Hans Timmerman
In het artikel ‘een paswoordloze toekomst’ schrijft Kaspersky Labs over het initiatief van Apple, Google en Microsoft om ons een paswoordloze toekomst te geven. De standaard om dit mogelijk te maken, is ontwikkeld door de FIDOAlliantie (Fast ID Online) samen met het World Wide Web Consortium (W3C), dat definieert hoe het internet eruitziet en werkt. Een serieuze poging om wachtwoorden overbodig te maken met op een smartphone uitgevoerde authenticatie. Een mooi initiatief dat op eerste gezicht vanuit de gebruiker een nobel streven lijkt. Immers niets is zo vervelend als het bedenken en onthouden van wachtwoorden. Einde van het wachtwoord?
Al tien jaar wordt aangekondigd dat wachtwoorden snel tot het verleden zullen behoren en er zijn vele pogingen gedaan om deze relatief makkelijke, maar hoogst onbetrouwbare authenticatie-methode af te schaffen. Het grootste probleem van wachtwoorden is dat ze relatief makkelijk te stelen zijn. In het begin werden ze niet eens versleuteld verstuurd en in platte tekstberichten verzonden. Dus heel makkelijk te onderscheppen. Nog steeds ‘zwerven’ er vele gestolen wachtwoorden op het internet rond. Kijk maar eens op de website van ‘HaveIBeenPwned’, het barst ervan. En tien jaar oude zijn zelfs nog in gebruik . . .
Afgelopen tien jaar is er gelukkig veel verbeterd. Wachtwoorden worden niet meer onversleuteld verzonden en opgeslagen. De norm is dat ze worden ‘gehasht’, dat wil zeggen, omgezet en opgeslagen in gecodeerde vorm. Maar als het wachtwoord eenvoudig is, is met flinke computer power – zeker in combinatie met een zogenaamd hashwoordenboek – ze toch makkelijk zijn te achterhalen. Het snel achter elkaar versturen van ‘gehashte’ eenvoudige, veel gebruikte wachtwoorden als ‘123123’ of ‘geheim’. Veel mensen kiezen nu eenmaal nog steeds voor veel te eenvoudige en vooral veel identieke wachtwoorden.
Van wachtwoord naar encryptie
Mensen gebruiken een eenmaal gekozen wachtwoord voor vele websites en diensten. Maar als zo’n meervoudig gebruikt wachtwoord wordt gestolen, is de kans dat een hacker je andere accounts hackt een stuk groter. Daarom werd jaren afgelopen multi-factor authenticatie populair: na het inloggen via een ander device invoeren van een eenmalige unieke code. Authenticatie zoals de banken die al jaren gebruiken. Of de twee factor authenticatie die u via sms, email of in de app op uw mobiele telefoon wordt opgestuurd. Soms wordt al helemaal geen wachtwoord meer gevraagd, maar krijgt u per email een eenmalig wachtwoord. Maar wachtwoorden zullen altijd de back-up blijven voor uw authenticatie, zeker als iets misgaat. Hoewel wachtwoorden beslist niet gebruiksvriendelijk zijn, blijven ze in enige vorm nodig.
De nieuwe FIDO-standaard wil dat voor eens en altijd regelen. Het wachtwoord wordt versleuteld in een voor de gebruiker onzichtbare code. Opgebouwd uit het versleutelde wachtwoord en twee coderingssleutels: een private en een publieke. Dit is de basis van encryptietechniek die al ouder is dan het internet. Zie mijn eerdere blog ‘een kwantum veilige handtekening’. Deze oude techniek van cryptologie aan het internet toevoegen, creëert een veel veiliger internet, zie mijn vorige blog ‘Seed Phrase als het DNA van je ‘digitale zelf”. Door het gebruik van encryptie en pincode, vingerafdruk of gezichtsherkenning wordt een goede en succesvolle beveiliging gerealiseerd. Dat klinkt op het eerste gezicht best goed.
Open en uniforme standaard
Maar in normale wereld geldt de ‘wet van behoud van ellende’: als iets op de ene plaats te makkelijk of te aantrekkelijk wordt, dan ontstaat op een andere plaats een probleem. Einstein zei al: ‘maak iets zo eenvoudig mogelijk, maar niet té eenvoudig’ als waarschuwing dat de wereld helaas niet eenvoudig is. Natuurlijk is de komst van encryptietechniek binnen het internet een zegen, dat al veel eerder had moeten gebeuren. Maar nu de grote leveranciers als Apple, Google en Microsoft en de grote sociale mediagiganten als Facebook wachtwoordloze authenticatie nóg makkelijker voor hun gebruikers willen maken, moet je altijd oppassen.
