Waarom wachtwoorden (eindelijk) weggaan | Ben Dickson

In 2012 schreef Matt Honan van Wired over de rampzalige gevolgen van het koppelen van je hele digitale leven aan een reeks letters, cijfers en symbolen. Honan is slechts een van de talloze mensen wier online accounts werden gekaapt nadat hackers hun wachtwoorden hadden ontdekt; de lijst met slachtoffers bevat ook spraakmakende technische leidinggevenden, waaronder Mark Zuckerberg.

We praten al jaren over de noodzaak om wachtwoorden te vervangen door veiligere en betrouwbaardere methoden. Vorige maand nog onthulden de Verenigde Naties per ongeluk wachtwoorden van werknemers op openbaar gedeelde Trello-boards en in Google Documenten. Zelfs de recente hack van Facebook was gerelateerd aan slechte op wachtwoord gebaseerde authenticatiesystemen. En miljarden gestolen wachtwoorden veranderen van hand in dark-web markten.

En toch blijven wachtwoorden de belangrijkste methode om online accounts te beschermen.

Er is weinig innovatie in de authenticatieruimte geweest. In 2016 schreef ik over authenticatietechnologieën die veilige en gemakkelijk te gebruiken alternatieven voor wachtwoorden boden, maar tot voor kort had niemand massale acceptatie bereikt.

Nu is er echter hoop dat we eindelijk lange, complexe wachtwoorden kunnen weggooien dankzij een reeks voorschriften en open standaarden die de implementatie van wachtwoordloze authenticatiemethoden in online applicaties vergemakkelijken en aanmoedigen.

Wat voorkomt wachtwoordloze authenticatie?

"Het enorme aantal wachtwoorden dat nodig is in ons dagelijks leven is een last geworden, daarom zien we zoveel hergebruikte of zwakke statische gegevens", zegt Stina Ehrensvard, CEO en oprichter van Yubico, die fysieke beveiligingssleutels zoals de Yubikey 5 NFC produceert. "We moesten nadenken over hoe we dit probleem konden aanpakken op een manier die het inlogproces vereenvoudigt en tegelijkertijd het hoogste beveiligingsniveau toevoegt. Tot nu toe was er geen manier om beide dingen met succes te doen."

De kwetsbaarheden van wachtwoorden gaan niet verloren bij de organisaties die deze blijven gebruiken. Maar voordat alternatieven worden overwogen, moeten ze rekening houden met de beveiliging, bruikbaarheid, beschikbaarheid en kosten van de technologie.

"De reden dat we wachtwoorden tot nu toe niet hebben vervangen door iets dat betrouwbaarder is, is dat alle alternatieven die mogelijk beter waren voor de beveiliging of bruikbaarheid, niet overal beschikbaar zijn geweest voor alle vormen en maten van apparaten die met internet zijn verbonden, noch zijn ze kosten -effectief ", zegt Brett McDowell, uitvoerend directeur van de FIDO Alliance, een consortium dat authenticatienormen ontwikkelt.

Ook is wachtwoordinvoer de goedkoopste en gemakkelijkste authenticatietechnologie om te implementeren in nieuwe websites en mobiele apps. En hoewel alternatieven zoals biometrische authenticatietechnologie op grotere schaal beschikbaar zijn geworden op mobiele apparaten, blijft wachtwoordinvoer de alomtegenwoordige functie die alle apparaten ondersteunen. Als u dit verwijdert, kunnen veel gebruikers geen toegang krijgen tot deze services.

Gebrek aan normen maakt het ook moeilijk om weg te gaan van wachtwoorden. De overheadkosten van het toevoegen van ondersteuning voor tientallen verschillende authenticatietechnologieën in client-applicaties en backend-servers zijn iets dat de meeste organisaties niet konden verdragen.

En natuurlijk is er altijd de menselijke factor. "Sommige bedrijven en particulieren blijven geloven dat ze niet worden getroffen door cyberaanvallen en dat ze niet interessant zijn voor cybercriminelen. Een gebrek aan verlangen en middelen om bestaande oplossingen te veranderen, belemmert de acceptatie van nieuwe wachtwoordloze authenticatieoplossingen", zegt Alex Momot, CEO van REMME, een startup die een gedecentraliseerd authenticatiesysteem ontwikkelt.

De FBI komt kloppen

In de afgelopen jaren is de bekendheid rondom online beveiliging en privacy van gebruikers toegenomen, vooral bij overheidsinstanties en toezichthouders. Vroeger hadden organisaties datalekken en beveiligingsincidenten kunnen vermijden met weinig juridische en financiële consequenties, dat is niet langer het geval.

"Regelgevers zijn de koppen van datalekken net zo zat als iedereen en ze beginnen actie te ondernemen, wat ertoe leidt dat meer bedrijven sterke authenticatie toevoegen aan hun gegevensbeschermingspraktijken", zegt McDowell.

