Inloggen zonder wachtwoorden kan met FIDO, maar wat is dit?

21 mei 2022 6 Minuten 0 Reacties
Wachtwoorden

Inloggen zonder wachtwoorden kan binnenkort met FIDO, maar wat is dat nu eigenlijk precies?

Omdat we steeds meer op en met het internet doen, neemt het aantal wachtwoorden dat we moeten bijhouden in een rap tempo toe. We hebben accounts bij videostreamingdiensten, smarthomeplatformen en besturingssystemen. Nu kun je je best doen om al die accounts en bijbehorende wachtwoorden te onthouden, maar je kunt ook gebruikmaken van (en investeren in) een goede wachtwoordmanager. Hoewel het inlogproces mettertijd gemakkelijker geworden is, en managers het werk uit handen nemen, kan het nog gemakkelijker dan dat.

Weg met wachtwoorden

Waarom ontdoen we onszelf niet van wachtwoorden in het algemeen? Dat klinkt als een strak plan en iets waar grote techbedrijven als Microsoft, Apple en Google nu aan werken. Het is de bedoeling dat we binnen nu en een jaar wachtwoordloos inloggen op allerlei platformen; denk dan aan mobiele, desktop- en browsersystemen. Als we uitgaan van de drie genoemde bedrijven, dan geldt dat dus sowieso voor Android en iOS, Windows en macOS en natuurlijk de drie browsers van de partijen: Chrome, Edge en Safari.

Hoe werkt dit dan precies? Het idee is nu dat de smartphone als algemeen middel voor authenticatie dient, zo legt Google uit. Wanneer je smartphone ontgrendeld is, dan kun je daarmee direct inloggen bij websites, apps en andere digitale diensten. Het maakt dan niet uit op wat voor manier je je telefoon ontgrendelt: of dat nu met een pincode, veegbeweging of vingerafdrukscanner is. Als gebruiker merk je dan hoe gemakkelijk het is dit systeem in gebruik te nemen, maar wat gebeurt er dan precies achter de schermen?

De telefoon die je gebruikt maakt een unieke, cryptografische token aan, een zogenoemde privésleutel (of passkey, in het Engels). Die sleutel wordt gedeeld door apps, sites en diensten, waardoor beide partijen weten met wie ze te maken hebben. Daardoor kun je veilig inloggen bij allerlei aanbieders, terwijl je daar zelf weinig voor hoeft te doen. Het systeem heeft wat weg van Googles Smart Lock. Daarmee log je bijvoorbeeld razendsnel in bij Netflix op Android TV. Google moet dan wel je inloggegevens kunnen vinden op je Google-account.

Veilig voor iedereen

Het nieuwe systeem, waarbij wachtwoorden onnodig zijn, moet veilig zijn voor iedereen. Want het inlogproces is namelijk verbonden aan een fysiek apparaat. Daardoor krijgen hackers en mensen die phishingaanvallen uitvoeren het moeilijker; ze kunnen immers accounts niet binnenkomen zonder toegang te hebben tot je smartphone. Je kunt dit systeem vergelijken met inloggen middels tweestapsverificatie. Ook dan komen kwaadwillenden je account niet zomaar in, zonder in het bezit te zijn van je smartphone of een veilig usb-apparaat.

In de toekomst maakt het overigens niet uit hoe en waar je dit nieuwe systeem gebruikt. Je kunt bijvoorbeeld inloggen binnen de Edge-browser op macOS, terwijl je gebruikmaakt van een Android-telefoon. Dit komt doordat het wachtwoordloze inloggen mede mogelijk gemaakt wordt door FIDO. FIDO staat voor Fast Identity Online en wordt nu al vaak gebruikt voor het aanbieden van veilig, online inloggen. De unieke privésleutel die een telefoon aanmaakt, wordt aangemaakt en onthouden door FIDO, en vervolgens gedeeld met diensten.

Dit gebeurt – natuurlijk – alleen wanneer de telefoon ontgrendeld is. Het mooie aan dit systeem is dat je de privégegevens moeiteloos overzet op andere apparaten, aangezien die dus gekoppeld zijn aan je online accounts. Heb je dus een nieuwe smartphone, dan hevel je de boel in één keer over (net zoals je nu zou doen middels een wachtwoordmanager). Daarnaast is het fijn om te weten dat je de gegevens tevens uit de cloud kunt halen wanneer je smartphone kwijt of gestolen is. Laten we hopen dat dit dan echt het einde inluidt van het wachtwoord.

Fast Identity Online

Aangezien we de term FIDO in de toekomst vaker gaan tegenkomen, is het handig om een korte uitleg te geven over wat dat precies is. FIDO is een beveiligingsspecificatie die een betere authenticatie op het oog heeft. Het systeem wordt ontwikkeld en beheerd door de non-profitorganisatie FIDO Alliance, die het doel heeft dergelijke opties te standaardiseren. En wel op twee niveaus, namelijk voor de eindgebruiker en degene die verantwoordelijk is voor het protocol. Zo werken de verschillende lagen goed samen.

FIDO biedt ondersteuning aan voor tweestapsverificatie en openbare sleutelcryptografie. In tegenstelling tot databases van wachtwoorden, slaat FIDO persoonlijke identificatie-informatie (PII), zoals biometrische gegevens, lokaal op het apparaat van de gebruiker op. Zodoende kan die info beter beschermd worden. Verder maakt de alliantie het werk voor ontwikkelaars, die gebruikmaken van standaard-api’s (tools voor ontwikkelaars), heel gemakkelijk. Zo kunnen ze alle middelen en maatregelen moeiteloos implementeren.

FIDO ondersteunt twee belangrijke protocollen, namelijk Universal Authentication Framework (UAF) en Universal Second Factor (U2F). Met het eerste protocol maakt het apparaat van de gebruiker een nieuw sleutelpaar aan tijdens het registreren bij een online dienst. Het apparaat behoudt dan de privésleutel, terwijl de openbare sleutel naar de dienst of app gaat. Wanneer je vervolgens probeert in te loggen bij die dienst, dan leggen beide partijen de sleutel naast elkaar om te checken of alles nog klopt.

Als dat het geval is – en je hebt het apparaat ontgrendeld met je persoonlijke gegevens – dan kun je dus inloggen. U2F is kortgezegd tweestapsverificatie. Je logt dan in middels een tweede apparaat, die nfc of een usb-veiligheidssleutel heeft. Door de extra hardware te gebruiken tijdens het inloggen, bewijs je als het ware dat jij de persoon bent die de eigenaar is van een account. Ook hier is er sprake van privé- en openbare sleutels, die vergeleken worden op het moment dat je toegang probeert te krijgen tot een online account.

Meer lezen?

Wil je meer lezen over smartphones, tablets, wearables, apps en algemene ontwikkelingen? Bekijk dan onze pagina’s met recensies en tips en adviezen.

Reacties (0)