Het afscheid van wachtwoorden, zo dus
2015 lijkt het jaar te worden waarin we afscheid gaan nemen van het wachtwoord. We hebben al eens eerder geschreven over de beperkingen van het wachtwoord. De strenge eisen die sites aan een wachtwoord stellen, blijken de veiligheid niet te vergroten. De drang naar een verificatiesysteem zonder een wachtwoord is groot. De organisatie FIDO (Fast Identification Online) komt met de oplossing.
Zero-Knowledge Proof
Het probleem met vingerafdrukscanning waren tot voor kort de kosten. Wilde je daar als bedrijf gebruik van maken, dan moest je de beschikking hebben over een enorme database. Een database met daarin alle gegevens van je gebruikers. Een grote database betekent hoge kosten. Met FIDO is geen database meer nodig. FIDO introduceert Zero-Knowledge Proof.
Laten we nog eens terugkijken naar de Heartbleed-bug, een programmeerfout in de OpenSSL-bibliotheek die nog maar recent is verholpen (7 april 2014). Veel webwinkels maken gebruik van de OpenSSL-bibliotheek.
Als iemand bij een webwinkel inlogt met een wachtwoord, worden persoonlijke gegevens ter verificatie overgeheveld. Als gevolg van de Heartbleed-bug waren die persoonlijke gegevens te achterhalen. Het Zero-Knowledge protocol maakt het verzenden van persoonlijke gegevens naar servers echter overbodig. Stel je vinger wordt via je tablet, telefoon of computer gescand. Je vingerafdruk blijft opgeslagen op je telefoon. Het apparaat stuurt, in plaats van allerlei persoonlijke gegevens, slechts een eenmalige code naar een server. De gegevens zijn bovendien ook nog versleuteld en kunnen alleen ontgrendeld worden met een digitale sleutel, Het protocol maakt het verificatieproces niet alleen goedkoper, maar ook nog eens een stuk veiliger. Een ander voordeel is dat de authenticatie gedeeld kan worden op elke service waarop jij wilt inloggen.
Nok Nok
Apple vormde een serieus obstakel voor de toegankelijkheid van vingerafdrukscanning. Touch ID (te gebruiken op de iPhone 5S en hoger) is op dit moment een van de meest gebruikte vingerafdrukscanners. TouchID wordt gebruikt om de iPhone te ontgrendelen of om in te loggen op iTunes.
De technologie achter TouchID is een volledig afgesloten onderneming van Apple. Zelfs iOS-ontwikkelaars zijn op geen enkele manier betrokken bij TouchID. Met als gevolg dat TouchID niet in overeenstemming kon worden gebracht met de protocollen van FIDO. Michael Barrett van FIDO zegt hierover: ‘Het is een ommuurde tuin, en kan een behoorlijk hindernis zijn voor onze plannen.’
Barrett heeft samen met een paar andere experts op het gebied van authenticatie technologie het bedrijf Nok Nok Labs opgericht. Zij hebben een programma gebouwd dat Apples open API koppelt aan de technologie van FIDO. Dit maakt vingerafdrukscanning toegankelijk voor iedereen die ermee wil werken. Stel je bouwt een applicatie, denk aan een chat app, en je wilt dat gebruikers inloggen via een vingerafdruk. Je hoeft je geen zorgen te maken dat je voor elke telefoon een nieuw programma moet schrijven.
‘Transitiefase’
PayPal was een van de eerste bedrijven die vingerafdrukscanning in zijn online operatie wilden implementeren. Barrett was daar, van 2006 tot 2013, Chief Information Security Officer. Nu zijn Samsung, Qualcomm, Blackberry, Google, Microsoft en Netflix bezig met proefprojecten. Barrett zegt dat we in een transitiefase zitten. Het inloggen met een wachtwoord zal langzamerhand verdwijnen. “Twee- of driehonderd miljoen FIDO-geschikte apparaten aan het eind van 2015 is een reëel aantal.”
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
1 Reacties
Ol
Tamelijk onbegrijpelijk dit artikel is.