Bankieren en financiële transacties, winkelen of communiceren met vrienden en familie: in het tijdperk van computers, smartphones en dergelijke vindt een belangrijk deel van het leven online plaats. Veilig inloggen op webdiensten en bescherming van de privacy spelen daarbij een bijzonder belangrijke rol. Het toenemende aantal gestolen gebruikersgegevens laat echter zien dat het invoeren van een gebruikersnaam en wachtwoord niet langer voldoende is. De nieuwe authenticatiestandaard FIDO2 maakt het al mogelijk veilig in te loggen zonder wachtwoord. In dit artikel leggen we uit hoe de nieuwe inlogprocedure werkt en welke voor- en nadelen deze heeft.
FIDO2 (“Fast Identity Online 2”) is een nieuwe internetstandaard en de wachtwoordloze doorontwikkeling van FIDO U2F. Het is bedoeld om op middellange tot lange termijn de traditionele invoer van wachtwoorden overbodig te maken.
Alle drie de termen zijn synoniemen voor de FIDO2-stick. Dit is het apparaat dat u gebruikt om u te authenticeren bij diensten. Het heeft meestal de vorm van een USB-stick of sleutelhanger.
Microsoft.com en de daarmee verbonden diensten (bijvoorbeeld Outlook.com, Office 365 en OneDrive) en Windows Hello maken al gebruik van het inloggen zonder wachtwoord. Dit vereist echter dat u de Edge-browser gebruikt. Veel andere diensten staan FIDO2 al toe als tweede factor.
Inhoudsopgave
1. hoe authenticatie werkt met FIDO2
FIDO2 is gebaseerd op het Client to Authenticator Protocol (CTAP) en de W3C-standaard WebAuthnm, die samen verificatie met behulp van cryptografische (bijvoorbeeld PIN of biometrie) of externe authenticatoren mogelijk maken. Dit kunnen bijvoorbeeld USB-sticks, wearables en zelfs mobiele apparaten zoals smartphones of tablets zijn.
Met WebAuthn kan FIDO-authenticatie worden ingeschakeld via een standaard web-API (in JavaScript), die ook in verschillende besturingssystemen en browsers is geïmplementeerd. Met CTAP kunnen de verschillende FIDO2-tokens communiceren met de desbetreffende browser en bovendien optreden als authenticator. Daartoe moeten echter zowel de gebruikte browser als de tokens via CTAP kunnen communiceren.
Goed om te weten: FIDO2-authenticatie werkt zelfs zonder extra hardware onder Windows 10 en Android vanaf versie 7, omdat deze besturingssystemen zelf als (virtuele) authenticator kunnen fungeren. Op macOS werkt het alleen in combinatie met Google Chrome. In de huidige bètaversie van iOS 13.3 ondersteunt Safari nu ook de nieuwe inlogstandaard.
Met de FIDO2-sleutel identificeer je jezelf bij een betrouwbare WebAuthn-tegenhanger (de zogenaamde FIDO2-server), die meestal bij een website of een webapplicatie hoort. Afhankelijk van de implementatie van de dienst kunt u kiezen uit twee verschillende opties:
Bij one-factor authenticatie heb je alleen de authenticator (bijvoorbeeld de USB-stick) nodig om in te loggen, terwijl je bij two-factor authenticatie ook een pincode of wachtwoord moet invoeren.
Goed om te weten: FIDO2 werd gelanceerd door de niet-commerciële FIDO Alliance, die in 2012 werd opgericht door Lenovo, PayPal, Infineon, Nok Nok Labs, Validity Sensors en Agnitio. Een jaar later sloten ook Google, NXP en Yubico zich aan. Het doel van de belangenalliantie is het ontwikkelen van open en licentievrije industriestandaarden voor wereldwijde authenticatie op het internet.
Wat zijn de voor- en nadelen van FIDO2 in vergelijking met andere authenticatiemethoden?
