Honderden miljoenen mensen gebruiken elke dag wachtwoorden: ze ontgrendelen onze apparaten, e-mail, sociale netwerken en zelfs bankrekeningen. Wachtwoorden zijn echter een steeds zwakker manier om onszelf te beschermen: Er gaat nauwelijks een week voorbij zonder dat een grote veiligheidsfout het nieuws haalt. Deze week is dat zo Cisco – maker van een groot deel van de hardware die in wezen het internet aandrijft.
Op dit moment wil bijna iedereen verder gaan dan alleen wachtwoorden authenticatie met meerdere factoren: vereisen “iets dat je hebt” of “iets dat je bent” naast iets dat je weet. Biometrische technologieën die ogen, vingerafdrukken, gezichten en/of stemmen meten zijn dat wel praktischer worden, maar voor sommige mensen mislukken ze vaak en zijn ze moeilijk beschikbaar te maken voor honderden miljoenen gebruikers.
Aanbevolen video's
Zien we het voor de hand liggende niet over het hoofd? Zit de oplossing voor multifactor-beveiliging niet al in onze portemonnee?
Verwant
- De 15 belangrijkste smartphones die de wereld voor altijd hebben veranderd
- SMS 2FA is onveilig en slecht. Gebruik in plaats daarvan deze 5 geweldige authenticator-apps
- Vermoeidheid bij app-abonnementen verpest mijn smartphone snel
Online bankieren
Geloof het of niet, Amerikanen gebruiken al jaren multi-factor authenticatie wanneer ze online bankieren – of op zijn minst afgezwakte versies ervan. In 2001 eiste de Federal Financial Institutions Examination Council (FFIEC) dat Amerikaanse onlinebankdiensten in 2006 echte multifactor-authenticatie zouden uitrollen.
Het is 2013 en we loggen nog steeds in op online bankieren met wachtwoorden. Wat is er gebeurd?
“In principe lobbyden de banken”, zegt Rich Mogull, CEO en analist bij Securose. “Biometrie en beveiligingstokens kunnen afzonderlijk prima werken, maar het is erg moeilijk om ze zelfs maar op te schalen naar bankieren. Consumenten willen niet met meerdere van dit soort dingen te maken krijgen. De meeste mensen zetten niet eens een toegangscode op hun telefoon.”
De banken hebben zich dus teruggetrokken. In 2005 heeft de FFIEC bijgewerkte richtlijnen uitgegeven waarmee banken zich konden authenticeren met een wachtwoord en ‘apparaatidentificatie’ – in feite profilering van de systemen van gebruikers. Als een klant inlogt vanaf een bekend apparaat, heeft hij alleen een wachtwoord nodig; anders moet de klant door meer hoepels springen – meestal uitdagende vragen. Het idee is dat het profileren van apparaten neerkomt op het verifiëren van iets dat gebruikers gebruiken hebben (een computer, smartphone of tablet) om het wachtwoord te vergezellen weten.
Banken zijn steeds geavanceerder geworden in het identificeren van apparaten nog nieuwere federale richtlijnen vereisen dat banken meer gebruiken dan een eenvoudig te kopiëren browsercookie. Maar het systeem is nog steeds zwak. Alles gebeurt via één enkel kanaal, dus als een kwaadwillende persoon toegang kan krijgen tot de verbinding van een gebruiker (misschien door diefstal, hacks of malware), is het allemaal voorbij. Bovendien wordt iedereen behandeld als een klant die een nieuw apparaat gebruikt – en zo New York Times columnist David Pogue kan hiervan getuigenbieden eerlijk beantwoorde beveiligingsvragen soms weinig bescherming.
De beperkte vorm van multifactor-beveiliging bij online bankieren is dat echter wel groot voordeel voor de consument. Voor de meeste gebruikers is apparaatprofilering meestal onzichtbaar en werkt het net als een wachtwoord, wat bijna iedereen begrijpt.
Google Authenticator
Digitale tokens, beveiligingskaarten en andere apparaten worden al tientallen jaren gebruikt bij multifactor-authenticatie. Maar net als biometrie is tot nu toe niets werkbaar gebleken voor miljoenen gewone mensen. Er zijn ook geen wijdverbreide standaarden, dus mensen hebben mogelijk een tiental verschillende sleutelhangers, tokens, USB-sticks en kaarten nodig om toegang te krijgen tot hun favoriete diensten. Niemand gaat dat doen.
Dus hoe zit het met de telefoons in onze zakken? Bijna een jaar geleden ontdekten onderzoekers bijna 90 procent van de Amerikaanse volwassenen bezat een mobiele telefoon – bijna de helft had smartphones. De cijfers moeten nu hoger zijn: ze worden toch zeker gebruikt voor multifactor-authenticatie?
