Wachtwoorden werken gewoon niet zo goed voor onze moderne websites en web-apps: ze zijn onveilig, ze zijn moeilijk te onthouden en ze zijn een hoop gedoe om te beheren, alleen voor de basisaccountbescherming die ze bieden . Nu lopen Chrome en Firefox voorop om wachtwoorden op internet voorgoed te doden.
Deze laatste poging om logins naadloos, veilig en soepel te laten verlopen, komt via de Web Authentication-standaard die is voorgesteld door de FIDO (Fast Identity Online) Alliance voor authenticatieprotocollen, en het World Wide Web Consortium (W3C), de standaardorganisatie die verantwoordelijk is voor het grootste deel van wat het internet vormt. Het wordt ondersteund in Firefox 60 en Chrome 67 en zo werkt het.
Wachtwoorden slecht, biometrie goed
Illustratie bij artikel getiteld Alles wat u moet weten over het plan om internetwachtwoorden te doden
Foto : Alex Cranz ( Gizmodo )
Het idee achter Web Authentication (kortweg WebAuthn) is dat je allerlei opties kunt gebruiken in plaats van een wachtwoord: een vingerafdruk, een webcam, een USB-stick die op je computer is aangesloten, enzovoort. Deze inlogmethoden bestaan al een aantal jaren, maar Web Authentication is ontworpen om ze over het hele web gestandaardiseerd te krijgen en naadloos te integreren in online logins.
Net als bij het inloggen met een wachtwoord, stelt het protocol sites in staat gebruikers uit te dagen hun identiteit te bewijzen. In dit geval is alles echter zoveel mogelijk vergrendeld en beveiligd – het werkt alleen via HTTPS en er wordt geen persoonlijke informatie verzonden, dus niemand die over je schouder kijkt of vijf tafels bij de coffeeshop zit, kan steel uw inloggegevens.
In de praktijk zijn er een paar verschillende manieren waarop dit zou kunnen werken, maar één scenario is het aanmelden op een nieuwe account op een website met je telefoon. In plaats van nog een gebruikersnaam of wachtwoord in te voeren, wordt u gevraagd of u uw huidige apparaat wilt registreren – kies ja, bevestig uw identiteit met een vingerafdruk of een pincode (net zoals wanneer u iets zou kopen in een app store) , en je doet mee.
Als u zich aanmeldt op een laptop, wordt u mogelijk gevraagd om u aan te melden met uw telefoon. Vervolgens kunt u de vingerafdruk of gezichtsaanmeldmethode van uw telefoon gebruiken om te bewijzen dat u bent wie u zegt dat u bent, met communicatie via NFC of Bluetooth. Als alternatief kan de site controleren op een eerder geregistreerde USB-stick die in de laptop is gestoken, in plaats van om een wachtwoord te vragen.
Illustratie bij artikel getiteld Alles wat u moet weten over het plan om internetwachtwoorden te doden
Schermafbeelding : Gizmodo
Het is echt een logische uitbreiding van wat browsers al doen: uw wachtwoorden voor u onthouden en automatisch aanmeldingsvelden invullen wanneer ze verschijnen. Velen van ons hebben al onze inloggegevens veilig opgeslagen in de browser, met zoiets als een Windows- of macOS-accountwachtwoord dat anderen ervan weerhoudt toegang te krijgen tot de browser en welke sites ze maar willen openen.
Met WebAuthn wordt dit idee nog eenvoudiger, met in veel gevallen slechts één tik nodig. Een bijkomend voordeel is dat je de volgende keer dat er een reeks wachtwoorden op het internet terechtkomt, je niet zoveel zorgen hoeft te maken, omdat je nog steeds je vingerafdruk, de contouren van je gezicht of een fysieke USB-stick hebt om op terug te vallen.
Als je Smart Lock op een Chromebook of je Apple Watch gebruikt om je Mac te ontgrendelen , is dat bijna precies zo. Als het inlogscherm van de desktop verschijnt en een geverifieerd apparaat in de buurt is, start het inlogproces automatisch – het is niet nodig om een gebruikersaccount te selecteren of een wachtwoord in te typen. Wat WebAuthn wil doen, is de toegang tot websites net zo gemakkelijk maken.
Er zijn nog steeds problemen die moeten worden opgelost, zoals het hebben van een robuust herstelsysteem voor het geval u wordt gehackt, en ervoor zorgen dat het gemakkelijk is om van een oude telefoon naar een nieuwe telefoon over te schakelen wanneer u een upgrade uitvoert. Maar het is een belangrijke stap voorwaarts in zowel gemak als beveiliging door 100 wachtwoorden en gebruikersnamen te bedenken, of zelfs elke keer dat u zich op een nieuwe plek wilt aanmelden een tweefactorauthenticatie-app te starten.