Een van de meest relevante regelgevende acties is de Algemene verordening gegevensbescherming (AVG), een set regels die bepalen hoe bedrijven gebruikersgegevens verzamelen, verwerken en beveiligen. GDPR definieert ook normen voor sterke gebruikersauthenticatie. Bedrijven die zich niet aan de regels houden en de gegevens van hun klanten beschermen, krijgen een zware boete. GDPR is alleen van toepassing op de EU-jurisdictie, maar omdat veel bedrijven die niet in de EU zijn gevestigd nog steeds zaken in de regio doen, wordt het nu beschouwd als een gouden standaard voor beveiliging.

"In een tijd waarin meer en meer bedrijven een sterke authenticatie aannemen en steeds meer datalekken worden veroorzaakt door een wachtwoordcompromis, zal het voor een bedrijf steeds moeilijker worden om een ​​GDPR-regulator voor te stellen dat authenticatie met alleen wachtwoord passende beveiliging, waardoor hun bedrijf mogelijk wordt blootgesteld aan boetes die veel duurder zijn dan de prijs van het overschakelen van wachtwoorden op echte sterke authenticatie, "zegt McDowell.

Andere branchespecifieke voorschriften zijn explicieter over het gebruik van authenticatietechnologie. Een voorbeeld is Payment Services Directive 2 (PSD2), die e-commerce en online financiële diensten in Europa reguleert en tweefactorauthenticatie (2FA) verplicht stelt. PSD2 moedigt ook het gebruik van beveiligingskaarten, mobiele apparaten en biometrische scanners aan om de gebruikerservaring te verbeteren zonder de beveiliging in gevaar te brengen.

En het National Institute of Standards and Technology (NIST), dat de criteria voor verschillende industrieën definieert, stelt in zijn richtlijnen voor digitale identiteiten dat organisaties afstand moeten nemen van wachtwoorden en eenmalige toegangscodes en moderne sterke authenticatie moeten gebruiken.

"Meer specifiek beveelt NIST authenticatie aan waarin uw moderne apparaat cryptografische privésleutels maakt en gebruikt als uw nieuwe accountreferenties en deze veilig opslaat op uw persoonlijke apparaat op dezelfde manier als de meeste smartphones nu veilig uw vingerafdrukgegevens opslaan, " zegt McDowell.

Er is discussie over of overheidsregulering innovatie zal belemmeren of aanmoedigen. Maar op dit punt hebben we misschien een duwtje in de regelgeving nodig om veiligere authenticatiemechanismen in te voeren.

"Overheden kunnen een cruciale rol spelen bij de goedkeuring van open normen", zegt Ehrensvard. "Kijk bijvoorbeeld eens naar de veiligheidsgordel. Ook deze is een open standaard en het gebruik ervan werd gereguleerd door de overheid. Hierdoor zijn er vandaag 10 keer meer auto's op de weg, maar een lager totaal aantal dodelijke auto-ongelukken."

Op dezelfde pagina komen

Grootschalige vervanging van alleen-wachtwoord-authenticatie heeft meer nodig dan voorschriften. Zonder een set standaardprotocollen zullen organisaties en bedrijven moeite hebben om een ​​authenticatietechnologie te vinden die hen in overeenstemming houdt met beveiligingsvoorschriften terwijl hun applicaties beschikbaar zijn voor hun gebruikers.

Dat was het probleem dat FIDO zou gaan oplossen. FIDO Authentication is gebaseerd op een reeks gratis en open technologiestandaarden, ontwikkeld in samenwerking met het World Wide Web Consortium (W3C). Het doel is om interoperabiliteit tussen apparaten en diensten te creëren door de hele consumentenelektronica-industrie in staat te stellen de technologie in hun producten en platforms te integreren.

FIDO vervangt wachtwoorden door openbare sleutelcryptografie. Dit betekent dat gebruikers in plaats van wachtwoorden worden geïdentificeerd met een paar openbare en privésleutels. Alles gecodeerd met een openbare sleutel kan alleen worden gedecodeerd met de bijbehorende persoonlijke sleutel. Wanneer een gebruiker zich aanmeldt met een online service die FIDO-authenticatie ondersteunt, genereert de service een sleutelpaar en slaat de openbare sleutel op zijn servers op. De privésleutel wordt alleen op het apparaat van de gebruiker opgeslagen. Wanneer u zich aanmeldt, krijgt de clienttoepassing een cryptografische uitdaging die is gegenereerd met de openbare sleutel, die alleen kan worden opgelost met de persoonlijke sleutel. Gebruikers moeten hun identiteit verifiëren met hun apparaat (via vingerafdruk, gezicht of pincode) om hun privésleutel te ontgrendelen en de uitdaging op te lossen.

