijk maar de telefoon is wel de meest logische stap daarin. Logischer dan een los, fysiek apparaat dat geld kost.
Maar is het wel een goede oplossing als je het eigenlijk niet zo geschikt is voor gebruik op mobiele telefoons?

Ik denk dat het op zich nog steeds vooruitgang is, maar is de stap groot genoeg om de enorme investering die hier nodig is de moeite waard te maken? Al is het natuurlijk wel zo dat, als we het goed opzetten, dit raamwerk ook de deur open zet (sorry voor de botsende metaforen ;) ) voor andere toekomstige uprades.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 21:16]

SirLenncelot 17 juni 2022 07:00
Ik ben wel benieuwd hoe ze het probleem van werken op remote machines oplossen. Je hebt niet altijd toegang tot een configuratie waarbij er veel gedeeld wordt tussen cliënt en host. Kun je dan nog wel inloggen?
SunnieNL @SirLenncelot17 juni 2022 08:02
In dat soort gevallen hoeft er niet gecommuniceerd te worden tussen cliënt en host, maar moeten beiden alleen kunnen communiceren met de partij die de authenticatie regelt.
Voorbeeld: de host waarmee je wilt verbinden geeft een QR code dmv van communicatie met de authenticatie service. Die scan je met je cliënt. Die qr vertelt de authenticatie cliënt met wie je wilt verbinden en geeft een token, zodat de sessie ook geverifieerd kan worden. Je authenticeert op je authenticatie cliënt, klopt deze info dan stuurt de authenticatie server de gegevens terug naar de host. Die verifieert het token en als dat allemaal klopt logt die je in met de info van de authenticatie server.

Eigenlijk werkt dat dus hetzelfde als met alle cloud diensten die hier gebruik van gaan maken.

De meest interessante vraag gaat zijn: mag ik inloggen met het device als cliënt die ook de authenticatie cliënt is en kan dat dan nog steeds wachtwoordloos.
Dutch2007 @SirLenncelot17 juni 2022 07:44
Zolang je remote passthrough heat werkt dat

Kick self maar bijv. In de settings can "mstsc" (local resources); smart cards or hello for business
Aeternum 17 juni 2022 09:00
"Facebook en Google gebruiken hun single sign-on daarnaast om bij te houden welke websites een gebruiker bezoekt"
Dit wist ik niet, maar dit is dus exact de reden waarom ik google/facebook nooit gebruik. Ik heb (helaas) overal een eigen account en wachtwoord.

[Reactie gewijzigd door Aeternum op 22 juli 2024 21:16]

Polderviking @Aeternum17 juni 2022 13:45
Helaas?
Ik vind het maar niks om Google overal en nergens aan te hangen, en ben expliciet weggestapt van die single sign on van Google.

En dan niet eens omdat ome Google dan kan zien waar ik accounts heb. Dat boeit me dan weer net even totaal niet.

Maar als Google er uit ligt kan je ook gewoon niet inloggen, en als Google een probleem van andere aard heeft met de dienst waar je op probeert in te loggen ook niet want dan houden ze het tegen.
Geen enkel bedrijf zou dat mandaat moeten hebben.

Ik blijf voorlopig gewoon reguliere credentials gebruiken met bizarre unieke wachtwoorden en daar achter nog iets van een TOTP mechanisme.
Dat is echt plenty veilig, en belangrijker, onafhankelijk.

[Reactie gewijzigd door Polderviking op 22 juli 2024 21:16]

