Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Er zijn alternatieven voor het wachtwoorddilemma

 

Expert

Marcel Kuiken
Senior account manager, Qi ict BV. Expert van voor het topic .

Vorige week las ik een interessant artikel over alternatieve authenticatiemethodes. Statische wachtwoorden zijn geen lang leven meer beschoren.

Ieder van ons wordt dagelijks geconfronteerd met loginprocedures die een gebruikersnaam en wachtwoord vereisen. En waar sommigen onder ons aanvankelijk nog creatief zijn in het bedenken van een sterk wachtwoord dat allerhande onleesbare tekens en hoofdletters bevat, geven we er bij het aanmaken van account x al gauw de brui aan. Dus hergebruiken we vaak hetzelfde wachtwoord. Uit gebruiksgemak. Omdat jouw wachtwoorden voor jouw online accounts neerpennen in een schriftje onveilig is. En je dat schriftje ook niet steeds bij de hand hebt. En het oervervelend is als je
snel even iets wil bekijken of bestellen tot de vaststelling moet komen dat je na drie pogingen dat ene wachtwoord echt wel vergeten bent.

Op zoek gaan naar alternatieven dus. En dan lees ik allerlei voorstellen die voor de gewone eindgebruiker als sciencefiction in de oren klinken: vingerafdrukken, retinascans, ingebouwde camera’s of apps voor gezichtsherkenning… Klinkt allemaal heel mooi, maar behoeft een gewone webshop die schoenen wil verkopen zulke spitstechnologie? En hoe zal de consument die op zoek is naar een paar leuke zomersandaaltjes zich voelen als zij eerst haar vingerafdruk moet laten scannen? En wat als je vrouwlief even wil vragen iets voor jou te bestellen als jij van huis bent? Je vinger afhakken is nogal drastisch nietwaar?!

Doel voorbij schieten

Innovatie is geweldig en moet er zijn, maar mag zijn doel ook niet voorbij streven. Consumenten willen nu eenmaal gewoon snel en makkelijk een bestelling kunnen plaatsen, een transactie uitvoeren of zich inschrijven op een website. Liefst zonder een ellenlang stappenplan te doorlopen. Dit wil echter niet zeggen dat consumenten niet bezorgd zijn om de beveiliging van hun gegevens. Dat zijn we allemaal wel. Maar het mag niet complex zijn en niet teveel tijd in beslag nemen. Belangrijk is ook dat de beveiliging zowel gebruikt kan worden op pc en laptop, maar ook op tablet en je mobieltje. Keep it simple is dus de boodschap. Gebruiksgemak is een prioriteit. Ik wil graag altijd en overal vanop eender welk toestel mijn online accounts raadplegen. Zonder dat ik daarvoor complexe procedures moet doorlopen.

Twee-factorauthenticatie biedt een adequate oplossing. Een toestelletje of mobiele app kunnen in een handomdraai een dynamisch wachtwoord genereren. Zulke wachtwoorden kunnen slechts een keer worden gebruikt en zijn beperkt geldig. Gedaan dus met zelf wachtwoorden te verzinnen, te onthouden en opnieuw te vergeten. Het voordeel is ook dat zo’n authenticator werkt met alle toestellen die een internetverbinding hebben, of het nu gaat om een tablet, desktop, netbook of gsm. De huidige authenticatie-applicaties die je kan downloaden voor je gsm werken heel eenvoudig en vereisen geen ingewikkelde handelingen van de gebruiker. Sommige werken zelfs met een QR-code-scanner waarbij je simpelweg de code scant om op een beveiligde manier toegang te krijgen tot je account.

Allemaal goed en wel hoor ik je denken, maar de applicatie die ik dagelijks gebruik biedt die mogelijkheid niet. Wat als ik nou wel sterke authenticatie wens, maar de website dit niet aanbiedt? Daar sta je dan mooi met je mobiele app hoor ik je al zuchten. Maar ook daar zijn oplossingen
voor. Sommige securitybedrijven bieden de mogelijkheid om online toepassingen naar keuze toe te voegen op hun authenticatieplatform. Zo'n platform laat de gebruiker alvast toe om hun inloggegevens op een beveiligde manier op te slaan, zelfs al maakt de website in kwestie nog
geen gebruik van authenticatie.

Wachtwoordenkluis

Zo kan je alsnog je wachtwoorden ‘vergeten’ omdat zij als het ware in een wachtwoordkluis worden bewaard. Bovendien kan je je simpele wachtwoord dan veranderen naar een complexe combinatie van hoofdletters, speciale karakters, cijfer- en lettertekens met een lengte van dertig karakters. Op die manier zorg je er alvast zelf voor dat je de beveiliging verhoogt. Je wachtwoord is immers niet zo makkelijk meer te achterhalen en je kan voor elke toepassing een nieuw wachtwoord bedenken. Zo beperk je de kans op schade moest iemand er toch in slagen om een van jouw wachtwoorden te onderscheppen.