Dat is het idee erachter De tweestapsverificatie van Google, waarmee via sms of spraak een eenmalige pincode naar een telefoon wordt verzonden wanneer u zich aanmeldt bij Google-services. Gebruikers voeren zowel hun wachtwoord als de code in om in te loggen. Natuurlijk kunnen telefoons kwijtraken of worden gestolen, en als de batterij leeg is of er geen mobiele service beschikbaar is, worden gebruikers buitengesloten. Maar de service werkt zelfs met functionele telefoons en is zeker veiliger – zij het minder handig – dan alleen een wachtwoord.
De tweestapsverificatie van Google wordt interessanter Google Authenticator, beschikbaar voor Android, iOS en BlackBerry. Google Authenticator maakt gebruik van op tijd gebaseerde eenmalige wachtwoorden (TOTP), een standaard die wordt ondersteund door de Initiatief voor open authenticatie. Kortom, de app bevat een gecodeerd geheim en genereert elke 30 seconden een nieuwe zescijferige code. Gebruikers voeren die code samen met hun wachtwoord in om te bewijzen dat ze over het juiste apparaat beschikken. Zolang de klok van de telefoon correct is, werkt Google Authenticator zonder telefoondienst; Bovendien werken de codes van 30 seconden ander diensten die TOTP ondersteunen: op dit moment omvat dat ook Dropbox, LastPass, En Amazon-webservices. Op dezelfde manier kunnen andere apps die TOTP ondersteunen met Google werken.
Maar er zijn problemen. Gebruikers dienen verificatiecodes in op hetzelfde kanaal als wachtwoorden, waardoor ze kwetsbaar zijn voor dezelfde onderscheppingsscenario's als online bankieren. Omdat TOTP-apps een geheim bevatten, kan iedereen (waar ook ter wereld) legitieme codes genereren als de app of het geheim wordt gekraakt. En geen enkel systeem is perfect: vorige maand heeft Google een probleem opgelost dat dit mogelijk maakte totale accountovernames via app-specifieke wachtwoorden. Plezier.
Hoe gaan we verder?
Het grootste probleem met systemen als tweestapsverificatie van Google is simpelweg dat ze lastig zijn. Wil je rommelen met je telefoon en codes elke keer logt u in op een dienst? Uw ouders, grootouders, vrienden of kinderen? De meeste mensen niet. Zelfs technofielen die houden van de coole factor (en de veiligheid) zullen het proces waarschijnlijk binnen een paar weken lastig vinden.
Cijfers suggereren dat de pijn reëel is. In januari leverde Google Bekabeld Robert MacMillan een grafiek van adoptie in twee stappen, inclusief een piek begeleidende Mat Honan’s “Episch hackenartikel van afgelopen augustus. Merk op welke as geen labels heeft? Vertegenwoordigers van Google weigerden te zeggen hoeveel mensen de tweefactorauthenticatie gebruiken, maar Google-beveiligingsvicevoorzitter Eric Grosse vertelde MacMillan dat een kwart miljoen gebruikers zich hadden ingeschreven na het artikel van Honan. Op basis van die maatstaf is mijn schatting dat ongeveer 20 miljoen mensen zich tot nu toe hebben aangemeld - nauwelijks een deuk in de ruim 500 miljoen mensen die Google gebruikt. beweringen Google+-accounts hebben. Dat cijfer leek ongeveer juist voor een Google-medewerker die niet bij naam genoemd wilde worden: ze schatte dat minder dan tien procent van de ‘actieve’ Google+ gebruikers zich had aangemeld. ‘En ze houden zich er niet allemaal aan,’ merkte ze op.
“Als je een ongebreideld publiek hebt, kun je geen enkel gedrag aannemen dat verder gaat dan de basis – vooral als je dat publiek geen reden hebt gegeven om wil dat gedrag”, zegt Christian Hessler, CEO van een bedrijf voor mobiele authenticatie LiveZorg. “Het is onmogelijk dat je een miljard mensen gaat trainen om iets te doen wat ze niet willen doen.”
LiveEnsure vertrouwt erop dat gebruikers out-of-band verifiëren met hun mobiele apparaat (of zelfs via e-mail). Voer alleen een gebruikersnaam in (of gebruik een eenmalige aanmeldingsservice zoals Twitter of Facebook), en LiveEnsure maakt gebruik van de bredere context van de gebruiker om te authenticeren: geen wachtwoord vereist. Op dit moment maakt LiveEnsure gebruik van “line-of-sight” – gebruikers scannen een QR-code op het scherm met hun telefoon om hun aanmelding te bevestigen – maar andere verificatiemethoden komen binnenkort. LiveEnsure omzeilt onderschepping door een aparte verbinding voor verificatie te gebruiken, maar vertrouwt ook niet op gedeelde geheimen in browsers, apparaten of zelfs de service ervan. Als het systeem gekraakt is, zegt LiveEnsure dat de afzonderlijke stukken geen waarde hebben voor een aanvaller.