De standaard is uniform en open, dus dat is geen probleem. De optie is open om vrij van het ene apparaat naar het andere apparaat over te stappen. Het belangrijkste voordeel is dat phishing ernstig wordt bemoeilijkt. Dat is een goede ontwikkeling. Het succesvol hacken met gestolen wachtwoorden, zelfs beveiligd met 2FA, neemt immers hand over hand toe. Met krachtige computers en hashing woordenboeken worden razendsnel eenvoudige en veel gebruikte wachtwoorden gekraakt. De nieuwe standaard voegt nu controle vanuit de aanbieder toe: is de gebruiker wel de gebruiker met wie ik een contract heb? Er is dan ook een succesvolle ‘handshake’ van de aanbieder naar u als aanmelder nodig: dubbele verificatie.
Addertjes onder het gras
Als deze encryptie-functionaliteit in het OS van de smartphone wordt ingebouwd, heeft u hiervoor niet eens een aparte app nodig. U moet alleen voor elke website of dienst waar u gebruik van maakt een nieuw wachtwoord gaan instellen en klaar is Kees. Echter, er zijn geen onbreekbare oplossingen. Alles en iedereen kan gehackt worden. De vraag is hoeveel tijd en energie de hacker daarin wil steken. Soms is goed, goed genoeg en wordt het betere slechter. Leveranciers moeten niet in de verleiding komen om het nóg eenvoudiger te maken. Want dan treedt de wet van behoud van ellende direct in werking. En dat is helaas nu ook het geval.
Nu Apple, Google en Microsoft ook verschillende apparaten van hun gebruikers door interne synchronisatie willen koppelen, verdwijnt een deel van de ‘apparaat gebaseerde’ veiligheid. Immers synchronisatie vindt via de centrale cloud plaats: dus wederom een centraal single-point-of-failure waar de hacker al zijn energie op kan richten. En door de authenticatie ‘vast’ in de smartphone in te bouwen, wordt diefstal ook een probleem. Als de authenticatie deel van een fysiek apparaat wordt, ontstaat nieuwe afhankelijkheid. Als uw oude telefoon verloren gaat, welke back-up methode heeft u dan nog? Of als Apple of Google uw account blokkeert? Dan is de toegang tot al uw accounts weg. De FIDO-standaard mag open zijn, besturingssystemen van telefoons, infrastructuren en sociale media zijn dat zeker niet.
Een neutrale en onafhankelijke back-up
Met je identiteit moet je voorzichtig en veilig omgaan. Dat geldt voor je fysieke identiteit zoals je paspoort, je identiteitsbewijs, rijbewijs etc. Als je die kwijtraakt, is dat vervelend als dat in Nederland gebeurt, maar het kan een ramp zijn als dat op een andere plek in de wereld gebeurt. Dat geldt ook voor digitale identiteiten. Als dat voor een enkele website of dienst gebeurt, is het leed te overzien. Als het echter je bankrekening, digitale valuta of zelfs al je digitale bezittingen betreft, is het ook een ramp.
Reizen in virtuele werelden maakt het borgen en veiligstellen van uw digitale identiteit steeds belangrijker. Hoewel uw telefoonleverancier of een centrale platform provider die veiligheid kan ondersteunen, ligt de uiteindelijk veilige onafhankelijkheid bij u zelf. Samen met een onbetwiste, veilige en altijd werkzame back up die u zelf in beheer heeft. Een onafhankelijke, altijd beschikbare authenticatie op basis van een zelf soevereine identiteit (SSI) is de basiszekerheid hiervoor. Daarom bouwt Digicorp Labs deze kwantum veilige en paswoordloze authenticatie oplossingen voor de nieuwe web3 gebaseerde wereld. Zeker in de Enterprise wereld kan men met de borging van de identiteit van je medewerkers niet zuinig genoeg omgaan. Gegeven ook de keuzevrijheid van hun smartphones en eigen social media. Goede oplossingen zijn intussen gelukkig mogelijk. Simpel genoeg, maar niet simpeler dan nodig is.
De auteur Hans Timmerman is IT kenner en trendwatcher, directeur van Fortierra en tevens blogger bij het Risk & Compliance Platform Europe.