Een toekomst zonder wachtwoord vereist mogelijk dat onze telefoons beveiligingssleutels zijn

March 24, 2022
InNieuws Internet Beveiliging

De FIDO Alliance heeft een whitepaper gepubliceerd waarin de tekortkomingen worden geanalyseerd die voorkomen dat de wachtwoordloze authenticatiestandaard mainstream wordt.
Wachtwoordloze authenticatiemechanismen hebben wachtwoorden niet kunnen vervangen omdat ze onhandig zijn, suggereert de whitepaper.
Het stelt het gebruik van smartphones voor als beveiligingssleutels voor roaming.

Over de schouder zicht op jonge vrouw die laptop gebruikt, inloggen op online bankrekening met digitaal beveiligingsapparaat — Oscar Wong / Getty Images

Sterke wachtwoorden zijn onhandig om te maken en te beheren, maar extra stappen toevoegen en apparaten voor het authenticatieproces is een nog grotere hoofdpijn.

Dat is de conclusie van een whitepaper van de Fast ID Online Alliance (FIDO), die bruikbaarheidsproblemen de schuld geeft van het voorkomen dat wachtwoordloze authenticatiemechanismen mainstream worden. De alliantie heeft echter een oplossing bedacht om het probleem voor eens en voor altijd op te lossen en de FIDO-authenticatiestandaard zo alomtegenwoordig te maken als wachtwoorden.

"FIDO heeft alle aanvankelijke verwachtingen overtroffen",

Bill Leddy, VP van Product bij Inlog ID, vertelde Lifewire via e-mail na het lezen van de whitepaper. "[Het] is heel dicht bij het oplossen van alle authenticatie [problemen], maar heeft wat meer nodig."

Wachtwoorden annuleren

Leddy gelooft dat wachtwoorden hun gebruik hebben overleefd. Hij geeft de beveiligingsindustrie de schuld van het falen van mensen door veel te lang op zwakke opties te drukken.

"Wachtwoorden zijn nu 60 jaar oud, maar blijven de primaire authenticatieoptie voor de meeste accounts. Consumenten hebben veel verschillende accounts en er wordt verwacht dat ze voor elk een uniek wachtwoord onthouden. Dat is geen praktische oplossing", stelt Leddy. Hij voegde eraan toe dat in het internet van vandaag, waar websites gemakkelijk kunnen worden gekloond, het de taak van de beveiligingsindustrie is om mensen uit te rusten met de juiste tools om accountinbreuken te voorkomen.

De FIDO Alliance, een open branchevereniging die is opgericht om de afhankelijkheid van wachtwoorden te verminderen, werkt al ongeveer tien jaar aan dit probleem. Het heeft de FIDO-authenticatiestandaard gecreëerd, die geen grip heeft kunnen krijgen. In de whitepaper denkt de alliantie eindelijk het ontbrekende stukje van de puzzel te hebben geïdentificeerd en ook een strategie geschetst om het te overwinnen.

Volgens de alliantie heeft het huidige wachtwoordloze authenticatiemechanisme van FIDO inherente bruikbaarheidsproblemen waardoor het geen brede acceptatie heeft bereikt.

"[We] hebben een beperkte acceptatie [in de consumentenruimte] waargenomen vanwege het waargenomen ongemak van fysieke beveiligingssleutels (kopen, registreren, dragen, herstellen), en de uitdagingen waarmee consumenten worden geconfronteerd met platformauthenticators (bijv. apparaat; geen gemakkelijke manieren om te herstellen van verloren of gestolen apparaten) als een tweede factor," de krant merkte op:.

Om de problemen op te lossen, roept de whitepaper op om onze smartphones te gebruiken als roaming-authenticators of draagbare beveiligingssleutels.

"Het apparaat van een gebruiker als roaming-authenticator is een geweldige gebruikerservaring en veel veiliger dan wachtwoorden op een semi-vertrouwd apparaat als het correct wordt gedaan. Aangezien nieuwe smartphones native FIDO ondersteunen en consumenten zelden ver van hun telefoon zijn, is het een goede optie", beaamt Leddy.

De weg vooruit

De whitepaper suggereert echter dat om smartphones succesvol te laten worden als draagbare beveiligingssleutels, FIDO een soepel proces moet bedenken voor mensen om hun mobiele apparaten toe te voegen of te wisselen tussen hun mobiele apparaten.

Het stelt dat als het proces voor essentiële taken, zoals het instellen van een nieuwe telefoon of het overschakelen naar een nieuwe, niet eenvoudig is, dan zullen mensen het hele idee waarschijnlijk afwijzen als zijnde ongemakkelijk. Om dit te voorkomen, stelt de paper voor om een nieuwe techniek te introduceren die ze FIDO-referenties voor meerdere apparaten of 'wachtwoorden' noemen.

"Inloggegevens voor meerdere apparaten beantwoorden aan een al lang bestaande vraag rond FIDO. De vraag was hoe ik naar een nieuw apparaat kon gaan als ik 50 domeinspecifieke inloggegevens op mijn oude apparaat had ingeschreven en vervolgens een nieuw apparaat had gekregen. Niemand wil accountherstel voor 50 verschillende services doorlopen om nieuwe FIDO-referenties opnieuw te binden", legt Leddy uit.

Digitale identiteitsscanner met vingerafdruk — dem10 / Getty Images

FIDO beweert dat wachtwoorden deze situatie helemaal zullen helpen voorkomen door ervoor te zorgen dat wanneer we van het ene apparaat naar het andere overschakelen, onze FIDO-referenties daar al op ons wachten. Natuurlijk is de paper conceptueel, en Leddy denkt dat een dergelijk mechanisme gemakkelijker voor te stellen dan te implementeren is.

"Het zou jammer zijn als de toegangssleuteloplossingen leverancierspecifiek zouden zijn, zodat een consument niet kan overstappen" tussen apparaatfabrikanten of zelfs een heterogene set apparaten (MacBook en Android-telefoons),' waarschuwde Leddy.

Hij is er echter van overtuigd dat de FIDO-alliantie, die zwaargewichten telt zoals Apple, Meta, Google, PayPal, Wells Fargo, American Express en Bank of America, onder haar leden, zullen oplossingen bedenken die niet alleen universeel zijn, maar ook grondig worden doorgelicht aanvallen.

FIDO gelooft dat de FIDO-inloggegevens voor meerdere apparaten de laatste nagel aan de kist voor wachtwoorden zullen worden. "Door deze nieuwe mogelijkheden te introduceren, hopen we websites en apps in staat te stellen een end-to-end echt wachtwoordloze optie te bieden; geen wachtwoorden of eenmalige toegangscodes (OTP) vereist", aldus de alliantie.