Heel duidelijk: wachtwoorden vormen op zich al een enorm veiligheidsrisico. FIDO2 versleutelt standaard de aanmelding met een sleutelpaar (publiek en privé) en in vergelijking met een “normale” wachtwoordauthenticatie biedt FIDO2 aanzienlijk minder aanvalsoppervlak voor hackers. Als iemand toegang wil krijgen tot uw gebruikersaccounts, moet hij eerst uw token bemachtigen. Ontgrendeling kan alleen via het geregistreerde apparaat. Veiligheidsrisico’s zoals wachtwoorddiefstal behoren daarmee praktisch tot het verleden.
Het FIDO-token kan ook gebruikt worden voor verschillende webdiensten. Zo hoef je niet langer talloze verschillende wachtwoorden te onthouden, maar kun je gewoon inloggen met een klik, steminvoer of door het inpluggen van hardware. Maar, zoals reeds vermeld, met bepaalde besturingssystemen kan de authenticatie ook volledig zonder externe hardware gebeuren. Dit maakt het inlogproces niet alleen handiger en sneller, maar bespaart ook ruimte aan de sleutelbos.
Momenteel nog niet beschikbaar voor alle webdiensten
Ondanks alle voordelen heeft FIDO2 ook enkele nadelen die we hier willen vermelden. Ten eerste zijn er nog maar weinig webdiensten die de nieuwe vorm van authenticatie aanbieden. Daarnaast zijn er de aanschafkosten voor de externe authenticator, die snel erg duur kunnen worden, vooral in bedrijven waar elke werknemer zijn eigen token nodig heeft.
Een ander probleem: als je FIDO2 wilt implementeren als onderdeel van een twee-factor authenticatie, moet je nog steeds een pincode of wachtwoord invoeren. Als u meerdere keren per dag bij verschillende diensten moet inloggen, kan dit op den duur een zeer vervelende taak worden.
3 FIDO2 in de praktijk: diverse toepassingsvoorbeelden
FIDO2 staat momenteel nog in de kinderschoenen, maar deskundigen verwachten dat alle online diensten de standaard vroeg of laat zullen ondersteunen. Op dit moment bieden Facebook, Twitter, GitHub en BoxCryptor al ondersteuning voor FIDO2. Gebruikers van Microsoft-diensten kunnen zelfs zonder wachtwoord inloggen. De webdiensten van Microsoft zijn tot nu toe ook de enige die naast tweefactorauthenticatie ook webauthn aanbieden voor wachtwoordloos inloggen.
Bovendien is authenticatie al mogelijk met Chrome, Edge, Firefox, Windows en Android. Alleen Apple schiet zoals gewoonlijk over en sleutelt aan zijn eigen oplossing genaamd “Login with Apple”. Maar vroeg of laat zullen ze waarschijnlijk ook hier moeten buigen voor de nieuwe standaard.
Zo zou het werken met FIDO2 er in de toekomst uit kunnen zien
- Voor Windows login gebruik je een FIDO token (bijvoorbeeld de YubiKey van Yubico), die je aansluit op een USB poort van je PC. Je wordt ingelogd door kort op de touch-knop te drukken. Andere denkbare scenario’s zijn het ontgrendelen van Windows via een smartphone of smartwatch, met behulp van een externe vingerafdruklezer of via gezichtsherkenning met behulp van de camera.
- Inloggen bij Facebook, Amazon, Google en Co. zal in de toekomst gebeuren via een vingerafdruk op een compatibele Android-smartphone.
- U kunt bijvoorbeeld ook een beveiligingssleutel koppelen aan uw KeePass-account . Deze kan dan met behulp van de sleutel eenvoudig via je smartphone worden ontgrendeld, zonder dat je extra hoeft in te voeren.
Tip: Op de website webauthn.io kunt u zich op testbasis registreren en inloggen via webauthn en zo de nieuwe webauthenticatie volgens de W3C-specificatie vooraf testen.
Een diepere bespreking van FIDO2 vindt u in de volgende video: