Volgens het technologiemagazine Wired heeft Google het wachtwoord de oorlog verklaard. Het wachtwoord is heden ten dage te zwak als instrument van digitale veiligheid Google en andere it-bedrijven zijn al jaren bezig alternatieven voor het wachtwoord te vinden. Naast Yubico, bekend van de Yubikey usb security token, zijn er ook andere alternatieven die al veel gebruikt worden. In dit artikel beschrijf en beoordeel ik OAuth2.0 als alternatief met de bijbehorende voor- en nadelen.
Een voorbeeld van een alternatief voor wachtwoorden is het gebruik van open identity internetprotocollen bij identificatie van gebruikers van social networks. OpenID en Oauth zijn hier bekende voorbeelden van. Deze protocollen gebruiken geen wachtwoorden, maar tokens, om online gebruikers zich te laten identificeren op bijvoorbeeld social networks.
OAuth2.0 is een open standaard voor autorisatie. Gebruikers kunnen zo een programma/website toegang geven tot hun gegevens, zonder vermelding van gebruikersnaam en wachtwoord. In plaats daarvan wordt met tokens gewerkt die een bepaalde geldigheidsduur hebben en toegang verlenen aan slechts één type gegeven.
Organisaties zoals de Internet Engineering Rask Force (IETF) maken onder andere de ontwerpdocumenten voor OpenID en OAuth2.0. Consortia zoals Kantara Initiative leveren de input van de ontwerpdocumentatie.
Kantara Initiative is een internationaal, open samenwerkingsverband van individuen uit de identity community, werkzaam in verschillende branches, die samenwerken aan oplossingen voor identity issues. Specifieke werkgroepen werken aan de specificatie van verschillende internetprotocollen, die dan worden aangeleverd aan de IETF en dan wellicht tot standaard worden verwerkt.
Grote it-bedrijven zoals Google, Twitter en Microsoft, maar ook Paypal zijn hier actief bij betrokken. Meestal wordt er verder doorgebouwd op deze protocollen en krijg je zogenaamde profiles zoals UMA (hier ben ik bij betrokken) die gebaseerd is op OAuth2.0, maar toch verschillende eigenschappen heeft. Nu wordt OAuth2.0 al volop gebruikt in social networks zoals Facebook.
Is het ook fit voor business, oftewel is het veilig genoeg voor gebruik in het bedrijfsleven? Om deze vraag te beantwoorden moeten we kijken wat de pro en contra’s van OAuth2.0 gebruik zijn.
Ongeveer twee jaar geleden heb ik tijdens een studiereis in Silicon Valley, met dank aan Platform Identity Management Nederland (PIMN), deze vraag gesteld aan aanwezige online identity-experts van onder andere Microsoft en AT&T. Ze waren heel behulpzaam en ik kreeg concrete antwoorden terug.
Zij kwamen met de volgende nadelen van OAuth2.0 voor het bedrijfsleven:
– OAuth2.0 is een protocol met weinig ingebouwde security, het is aan de implementer om veiligheidsmaatregelen te nemen om het protocol veilig te laten werken.
– Tokengebruik is ingewikkelder dan wachtwoorden, wat adoptie door de eindgebruiker tegen kan gaan.
– Er zijn nog niet veel OAuth2.0-vendors die kunnen leveren aan bedrijven.
– Er zijn nog niet veel OAuth2.0-experts die het bedrijfsleven kunnen adviseren.
– Andere protocollen zoals SAML zijn nodig om OAuth2.0 te laten werken.
– Phishing is een groot risico bij het gebruik van OAuth2.0. Dit kan leiden tot ongeoorloofde toegang tor beschermde gegevens van de gebruikers.
Maar OAuth2.0 heeft ook voordelen:
– Als open protocol zijn de api’s (bibliotheek voor interface tussen programma’s) overal te gebruiken.
– het gebruik van tokens limiteert het aantal mensen wat toegang kan hebben met OAuth2.0.
– Bedrijven zoals banken kunnen als OAuth2.0 provider naar hun klanten optreden, waardoor geen derde partij nodig is, wat klanten gerust kan stellen met het gebruik van hun data.
– Om terug te komen op de banken, met het gebruik van OAuth2.0 bij online bankieren zijn minder user interfaces en apparaten nodig, tokenuitwisseling werkt tenslotte op de achtergrond, net als bij bijvoorbeeld facebook.
Wel, dat klinkt veelbelovend, maar waarom hebben de bedrijven het nog niet toegepast? Volgens mij omdat bedrijven zeer tevreden zijn met hun huidige identificatie-mogelijkheden, omdat OAuth2.0 en OpenID nog steeds in ontwikkeling zijn en omdat bedrijven nog steeds bovenop de protocollaag een veiligheidslaag moeten bouwen om tokenuitwisseling veilig te laten plaatsvinden. Dit kost geld en levert nog geen goede business case op als alternatief voor de huidige beveiliging.
