Volgens het technologiemagazine Wired heeft Google het wachtwoord de oorlog verklaard. Het wachtwoord is heden ten dage te zwak als instrument van digitale veiligheid Google en andere it-bedrijven zijn al jaren bezig alternatieven voor het wachtwoord te vinden. Naast Yubico, bekend van de Yubikey usb security token, zijn er ook andere alternatieven die al veel gebruikt worden. In dit artikel beschrijf en beoordeel ik OAuth2.0 als alternatief met de bijbehorende voor- en nadelen.
Een voorbeeld van een alternatief voor wachtwoorden is het gebruik van open identity internetprotocollen bij identificatie van gebruikers van social networks. OpenID en Oauth zijn hier bekende voorbeelden van. Deze protocollen gebruiken geen wachtwoorden, maar tokens, om online gebruikers zich te laten identificeren op bijvoorbeeld social networks.
OAuth2.0 is een open standaard voor autorisatie. Gebruikers kunnen zo een programma/website toegang geven tot hun gegevens, zonder vermelding van gebruikersnaam en wachtwoord. In plaats daarvan wordt met tokens gewerkt die een bepaalde geldigheidsduur hebben en toegang verlenen aan slechts één type gegeven.
Organisaties zoals de Internet Engineering Rask Force (IETF) maken onder andere de ontwerpdocumenten voor OpenID en OAuth2.0. Consortia zoals Kantara Initiative leveren de input van de ontwerpdocumentatie.
Kantara Initiative is een internationaal, open samenwerkingsverband van individuen uit de identity community, werkzaam in verschillende branches, die samenwerken aan oplossingen voor identity issues. Specifieke werkgroepen werken aan de specificatie van verschillende internetprotocollen, die dan worden aangeleverd aan de IETF en dan wellicht tot standaard worden verwerkt.
Grote it-bedrijven zoals Google, Twitter en Microsoft, maar ook Paypal zijn hier actief bij betrokken. Meestal wordt er verder doorgebouwd op deze protocollen en krijg je zogenaamde profiles zoals UMA (hier ben ik bij betrokken) die gebaseerd is op OAuth2.0, maar toch verschillende eigenschappen heeft. Nu wordt OAuth2.0 al volop gebruikt in social networks zoals Facebook.
Is het ook fit voor business, oftewel is het veilig genoeg voor gebruik in het bedrijfsleven? Om deze vraag te beantwoorden moeten we kijken wat de pro en contra’s van OAuth2.0 gebruik zijn.
Ongeveer twee jaar geleden heb ik tijdens een studiereis in Silicon Valley, met dank aan Platform Identity Management Nederland (PIMN), deze vraag gesteld aan aanwezige online identity-experts van onder andere Microsoft en AT&T. Ze waren heel behulpzaam en ik kreeg concrete antwoorden terug.
Zij kwamen met de volgende nadelen van OAuth2.0 voor het bedrijfsleven:
– OAuth2.0 is een protocol met weinig ingebouwde security, het is aan de implementer om veiligheidsmaatregelen te nemen om het protocol veilig te laten werken.
– Tokengebruik is ingewikkelder dan wachtwoorden, wat adoptie door de eindgebruiker tegen kan gaan.
– Er zijn nog niet veel OAuth2.0-vendors die kunnen leveren aan bedrijven.
– Er zijn nog niet veel OAuth2.0-experts die het bedrijfsleven kunnen adviseren.
– Andere protocollen zoals SAML zijn nodig om OAuth2.0 te laten werken.
– Phishing is een groot risico bij het gebruik van OAuth2.0. Dit kan leiden tot ongeoorloofde toegang tor beschermde gegevens van de gebruikers.
Maar OAuth2.0 heeft ook voordelen:
– Als open protocol zijn de api’s (bibliotheek voor interface tussen programma’s) overal te gebruiken.
– het gebruik van tokens limiteert het aantal mensen wat toegang kan hebben met OAuth2.0.
– Bedrijven zoals banken kunnen als OAuth2.0 provider naar hun klanten optreden, waardoor geen derde partij nodig is, wat klanten gerust kan stellen met het gebruik van hun data.
– Om terug te komen op de banken, met het gebruik van OAuth2.0 bij online bankieren zijn minder user interfaces en apparaten nodig, tokenuitwisseling werkt tenslotte op de achtergrond, net als bij bijvoorbeeld facebook.
Wel, dat klinkt veelbelovend, maar waarom hebben de bedrijven het nog niet toegepast? Volgens mij omdat bedrijven zeer tevreden zijn met hun huidige identificatie-mogelijkheden, omdat OAuth2.0 en OpenID nog steeds in ontwikkeling zijn en omdat bedrijven nog steeds bovenop de protocollaag een veiligheidslaag moeten bouwen om tokenuitwisseling veilig te laten plaatsvinden. Dit kost geld en levert nog geen goede business case op als alternatief voor de huidige beveiliging.
Maar gezien het toegenomen gebruik van social networks binnen en tussen bedrijven zie ik het gebruik van de online open internet identity protocollen wel de komende jaren een vlucht nemen in het bedrijfsleven.Zeker nu Google de oorlog heeft verklaard aan het wachtwoord.
Watch out passwords, there’s a new kid in town!
Cordny,
Meestal kom ik meteen in opstand als iemand mij een leek noemt. Maar in dit geval kan ik het alleen maar beamen 🙂
Ruud,
Daarom lees ik ook graag je artikelen.
Ik steek er altijd wat van op. 🙂
Fijn artikel waarvoor dank.
Ik zie nog wel een issue, wat als de computer gejat wordt of op een andere manier toegang toe wordt verkregen.
hoewel ik (nog) geen idee heb hoe deze auth techniek werkt en hoe je tegen het bovenstaande kunt beschermen. zou een uniform auth systeem een hoop gedoe kunnen oplossen.
Nu ook nog een uniforme open (en niet ranzige) techniek voor betalingen en een paar heikele problemen rondom het internet zijn weer opgelost.
Pascal,
bedankt voor je feedback.
Het issue wat je beschrijft is zeker mogelijk, maar OAuth is ook niet voor toegang verkrijgen tot de computer, maar voor het delen van items op internet.
Je zegt auth techniek, bedoel je daarmee authenticatie of authorisatie, een heel verschil!