Een ander voordeel om te kiezen voor het gebruik van een degelijk authenticatieplatform is dat jouw data op een geëncrypteerde manier worden opgeslagen. Dit betekent dat ook de toegang tot je wachtwoordkluis beveiligd is. Je kan deze kluis bovendien overal en altijd raadplegen, wat niet het geval is als je ervoor kiest om wachtwoorden op te slaan in je browser. Want dan ben je reddeloos verloren als je pc crasht. Te mooi om waar te zijn? Toch niet. Beveiliging hoeft niet noodzakelijk een
hindernis te zijn en kan zelfs je online leven aanzienlijk vergemakkelijken. Neem maar eens een kijkje op www.mydigipass.com.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4770030). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Marcel,

interessant, kun je wat meer vertellen over de encryptie?
Wat voor mechanismen etc.

Ik zie dit als een zeer uitgebreide advertentie, die niet eens waar maakt wat juiste de bedoeling zou moeten zijn:
Any device?? Ik zie alleen iets voor de iPhone en Android.

Klinkt handig. Maar wat als een persoon met slechte bedoelingen jouw mydigipass.com wachtwoord achterhaalt? Dan heeft hij niet toegang tot 1 website maar direct alles wat in je 'kluis' zit.

En het voorbeeld wat je zelf aandraagt: Je vrouw vraagt je om iets te bestellen...? En nu: iemand doet alsof jouw vrouw (of jij) dat aan hem/haar vraagt.... en de kosten gaan (met hetzelfde mechanisme) naar jouw rekening?

Ik zie het probleem niet opgelost met twee-factor security (of in elk geval komt dat niet in je stuk terug).

@EPD bij het profiel van Marcel Kuiken staat dat hij sales manager is !

Er zijn al vaker dergelijke oplossingen via Computable 'geadverteerd'
Ook hier wordt elke keer vergeten dat ict meer is dan een paar kantoor applicaties en web-flauwekul.
Er bestaat vast wel een slimme smartfoon app te verzinnen die al je wachtwoorden versleuteld kan onthouden, en er ook een paar nieuwe kan verzinnen.

@Marcel, je schrijft leuk en ik ben geprikkeld om door te lezen. Naast wat slimme reacties ook nog een paar aanvullingen.

De eerste: Kies een andere profiel foto! Deze doet je echt geen eer aan.

Ik ben fan van 2-factor en gebruik het bij veel diensten, maar je account alleen beveiligen met 2-factor werkt niet! Veel API's waarmee je met diensten praat moeten namelijk ook met de dienst kunnen praten als je niet achter een computer zit!

Een 2e ding wat ik zie is dat ook de processen om je wachtwoord te herstellen en 2-factor uit te zetten goed beveiligd moeten worden! Ik ga geen modder gooien, maar er zijn diensten door de mand gevallen die dat niet goed op orde hadden. Bij 2 factor heb je altijd een "lost phone?" proces nodig.

Ik gebruik zelf een combinatie van een password manager en 2 factor authentication, maar ik kan niet zeggen dat dit "af" is. Ik ben er echter wel voorstander van dat je data beter beveiligd dan je buurman, en in dat opzicht is het weer een goed artikel dat je aan de bewustwording werkt.

Er zijn vele paswoord kluis programma's.
Dit artikel lijk erg veel op een reclame boodschap voor dit specifieke product.
Leg liever eens uit hoe zoiets dan werkt en zo.

Ik moet wel zeggen dat ik iedereen een paswoord kluis kan aanraden.
(Als je een goede kiest) Kan dat je leven een heel stuk vergemakkelijken.

Het grootste voordeel van zo een app vind ik dat de app al je log in's voor je bijhoud, en ook voor jou alles automatisch invult als je dat wilt.
wat wel erg belangrijk is bij deze apps, is dat als je je hoofd paswoord vergeet, kom je nergens meer bij.
Daarnaast is het zeer belangrijk om je hoofd paswoord regelmatig te veranderen.
Kijk ook eens naar de filmpjes op de site van zo een paswoord-kluis aanbieder.
daar wordt e.e.a. een stuk duidelijker van.

Andere vergelijkbare apps met een wat langere reputatie zijn bv Roboform http://www.roboform.com of Lastpass http://www.lastpass.com

Bekijk ook deze vergelijiings test eens van PCmagazine:
http://www.pcmag.com/article2/0,2817,2407168,00.asp
Of PCworld
http://www.pcworld.com/article/208113/Best_Password_Managers_Top_4_Reviewed.html

Beide tests tonen Lastpass als eerste keus.
Lastpass kan ook in het Nederlands gebruikt worden.

Zelf gebruik ik Lastpass, waarvan de gratis versie al goed te gebruiken is. de betaalde versie bed ook smartphone apps aan.
Versleuteling gebeurd lokaal, de opslag op de Lastpass server.
de app bied vele mogelijkheden, zoals one-time paswoord en genereerd ook een paswoord voor je als je dat wil.

Een paswword kluis is zeker een handige optie om met de vele logims van tegenwoordig om te kunnen gaan.

Hoe zoiets werkt kan je o.a. hier bekijken:
Dan kan je voor je zelf eens bekijken of zoiets ook nuttig voor jou kan zijn.