YoMarK @Polderviking17 juni 2022 17:07
WebAuthn is daarvoor ook prima(mits ondersteund). Dat wordt ook(redelijk) ondersteund door de Mooltipass, die daarnaast ook gewoon je smartcard/offline wachtwoordkluis is én TOTP doet indien gewenst.
555Henny555 17 juni 2022 09:24
En wat als je nu net niet wilt authentiseren op een een random forum met je echte identiteit? Met een password manager hoeft je ook maar 2 dingen te onthouden ongeacht van hoeveel websites je nu inlogt. Moet ik dan straks overal inloggen met mijn echte 'credentials' lees naam, privé e-mail enz.?
barbarbar @555Henny55517 juni 2022 15:54
De certificaten die worden aangemaakt (public/private key) hebben niets met je identiteit te maken. Voor elke login/site krijgt je sleutel een certificaat. Je sleutel geeft dus geen gegevens door aan de site, en elke site krijgt een willekeurig certificaat waar niks te herleiden is tot de gebruikte sleutel. Vertrouw je het toch niet, kun je uiteraard een burner gebruiken.
Ulysses @555Henny55517 juni 2022 11:25
Noem 3 toepassingen waarbij je identiteit een probleem vormt. 8-) }>
tweakPiet @Ulysses17 juni 2022 11:50
Meld even je volledige naam, adres en telefoonnummer. Zodat we weten wie dit geen probleem vindt.
Ulysses @tweakPiet17 juni 2022 11:53
Kun je gewoon in mijn profiel / website vinden. Ik ben een volwassen man, en ik heb een woonadres. Wat wou je precies doen? Keihard op de koffie komen of brieven sturen? Succes.

Daarbij ging het hier om identiteit.

[Reactie gewijzigd door Ulysses op 22 juli 2024 21:16]

lucatoni @Ulysses17 juni 2022 14:16
Ha Jelle, Net even je profiel en website bekeken. Mijn tip, zet er echt minder op. Waarom geen identeit? Dan kunnen ze zoeken en info over je inwinnen, zoals je website, social media, telefoonnummer, mail adres Jij maakt het makkelijker door en je naam en website neer te zetten.

Maar een voorbeeld in jou geval:
- Je sluit een bedrijfslening af, en gaat dan gokken? Mag hopen dat toekomstige geldverstrekkers dit niet lezen? En of toekomstige werkgevers blij zijn met gokkers, weet ik ook niet?
- Iemand met kwade bedoelingen kan familie van je bellen, en heeft zo best veel info van je. Of je vriendin waarbij je een Lat relatie hebt?
- Wens je veel succes in je ziekteherstel. Wanneer je ooit een overlijdensrisico verzekering afluit en deze gegevens zijn bekend, dan weet ik niet of je die geaccepteerd krijgt.

[Reactie gewijzigd door lucatoni op 22 juli 2024 21:16]

Ulysses @lucatoni17 juni 2022 14:20
Gefeliciteerd. Je hebt allemaal niet relevante informatie gevonden en kent nog niet het halve verhaal. Bedankt dat je op mijn publieke Facebook hebt gekeken, stuur meteen een vriendschapsverzoekje als je zo geïnteresseerd bent.
Ik laat me hier voorts niet weg intimideren met informatie die ik zelf gedeeld heb. De andere kant van het scherm? Dat zijn meestal gewoon mensen. En moeilijk doen blijft meestal gewoon strafbaar.
lucatoni @Ulysses17 juni 2022 14:32
Ik heb niet op je facebook gezeten, enkel op je website (zelf geen facebook) :) Anyway, ik zou er gewoon voorzichtig mee zijn. Maar dat bepaal je natuurlijk zelf!

[Reactie gewijzigd door lucatoni op 22 juli 2024 21:16]

Ulysses @lucatoni17 juni 2022 14:38
Het is voor mij de opdracht om geen dingen te doen die mij chantabel maken. In het geheel. Mijn motto is: Als het het daglicht niet kan verdragen, zou ik het niet moeten doen. En de graadmeter daar voor is: Als ik het niet online kan zetten - is het waarschijnlijk niet pluis. Werkt prima - voor mij. Al verwacht ik niet van iedereen dat ze een dergelijke cyberexhibitionistische kijk op zaken hebben.
Bor Coördinator Frontpage Admins / FP Powermod
@Ulysses17 juni 2022 21:57
Noem 3 toepassingen waarbij je identiteit een probleem vormt. 8-) }>
1. Een dissident.
2. Een klokkenluider
3. Iemand die iets anoniem wil melden bij bv de politie in angst voor represailles.
4. Een lhbti+ persoon in een omgeving of land waar dit niet wordt geaccepteerd.
5. Iemand die last heef van een stalker
6. Een persoon in een 'blijf van mijn lijf' situatie.