“Wat zich in onze database bevindt, zou als kerstcadeau op cd’s kunnen worden verzonden, en dat zou nutteloos zijn”, aldus Hessler. “Er gaan geen geheimen over de draad, de enige transactie is een simpel ja of nee.”
De aanpak van LiveEnsure is eenvoudiger dan het invoeren van pincodes, maar vereist nog steeds dat gebruikers met mobiele apparaten en apps spelen om in te loggen. Anderen willen het proces transparanter maken.
Toofer maakt gebruik van het bewustzijn van mobiele apparaten over hun locatie via GPS of Wi-Fi als een manier om gebruikers op transparante wijze te authenticeren – tenminste vanaf vooraf goedgekeurde locaties.
“Toopher brengt meer context in de authenticatiebeslissing om deze onzichtbaar te maken”, aldus oprichter en CTO Evan Grimm. “Als een gebruiker doorgaans thuis online bankiert, kan een gebruiker dit automatiseren om de beslissing onzichtbaar te maken.”
Automatisering is niet vereist: gebruikers kunnen desgewenst elke keer op hun mobiele apparaat bevestigen. Maar als gebruikers Toopher vertellen wat normaal is, hoeven ze alleen maar hun telefoon in hun zak te hebben en gebeurt de authenticatie transparant. Gebruikers hoeven alleen maar een wachtwoord in te voeren en al het andere is onzichtbaar. Als het apparaat zich op een onbekende locatie bevindt, moeten gebruikers dit op hun telefoon bevestigen, en als dat niet het geval is connectiviteit valt Toopher terug op een op tijd gebaseerde pincode die dezelfde technologie gebruikt als Google Authenticator.
“Toopher probeert de gebruikerservaring niet fundamenteel te veranderen”, aldus Grimm. “Het probleem met andere multifactor-oplossingen was niet dat ze geen bescherming boden, maar dat ze de gebruikerservaring veranderden en daarom belemmeringen voor adoptie opleverden.”
Je moet in het spel zijn
Wachtwoorden verdwijnen niet, maar ze zullen worden aangevuld met locaties, eenmalige pincodes, zicht- en geluidslijnoplossingen, biometrie of zelfs informatie over Bluetooth- en Wi-Fi-apparaten in de buurt. Smartphones en mobiele apparaten lijken de meest waarschijnlijke manier om meer context voor authenticatie toe te voegen.
Als je wilt spelen, moet je natuurlijk in het spel zijn. Niet iedereen heeft smartphones, en nieuwe authenticatietechnologie kan gebruikers zonder recente technologie uitsluiten, waardoor de rest van de wereld kwetsbaarder wordt voor hacks en identiteitsdiefstal. Digitale veiligheid zou gemakkelijk iets kunnen worden dat de haves onderscheidt van de have-nots.
En tot nu toe is het niet te zeggen welke oplossingen zullen winnen. Toopher en LiveEnsure zijn slechts twee van de vele spelers, en ze hebben allemaal te maken met een kip-en-ei-probleem: zonder adoptie door zowel gebruikers als diensten helpen ze niemand. Toopher heeft onlangs $ 2 miljoen aan startfinanciering binnengehaald; LiveEnsure is in gesprek met een aantal grote namen en hoopt binnenkort uit de stealth-modus te komen. Maar het is nog te vroeg om te zeggen waar iemand terecht zal komen.
Als een dienst waarop u vertrouwt enige vorm van multifactor-authenticatie biedt – of dit nu via sms, een smartphone-app of zelfs een telefoontje is – overweeg dit dan serieus. Het is vrijwel zeker een betere bescherming dan alleen een wachtwoord... ook al is het vrijwel zeker lastig.
Afbeelding via Shutterstock / Adam Radosavljevic
[Bijgewerkt op 24 maart 2013 om details over FFIEC en LiveEnsure te verduidelijken en een productiefout te corrigeren.]
Aanbevelingen van de redactie
- Hoe u gedownloade bestanden op uw iPhone of Android-smartphone kunt vinden
- Je Google One-abonnement heeft zojuist twee grote beveiligingsupdates gekregen om je online veilig te houden
- Hoe je smartphone in 2023 een professionele camera kan vervangen
- Google’s Pixel 6 is een goede smartphone, maar zal dit voldoende zijn om kopers te overtuigen?
- Google-leider zegt dat hij 'teleurgesteld' is over het nieuwe iPhone-beveiligingsprogramma van Apple