(dit is de website van een (zeer goede) van vele paswoordkluis aanbieders)

https://lastpass.com/support_screencasts.php?feature=basic

Via deze link start er meteen een filmpje wat in een nogal hoog tempo door de mogelijkheden van het programma heen vliegt.
dat zijn er veel, want dit programma heeft zeer veel mogelijkheden.
Maar als je het filmpje afsluit, eindig je op een pagina waar per functie een filmpje staat. Deze zijn interessant om te kijken.

Ik begrijp niet waarom er een wachtwoord nodig is als ik een paar sandalen wil bestellen, ik heb dat toch ook niet nodig als ik die bij Scapino koop?

Nu wees oud-parlementarier Arda Gerkens tijdens Alt-S al op de vele webformulieren die onnodig veel persoonlijke informatie vragen en waarvan de beveiliging vaak slecht geregeld, terwijl de Wet Bescherming Persoongegevens toch duidelijke verplichtingen stelt zoals:

- rechtmatige grondslag voor het gebruik van de persoonsgegevens
- inzagerecht en correctiemogelijkheid voor de gebruiker
- melding van de gegevensverwerking bij het CBP
- beveiliging van de persoonsgegevens

Als we het over doel voorbij schieten hebben zouden we het dus ook om kunnen draaien want aantal benodigde wachtwoorden zou al drastisch verlagen als niet iedere website persoonsgegevens bij zou houden. In reactie op een opinie van Cordny over OAuth 2.0 zei ik trouwens dat business case voor sterke authenticatie als eerste vanuit de vraag moest komen.

Tenslotte vereisen heel veel services namelijk helemaal geen sterke authenticatie, wachtwoorden zijn goed genoeg welke je kunt onthouden of opslaan binnen je browser. Deze bieden namelijk ook een optie om niet alleen de opgeslagen wachtwoorden te synchroniseren naar andere apparaten maar ook de bladwijzers. En voor wat betreft: "Want dan ben je reddeloos verloren als je pc crasht." hebben we dus een back-up.

Reagerend op Ewout Dekkinga,

Om online iets te bestellen is het inderdaad niet nodig een gebruiker, en dus een paswoord aan te maken.
De enige reden dat sites dit doen, is om jou te kunnen bereiken met reclame boodschappen waar je niet op zit te wachten.

een betere reden dat veel online forums je een gebruiker en wachtwoord aan laten maken, is om een drempel op te werpen tegen de grote hoop onzin die er gedurende het ontstaan van dergelijke sites geplaatst werd, waarbij zelfs complete ruzies uitgevochten werden op zulke sites, om maar niet te zwijgen van scheld kanonnades en beledigende commentaren.
dat is nu ook de reden dat anonieme commentaren hier bij Computable niet direct geplaatst worden, maar eerst beoordeeld worden door de reactie.
Alleen als je als een geregistreerde gebruiker ingelogd bent, wordt je commentaar direct geplaatst.
Mocht zo een gebruiker toch onzin blijken te plaatsen, kan hij geblokkeerd worden in het systeem.
het is geen echt waterdichte methode, maar toch een eerste drempel.
En natuurlijk kan ook deze registratie gebruikt worden om reclame te sturen.

Ik denk dat 2-factor authenticatie steeds meer toegepast zal worden. Dit wordt inderdaad nog niet overal ondersteund. Waar het wel kan zou ik het aanzetten. Met name gmail.com en outlook.com aangezien dat ook geliefde sites zijn bij hackers, en dat mailboxen vaak weer passwords bevatten naar andere sites.

Voor Apps die het account gebruiken voor API toegang en nog geen 2-factor begrijpen kun je ook specifieke App passwords genereren via desbetreffende sites, zodat elke App een ander password krijgt (wat lang en moeilijk is).

In de tussentijd is voor toegang tot veel verschillende websites een password-safe een goed alternatief. Waarbij LastPass naar mijn idee een van de bekendste is.
Echter leidt dat ook weer tot een single-point-of-failure, zoals al geconstateerd.

Tip daarbij is om een long memorable password te gebruiken, die niet zozeer ingewikkeld is, maar vooral lang, om brute force attacks een stuk lastiger te maken. Dit zou je ook kunnen toepassen ipv een password-safe.

XKCD had hier een mooie strip over en dat heeft zelfs geleid tot een password creatie tool :-)
Zie http://lifehacker.com/5830355/xkcd-password-generator-creates-high+security-easy+to+remember-passwords

Ben ook benieuwd naar de mening van anderen mbt de validiteit van het mechanisme, aangezien er wel discussie is mbt gevoeligheid voor dictionary attacks.

Op deze link https://www.grc.com/haystack.htm kun je zien wat het effect is van je password policy op de search space.
Geeft wel leuke inzichten mbt kortere moeilijke passwords vs. langere "eenvoudige" passwords.

vingerafdruk humor voor de NSA...

https://lh5.googleusercontent.com/-hkT03ojFFi0/UjNblbH2W1I/AAAAAAAAE_U/tht7pgSbM9E/w721-h513-no/Finger+print.jpg

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×