Maar gezien het toegenomen gebruik van social networks binnen en tussen bedrijven zie ik het gebruik van de online open internet identity protocollen wel de komende jaren een vlucht nemen in het bedrijfsleven.Zeker nu Google de oorlog heeft verklaard aan het wachtwoord.
Watch out passwords, there’s a new kid in town!
@ Cordny,
Al is security totaal niet mijn vakgebied vind ik dit een erg leuk artikel. En begin ik het ietwat meer te begrijpen. Dank daar voor!
Ik vind de nadelen die je opnoemt ook best verontrustend. Maar de voordelen die geboden worden zijn ook weer zeer interessant.
Ik ben zeer benieuwd welke kant het op gaat. Misschien is een combi van beide wel “the safe way to go”.
Interessante ontwikkeling.
Wat ik me, puur uit nieuwsgierigheid, afvraag is wat ik in deze context moet verstaan onder een token.
Afgelopen jaren vele variaties voorbij zien komen hierin namelijk; van een vel papier met codes (de postbank TAN codes) via een usb-stick achtig apparaatje welke om de zoveel tijd een andere code laat zien, tot een apparaat dat in combinatie met bankpas en pin-code een code genereert (de e-dentifier van ABNAmro bijvoorbeeld)
@Ruud
Graag gedaan, ik heb het artikel vooral geschreven om ‘ leken’ op dit gebied zich meer bewust te maken van de alternatieven van wachtwoorden. OAuth2 wordt bijvoorbeeld al toegepast door facebook. Een combi zie ik ook gebeuren.
@pavake
De voorbeelden die je noemt zijn inderdaad voorbeelden van tokens. Daarnaast heb je me inspiratie gegeven voor het volgende artikel. Daarin ga ik meer in op de tokens die door OAuth2 gebruikt wordt.
@Cordny : graag gedaan 🙂
Cordny,
Mooi werk! Ik ben benieuwd naar je visie en kennis als je in je volgend artikel een niveau dieper op dit onderwerp ingaat.
Gemerkt of ongemerkt er is al een tijd identiteitoorlog en crisis in de lucht (lees cloud) Verschillende grote bedrijven zoals Google, Microsoft, Amazon etc zijn al een tijd bezig met ID zaken om dit te gaan inzetten voor hun diensten lees vendor-lockin. Aan een kant wordt gewerkt aan de standaardisatie van deze zaak en aan de andere kant wordt dit tegengewerkt door het niet ondersteunen van het betreffende protocol voor eigen dienst! Bijvoorbeeld wat gebeurd er als Amazon voor haar diensten geen ondersteuning geeft aan SAML (een voorbeeld maar)
Ik denk dat deze ID zaken binnen 5 jaar “hot items” zijn voor bedrijfsleven. Dit komt doordat ik verwacht dat de huidige applicatiestructuur, in de x86 architectuur, veranderd wordt in een Internal-Business-AppStore.
Ik kijk uit naar je vervolg artikel.
P.s. een tijd geleden was dit onderwerp in een discussie ter sprake gekomen. En raad eens welke mensen hebben deze discussie gevoerd! 🙂
https://www.computable.nl/artikel/opinie/cloud_computing/4620231/2333364/cloudtrends-voor-2013-op-een-rijtje-gezet.html#4629265
Cordny,
Dat het wachtwoord zijn langste tijd gehad heeft door allerlei zwakheden waarvan phising er één is lijkt me geen nieuws maar desondanks wordt deze vorm van authenticatie nog steeds het meest gebruikt. Reden geef je eigenlijk al aan: economische motieven. Of zoals mijn collega het vorige week verwoorde in zijn opinie over authenticatie:
“De consument wil geen gedoe met toetsjes op de mobiel – gewoon een unieke code voor de transactie. En banken zijn ze hierin tegemoet gekomen door het ter beschikking stellen van readers. Het werkt, maar nog steeds kostbaar in termen van aanschaf en uitrol.”
Dat maakt je artikel natuurlijk niet minder interessant want een goede authenticatie wordt inderdaad steeds belangrijker met toenemende online diensten maar ik denk dat de business case hiervoor wel vanuit de vraag moet komen. Nu zijn er natuurlijk al verschillende IDaaS oplossingen die voor een groot deel op open oplossingen gebouwd zijn maar waar het laatste stukje, de integratie toch altijd weer proprietary is.