Het voordeel van dit model is dat het multifactorauthenticatie biedt zonder de opslag en uitwisseling van wachtwoorden. Zelfs als hackers erin slagen de servers van de serviceprovider te doorbreken, krijgen ze alleen toegang tot openbare sleutels, die nutteloos zijn zonder dat de bijbehorende persoonlijke sleutels op de apparaten van gebruikers worden opgeslagen. Als de hackers het apparaat van een gebruiker stelen, moeten ze nog steeds de lokale identiteitsverificatie omzeilen om de privésleutel te verkrijgen. Vanuit het perspectief van een gebruiker wordt hierdoor de noodzaak weggenomen om lange, complexe wachtwoorden voor elk account te onthouden en tegelijkertijd een superieure beveiliging te bieden.

Maar de grotere prestatie van FIDO is de brede steun van de technische industrie. De alliantie heeft grote namen zoals Google, Microsoft, Amazon en Intel samengebracht om standaarden te ontwikkelen die eenvoudig te implementeren zijn op verschillende apparaattypen en besturingssystemen.

"De bedrijven die zijn samengekomen om FIDO Alliance te vormen, begrepen dat het vervangen van wachtwoorden voor online authenticatie alleen op commerciële schaal levensvatbaar kon worden door een combinatie van gratis en open technologiestandaarden, een enorm superieure gebruikerservaring en een fundamenteel andere benadering van het beveiligingsmodel, "Zegt McDowell.

FIDO heeft onlangs de FIDO2 uitgebracht, een uitbreiding van de standaard die ondersteuning voor verificatie van openbare sleutels toevoegt aan browsers en een breed scala aan toepassingskaders. De standaard wordt ondersteund door Windows 10, Google Play Services op Android en de Chrome-, Firefox- en Edge-webbrowser. WebKit, de technologie achter de Safari-browser van Apple, voegt mogelijk binnenkort ook ondersteuning voor FIDO2 toe.

"De FIDO2-standaard maakt de vervanging mogelijk van zwakke, op wachtwoord gebaseerde authenticatie door sterke, op hardware gebaseerde authenticatie die gebruik maakt van openbare sleutelcryptografie", zegt Ehrensvard, wiens bedrijf Yubico tot de belangrijkste leden van FIDO behoort. "Deze standaard zorgt voor wachtwoordloze authenticatie in verschillende vormen, waaronder via USB en tap and go NFC, wat een optimale gebruikerservaring biedt en de beveiliging en productiviteit drastisch verbetert."

Wanneer gaan wachtwoorden eindelijk weg?

Hoewel de industrie een lange weg heeft afgelegd in de ontwikkeling van alternatieve authenticatiemethoden, zullen wachtwoorden niet van de ene dag op de andere verdwijnen. "We moeten rekening houden met het feit dat we veel 'oude' software en informatiesystemen hebben. Daarom is het niet altijd mogelijk om gevestigde authenticatieregels gemakkelijk te wijzigen, inclusief die op basis van een wachtwoord", zegt Momot, de CEO van REMME.

Andere experts zoals Sandor Palfy, CTO van LogMeIn, geloven dat wachtwoorden een centraal facet blijven voor het identificeren van gebruikers. Hij is ook van mening dat de industrie zich moet richten op het verbeteren van de wachtwoordervaring.

• De beste wachtwoordbeheerders voor 2019 De beste wachtwoordbeheerders voor 2019
• Wat is het wachtwoord? Speel wat muziek en log in via Brainwaves Wat is het wachtwoord? Speel wat muziek en log in via Brainwaves
• Bogus porno e-mails met behulp van oude wachtwoorden om u oplicht

"Totdat universele dekking met multi-factor authenticatie (of zelfs gedragsmatige of contextuele authenticatie) beschikbaar is, moeten bedrijven investeren in het versterken van wachtwoordbeveiligde services die in de hele organisatie worden gebruikt", zegt Palfy.

"Het onthouden van unieke, complexe wachtwoorden voor al ons werk en persoonlijke accounts komt niet overeen met natuurlijk menselijk gedrag. Door tools zoals wachtwoordbeheerders te gebruiken, is het onthouden van meerdere wachtwoorden verleden tijd, omdat gebruikers slechts één hoofdwachtwoord hoeven te onthouden, "zegt Palfy, wiens bedrijf de ontwikkelaar is van de LastPass-wachtwoordbeheerder.

Maar voor McDowell, die sinds 2014 aan het roer van FIDO staat, is de zoektocht om wachtwoorden uit te roeien eindelijk zijn laatste fase aan het bereiken. "Vandaag wordt de toekomst zonder wachtwoord werkelijkheid, een applicatie tegelijk. Binnen een paar jaar verwacht ik dat formulieren voor het invoeren van wachtwoorden ongeveer even zeldzaam zijn op webpagina's als openbare telefooncellen tegenwoordig in openbare ruimtes zijn, en voor de dezelfde reden - we hebben een kosteneffectief, alomtegenwoordig alternatief dat een veel betere gebruikerservaring biedt ", zegt hij.