Vorige week las ik een interessant artikel over alternatieve authenticatiemethodes. Statische wachtwoorden zijn geen lang leven meer beschoren.
snel even iets wil bekijken of bestellen tot de vaststelling moet komen dat je na drie pogingen dat ene wachtwoord echt wel vergeten bent.
Op zoek gaan naar alternatieven dus. En dan lees ik allerlei voorstellen die voor de gewone eindgebruiker als sciencefiction in de oren klinken: vingerafdrukken, retinascans, ingebouwde camera’s of apps voor gezichtsherkenning… Klinkt allemaal heel mooi, maar behoeft een gewone webshop die schoenen wil verkopen zulke spitstechnologie? En hoe zal de consument die op zoek is naar een paar leuke zomersandaaltjes zich voelen als zij eerst haar vingerafdruk moet laten scannen? En wat als je vrouwlief even wil vragen iets voor jou te bestellen als jij van huis bent? Je vinger afhakken is nogal drastisch nietwaar?!
Doel voorbij schieten
Innovatie is geweldig en moet er zijn, maar mag zijn doel ook niet voorbij streven. Consumenten willen nu eenmaal gewoon snel en makkelijk een bestelling kunnen plaatsen, een transactie uitvoeren of zich inschrijven op een website. Liefst zonder een ellenlang stappenplan te doorlopen. Dit wil echter niet zeggen dat consumenten niet bezorgd zijn om de beveiliging van hun gegevens. Dat zijn we allemaal wel. Maar het mag niet complex zijn en niet teveel tijd in beslag nemen. Belangrijk is ook dat de beveiliging zowel gebruikt kan worden op pc en laptop, maar ook op tablet en je mobieltje. Keep it simple is dus de boodschap. Gebruiksgemak is een prioriteit. Ik wil graag altijd en overal vanop eender welk toestel mijn online accounts raadplegen. Zonder dat ik daarvoor complexe procedures moet doorlopen.
Twee-factorauthenticatie biedt een adequate oplossing. Een toestelletje of mobiele app kunnen in een handomdraai een dynamisch wachtwoord genereren. Zulke wachtwoorden kunnen slechts een keer worden gebruikt en zijn beperkt geldig. Gedaan dus met zelf wachtwoorden te verzinnen, te onthouden en opnieuw te vergeten. Het voordeel is ook dat zo’n authenticator werkt met alle toestellen die een internetverbinding hebben, of het nu gaat om een tablet, desktop, netbook of gsm. De huidige authenticatie-applicaties die je kan downloaden voor je gsm werken heel eenvoudig en vereisen geen ingewikkelde handelingen van de gebruiker. Sommige werken zelfs met een QR-code-scanner waarbij je simpelweg de code scant om op een beveiligde manier toegang te krijgen tot je account.
Allemaal goed en wel hoor ik je denken, maar de applicatie die ik dagelijks gebruik biedt die mogelijkheid niet. Wat als ik nou wel sterke authenticatie wens, maar de website dit niet aanbiedt? Daar sta je dan mooi met je mobiele app hoor ik je al zuchten. Maar ook daar zijn oplossingen
voor. Sommige securitybedrijven bieden de mogelijkheid om online toepassingen naar keuze toe te voegen op hun authenticatieplatform. Zo’n platform laat de gebruiker alvast toe om hun inloggegevens op een beveiligde manier op te slaan, zelfs al maakt de website in kwestie nog
geen gebruik van authenticatie.
Wachtwoordenkluis
Zo kan je alsnog je wachtwoorden ‘vergeten’ omdat zij als het ware in een wachtwoordkluis worden bewaard. Bovendien kan je je simpele wachtwoord dan veranderen naar een complexe combinatie van hoofdletters, speciale karakters, cijfer- en lettertekens met een lengte van dertig karakters. Op die manier zorg je er alvast zelf voor dat je de beveiliging verhoogt. Je wachtwoord is immers niet zo makkelijk meer te achterhalen en je kan voor elke toepassing een nieuw wachtwoord bedenken. Zo beperk je de kans op schade moest iemand er toch in slagen om een van jouw wachtwoorden te onderscheppen.
Een ander voordeel om te kiezen voor het gebruik van een degelijk authenticatieplatform is dat jouw data op een geëncrypteerde manier worden opgeslagen. Dit betekent dat ook de toegang tot je wachtwoordkluis beveiligd is. Je kan deze kluis bovendien overal en altijd raadplegen, wat niet het geval is als je ervoor kiest om wachtwoorden op te slaan in je browser. Want dan ben je reddeloos verloren als je pc crasht. Te mooi om waar te zijn? Toch niet. Beveiliging hoeft niet noodzakelijk een
hindernis te zijn en kan zelfs je online leven aanzienlijk vergemakkelijken. Neem maar eens een kijkje op www.mydigipass.com.
Ik denk dat 2-factor authenticatie steeds meer toegepast zal worden. Dit wordt inderdaad nog niet overal ondersteund. Waar het wel kan zou ik het aanzetten. Met name gmail.com en outlook.com aangezien dat ook geliefde sites zijn bij hackers, en dat mailboxen vaak weer passwords bevatten naar andere sites.
Voor Apps die het account gebruiken voor API toegang en nog geen 2-factor begrijpen kun je ook specifieke App passwords genereren via desbetreffende sites, zodat elke App een ander password krijgt (wat lang en moeilijk is).
In de tussentijd is voor toegang tot veel verschillende websites een password-safe een goed alternatief. Waarbij LastPass naar mijn idee een van de bekendste is.
Echter leidt dat ook weer tot een single-point-of-failure, zoals al geconstateerd.
Tip daarbij is om een long memorable password te gebruiken, die niet zozeer ingewikkeld is, maar vooral lang, om brute force attacks een stuk lastiger te maken. Dit zou je ook kunnen toepassen ipv een password-safe.
XKCD had hier een mooie strip over en dat heeft zelfs geleid tot een password creatie tool 🙂
Zie http://lifehacker.com/5830355/xkcd-password-generator-creates-high+security-easy+to+remember-passwords
Ben ook benieuwd naar de mening van anderen mbt de validiteit van het mechanisme, aangezien er wel discussie is mbt gevoeligheid voor dictionary attacks.
Op deze link https://www.grc.com/haystack.htm kun je zien wat het effect is van je password policy op de search space.
Geeft wel leuke inzichten mbt kortere moeilijke passwords vs. langere “eenvoudige” passwords.
vingerafdruk humor voor de NSA…
https://lh5.googleusercontent.com/-hkT03ojFFi0/UjNblbH2W1I/AAAAAAAAE_U/tht7pgSbM9E/w721-h513-no/Finger+print.jpg