Oh sorry, drie maar zei je? De wereld is groter dan je eigen denkbeeld.

[Reactie gewijzigd door Bor op 22 juli 2024 21:16]

Ulysses @Bor18 juni 2022 00:00
Nee, maar dat we wel even weten in welke hoek we hier denken. Ik heb namelijk zo'n vermoeden dat privacy minnend Tweakers nog wat groter is dan deze hier ten lande uitzonderlijke voorbeelden. Waarmee ik maar wil zeggen dat de gemiddelde Henk uit Brummen met een internet verbinding helemaal niks te vrezen heeft.
Ulysses 17 juni 2022 06:31
Interessant artikel. Mocht je nu niet willen wachten op of betalen voor een telefoon die dit ondersteunt of om andere reden met de YubiKey aan de haal willen gaan, dan wordt dit modelletje geadviseerd. In tegenstelling tot de andere modellen die hier gelinkt zijn onder het artikel. Dat is een nieuwe YubiKey 5 met NFC.
Overigens pakt zelfs mijn 'oude' OnePlus 7T het beveiligd inloggen met Google wel, maar is het nog niet zo heel praktisch. Bepaalde zaken worden dichtgetimmerd als je op deze manier inlogt waardoor het bijvoorbeeld niet meer mogelijk is 3rd Party Apps zomaar toegang te geven tot je account met Google. Dit zijn keuzes. Iedereen moet zelf maar uitvinden wat voor hem of haar handig is. Persoonlijk gebruik ik zelf nog even mijn 2FA dmv OTP codes, dat werkt vooralsnog prima. En de illusie dat iets helemaal dicht te timmeren valt, had ik toch al niet. Tenslotte ben ik ook niet bepaald een AIVD-agent zelf dus de waarde van de data waar ik toegang tot heb is ook betrekkelijk.
Mmore @Ulysses17 juni 2022 10:43
Of de YubiKey 5C NFC, dit is hetzelfde model maar dan met een USB-C aansluiting. Ik heb er zelf twee, een 5 en een 5C. De 5 gaat meestal in m'n desktop en de 5C hangt aan mijn sleutels.

Werkt wat mij betreft perfect op de plekken waar het werkt. Helaas nog ontzettend veel websites en diensten die het niet ondersteunen (Tweakers :'() of waar een eigen authenticator gebruikt moet worden (Steam :(). Met Bitwarden waarin je ook 2FA sleutels kan bewaren wordt het allemaal net wat makkelijker, maar toch is het jammer dat ik de YubiKeys in de praktijk zo weinig kan gebruiken.
NKR @Ulysses17 juni 2022 10:53
Als het je alleen om FIDO gaat zijn de paarse yubikeys voldoende, die hebben ook NFC en kosten maar de helft. De duurdere hebben allerlei extra features zoals een TOTP vault, die ik overigens erg fijn vind werken met applicaties op je telefoon en op je pc.
Frij5fd @Ulysses17 juni 2022 15:03
Ik vind deze Yubikeys ook prima werken. In combinatie met Keespass2Android op de Android smartphone ook prima bruikbaar. Helaas zie ik alleen maar applicaties met abbo-vormen voor de iPhone van mijn werk.
Maar aangezien ik moeite heb om mijn vrouw een ingewikkelder password te laten gebruiken dan iets met de naam van de hond erin, is bij ons de security sowieso nog steeds problematisch
Sebazzz @Ulysses18 juni 2022 09:27
Helaas vereist Microsoft bij het koppelen van de Yubikey dat je je WebAuthn authenticatie beveiligd met een PIN-code. Zodra je dat hebt gedaan werkt authenticatie via NFC niet meer, in ieder geval niet voor iOS - en het geldt dan ook voor alle websites vanaf dat moment.
qlum 17 juni 2022 09:37
Voor persoonlijk gebruik vertrouw ik voor nu toch vooral op mijn locale wachtwoordmanager, autenticatie afhankelijk van bezit, ben ik geen fan van, de telefoon bijvoorbeeld, kan ik vergeten, kan stuk gaan, op een ongelukkig moment leeg zijn en is niet per se helemaal veilig.