Zoals we al zeiden, wordt de technologie nu ondersteund in de stabiele versies van Mozilla Firefox en Google Chrome en komt deze in de nabije toekomst naar Microsoft Edge. Tot dusver heeft Apple niet veel commentaar gegeven op het ondersteunen van WebAuthn in Safari – het bedrijf is lid van W3C maar niet van FIDO, dus maak dat wat je wilt.
Wanneer kan ik het gebruiken?
Illustratie bij artikel getiteld Alles wat u moet weten over het plan om internetwachtwoorden te doden
Schermafbeelding : Facebook
Zelfs met die browserondersteuning is het nog steeds een experimentele technologie, en alleen een standaard die de W3C heeft aanbevolen voor sites – geen vereiste. We zijn
Er zijn nog geen populaire consumentensites die gebruik maken van de nieuwe technologie, hoewel de grote namen in de branche de juiste geluiden maken om deze in de toekomst te ondersteunen.
U kunt echter ter voorbereiding iets in de buurt van WebAuthn krijgen. Een optie is de FIDO Universal 2nd Factor (U2F) -standaard, een soort voorloper van webverificatie: Gmail is een site die U2F ondersteunt, dus in plaats van een authenticatie-app te gebruiken, kunt u in plaats daarvan een geverifieerde USB-stick gebruiken . De tech werkt ook met Facebook . Dit vervangt echter niet uw wachtwoord, maar voegt eerder een beveiliging met twee factoren toe.
Terwijl we wachten tot WebAuthn arriveert, moet u uw wachtwoorden op zijn minst zo veilig mogelijk opslaan. We hebben lang het idee verdedigd om een gerenommeerde wachtwoordbeheerder te gebruiken om uw inloggegevens in de gaten te houden, en de beste pakketten zullen zelfs moeilijk te kraken wachtwoorden voor nieuwe sites voorstellen. Deze wachtwoordmanagers, waaronder 1Password , Keeper , Dashlane en LastPass, werken op desktop en mobiel, voor apps en websites.
De meeste moderne browsers zullen veel van dit wachtwoordbeheer voor je doen, en als je de functionaliteit nog niet hebt ingeschakeld, is het de moeite waard om dit te doen terwijl je wacht tot WebAuthn het wachtwoord heeft uitgeschakeld – in Chrome kun je de optie vinden onder Geavanceerde en beheerde wachtwoorden in Instellingen, bijvoorbeeld; in Firefox staat het onder Privacy en beveiliging en vervolgens Formulieren en wachtwoorden in Voorkeuren.
Illustratie bij artikel getiteld Alles wat u moet weten over het plan om internetwachtwoorden te doden
Schermafbeelding : Google
Het wachtwoordbeheer van Safari gaat verder dan de browser met behulp van iCloud Keychain , een alles-in-één systeem voor het onthouden van gebruikersnamen en wachtwoorden op meerdere apparaten (zolang die apparaten door Apple zijn gemaakt) – u kunt het instellen via de iCloud- optie op uw accountpagina in iOS-instellingen. Apple verbetert deze functionaliteit in iOS 12 en macOS 10.14 Mojave door aan te bieden om namens u sterke wachtwoorden te genereren en op te slaan.
Om niet achter te blijven, heeft Google Smart Lock uitgebreid om uw wachtwoorden en inloggegevens te onthouden op elk apparaat dat u bezit (zolang die apparaten Google-software gebruiken). De wachtwoorden die Google opslaat in Chrome en Chrome OS worden automatisch overgedragen wanneer u een Android-apparaat registreert met hetzelfde Google-account, waardoor u gemakkelijk toegang heeft tot uw apps. U kunt ook al uw wachtwoorden op internet bekijken .
De gebruikerservaring voor deze meest moderne services is vergelijkbaar met wat WebAuthn zal brengen, maar wachtwoorden ondersteunen het proces nog steeds – deze tools maken het eenvoudig om die wachtwoorden te beheren.
Wat Web Authentication wil doen, is wachtwoorden helemaal wissen, waardoor inloggen op websites net zo eenvoudig is als het ontgrendelen van uw telefoon met een aanraking van een vinger. Het werk aan de standaard gaat door, maar u zult uw wachtwoorden nog een tijdje moeten onthouden.