En misschien moet we wel helemaal niet één oplossing willen omdat het niet ondenkbaar is dat we door patches (tijdelijk) nergens meer bij kunnen;-)
Cordny,
Met veel interesse je artikel gelezen en goed leesvoer voor mensen die het voor het eerst horen of er niet bekend mee zijn terwijl iedereen het ongemerkt al gebruikt. Ik kan je verhaal bevestigen dat Google de authenticatie van hun API afwillen van username en wachtwoord (https://developers.google.com/accounts/docs/AuthForInstalledApps ): ClientLogin has been officially deprecated as of April 20, 2012. It will continue to work as per our deprecation policy, but we encourage you to migrate to OAuth 2.0 as soon as possible.
De reden is echter *NIET* per se dat ze van wachtwoorden afwillen. Wat heb je namelijk nodig om een TOKEN te genereren? Juist, een gebruikersnaam en wachtwoord.
In mijn ogen de grootste reden waarom bijvoorbeeld oAuth 2.0 gebruikt wordt is deze: Je hebt een webservice. Applicaties gaan deze webservice gebruiken om diensten aan te bieden zoals integratie. Maar om bij de gebruikersdata te kunnen komen moet een gebruiker zich authenticeren bij de consumerende applicatie. Als hij dit doet met zijn gebruikersnaam een wachtwoord dan heb je *geen* garantie dat de tussenpartij niet stiekem je wachtwoord opslaat danwel misbruikt en dan ben je het haasje. De manier van tokens is dus bijna onvermijdelijk in een wereld vol webservices.
Nu kan ik je vertellen dat oAuth 2.0 een draak is! Als ontwikkelaar ben je echt even een paar dagen bezig voordat je het beestje begint door te krijgen en het kost *weken* om de toepassing ervan gebruiksvriendelijk te maken (zodat je bijvoorbeeld een pop-up scherm krijgt van Facebook als je je ergens aan wilt melden). Niettemin is een oAuth 2.0 achtig iets een noodzakelijk kwaad.
@ewout
je hebt gelijk, eeuwige dilemma: usability vs security; hopelijk zijn we het stadium security by obscurity nu wel voorbij en wordt het transparanter zonder alles bloot te geven.
@Reza
ik onderschrijf je argumenten, een aantal jaren geleden zag ik identity en cloud ook opkomen, zie mijn blog 😉
Ik had je gerefereerde artikel ook gelezen, vandaar ook als reactie hierop mijn artikel.
@Henri
Correct wat betreft Google en hun wachtwoordbeleid, ze willen er ook niet vanaf, maar eerder een soort combi maken. Dit kwam wellicht in het artikel niet goed naar voren. Dank voor de feedback.
Als technisch tester (webservices) ben ik OAuth2.0 tegengekomen en heb ik het ook getest, en ik kan je zeggen, testen is ook niet zo makkelijk, maar wel noodzakelijk in de wereld van webservices, waar bij de ontwikkeling ervan communicatie tussen business en development van groot belang is (net als elk IT-project trouwens ;))
Bedankt voor jullie feedback!
@Cordny
Tokengebruik is ingewikkelder dan wachtwoorden, wat adoptie door de eindgebruiker tegen kan gaan.
comScore heeft een rapport gepubliceerd waarbij aangegeven wordt dat 66,3% van de Nederlandse internetbezoekers online bankiert.Nederland kwam in dit rspport niet als de grootste markt in Europa, maar zelfs in de hele wereld naar voren. De meesten van onze banken maken gebruik van sterke authenticatie waarbij via een reader een eenmalig paswoord wordt gecreëerd dat een 32 seconden geldig is. Mensen tussen de 16 en 75 maken dus gebruik van ……….sterke authenticatie, enkel niet voor hun eigen digitale identiteit of data. De adoptie vindt gewild of ongewild dus al plaats in” deze verticale markt. De kosten voor deze oplossing zijn “acceptabel in verhouding tot de echte kosten veroorzaakt door online crime.
Aangezien standaardisatie nog wel op zich laat wachten door te veel grote bedrijven met een eigen insteek, een overvloed aan devices vind ik de conclusie van Ewout verfrissend. Misschien moeten we niet gaan voor een oplossing.
Dsnk voor het artikel, ik heb weer iets geleerd over OAuth2.0 en al jullie feedback.
@Ellen
Bedankt voor de heldere feedback.
Tijdens de studiereis in de USA had ik een testklus bij een Nederlandse bank.
Vandaar mijn toenmalige vraag over pro’s en contra’s OAuth.
De sterke authenticatie ken ik daarvan en ik was nieuwsgierig naar OAuth en bankwezen.
Een oplossing is nooit voldoende zoals Ewout zei en daar ben ik het mee eens.
Ik zal eens kijken of ik het comscore-rapport kan verkrijgen, interessant.