Voor nu bestaat mijn beveiliging uit een wachtwoord in mijn wachtwoord manager en een ander wachtwoord voor mijn e-mail. Ik weet dat ik hiermee risico loop als er een gerichte aanval met een keylogger gedaan wordt, dit neem ik helaas maar voor lief.

[Reactie gewijzigd door qlum op 22 juli 2024 21:16]

Barleone 17 juni 2022 06:21
Hoe verhoudt zich dit tot bijvoorbeeld biometrie dat vooral in devices wordt gebruikt? Een wat bredere context in de wondere wereld van toegangsbeveiliging zou het artikel meer Tweakers-Plus maken dan het nu is. Ik lees dit nu gratis maar het valt me wat tegen hoor.
Just my €0,02
lenwar
@Barleone17 juni 2022 13:31
Biometrie heeft hier niets (direct) mee te maken.

As je bijvoorbeeld doelt op de biometriescanner van je telefoon of zo'n apparaatje op je bureau, dan authenticeer je jezelf puur en alleen op de in de chip van de biometriescanner. Die chip koppelt alleen maar terug 'Ja, dit is em', of 'Nee, dit is em niet' en eventueel een ondertekende code. Het is met die technologie dus van belang dat de unieke gegevens in dat betreffende apparaat niet uitleesbaar zijn en het apparaat niet 'kunnen' verlaten.
Maar zoals je dan zelf al kan raden, maakt het voor de kant die om authenticatie vraagt dus niets uit of er iemand op een knop heeft gedrukt, een apparaat in een USB-poort heeft gedrukt, of dat er drie vingerafdrukken zijn gescand.
'Het apparaat het wachtwoord' geworden.

Als we de implementatie van Apple erbij pakken, en dan maakt het niet uit of de vingerafdruk of gelaatscanner pakken, dan komt het hier op neer.
De eerste keer dat het apparaat (de telefoon/tablet) aan gaat MOET de gebruiker een PIN-code invullen. Dit deblokkeert de biometriescanner, kan de gebruiker met zijn/haar vingerafdruk/gelaatsscan verder authenticeren.
De biometriescanner is een 'vertrouwd apparaat'. De telefoon controleert of hij met dezelfde scanner praat voordat hij echt iets doet.
De telefoon controleert "Is de scanner gedeblokkeerd met de PIN-code", zo ja
De telefoon controleert "Is dit de scanner die ik ken en vertrouw", zo ja
De telefoon stuurt een code die ondertekend moet worden met de unieke code van de gebruiker/het apparaat.
De telefoon om verificatie van de scanner of hij de gebruiker 'herkent', zo ja
De chip stuurt een ondertekende code terug naar de telefoon
De telefoon krijgt een ondertekende verificatie terug.
Dan is de gebruiker geauthenticeerd.

Ofwel.
Als iemand het op een één of andere manier voor elkaar krijgt om een 'nep-scanner' te maken, die 'altijd ja' teruggeeft bij een willekeurig gezicht/vingerafdruk EN de unieke code weet die gegeneerd was tijdens het instellen van de de biometrie voor de gebruiker in de originele scanner is gestopt, en zichzelf kan voordoen als de scanner die de telefoon vertrouwd dan is het te spoofen. (in de praktijk is dat dus heel complex/ondoenlijk (om op grote schaal te doen))

Echter. Er zit dus geen verschil in, of we het hier over biometrie een pincode of een knopje indrukken hebben. Dat is slechts één deeltje van de puzzel. Het apparaat zelf is het meest cruciale deel ervan. Al heb je een perfect model van mijn gelaat of mijn vingerafdruk, dan kan jij daar niets mee op een ander apparaat dan het apparaat dat ik in bezit heb, want dat apparaat het enige apparaat dat daar iets mee kan.

Het is eigenlijk een soortgelijk mechanisme als je wachtwoord inkorten met een PINcode op een vertrouwd apparaat.
Ulysses @Barleone17 juni 2022 06:36
Zou je commentaar op het Artikel willen leveren op het Forum?
Dat iets een Plus-Artikel is wil overigens nog niet zeggen dat het vervanging voor studieboeken wordt. Ik vind de diepgang/lengte van dit artikel precies goed.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq