Wachtwoorden sterven niet uit
Vorig jaar waren er nieuwsartikelen die op internet circuleerden en die beweerden dat grote technologiebedrijven de krachten bundelden om wachtwoorden te elimineren. Sommige startups verklaarden zelfs dat wachtwoorden verouderd en ouderwets waren.
Founder
Introductie
Vorig jaar waren er nieuwsartikelen die op internet circuleerden en die beweerden dat grote technologiebedrijven zoals Apple, Google en Microsoft de krachten bundelden om wachtwoorden te elimineren. Sommige startups verklaarden zelfs dat wachtwoorden verouderd en ouderwets waren. Na maandenlang onderzoek in het domein van identiteitsbeheer begon ik de geldigheid en praktische bruikbaarheid van deze beweringen in twijfel te trekken.
Wat doet een wachtwoord?
Op het eerste gezicht lijkt het antwoord duidelijk: wachtwoorden worden gebruikt voor inloggen en het verifiëren van identiteiten. Echter, ik heb een andere kijk hierop als je bedenkt dat wachtwoorden niet echt kunnen verifiëren wie je bent:
- Wanneer een gebruiker zich aanmeldt op een website met een e-mail en wachtwoord, heeft de website geen manier om de daadwerkelijke persoon achter die inloggegevens te bevestigen. Het zou een mens kunnen zijn of zelfs een kat.
- Iedereen kan een iPhone ontgrendelen met de juiste pincode.
In werkelijkheid is het doel van een wachtwoord om anoniem het eigendom van iets te bewijzen: een gebruikersaccount, een apparaat, of toegang tot een deur.
De huidige “wachtwoordverdelgers”
De eerder genoemde bedrijven hebben verschillende "wachtwoordverdelgers" voorgesteld. Velen beweren veiligere alternatieven te zijn die de noodzaak voor gebruikers om complexe, statische wachtwoorden te onthouden, tijdens authenticatie elimineren. Echter, de meeste van deze alternatieven zijn niet geheel praktisch om wachtwoorden volledig te verwijderen.
FIDO-authenticatie
FIDO (Fast Identity Online) authenticatie, zoals uitgelegd in de officiële documentatie, gebruikt technieken van publieke sleutel cryptografie voor registratie en inloggen (het is het vermelden waard dat WebAuthn een kerncomponent is van de FIDO2 specificaties). Op het eerste gezicht lijkt het proces aantrekkelijk:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M194.297%2c35L198.464%2c35C202.63%2c35%2c210.964%2c35%2c218.63%2c35C226.297%2c35%2c233.297%2c35%2c236.797%2c35L240.297%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M470.625%2c35L474.792%2c35C478.958%2c35%2c487.292%2c35%2c494.958%2c35C502.625%2c35%2c509.625%2c35%2c513.125%2c35L516.625%2c35'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M767.391%2c35L771.557%2c35C775.724%2c35%2c784.057%2c35%2c791.724%2c35C799.391%2c35%2c806.391%2c35%2c809.891%2c35L813.391%2c35'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(101.1484375%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='186.296875' y='-27' x='-93.1484375' style='' class='basic label-container'/%3e%3cg transform='translate(-63.1484375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='126.296875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eRegistratie Begint%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(357.4609375%2c 35)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='226.328125' y='-27' x='-113.1640625' style='' class='basic label-container'/%3e%3cg transform='translate(-83.1640625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='166.328125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eGebruikersgoedkeuring%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(644.0078125%2c 35)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='246.765625' y='-27' x='-123.3828125' style='' class='basic label-container'/%3e%3cg transform='translate(-93.3828125%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='186.765625'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eNieuwe Sleutel Gecre%c3%aberd%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(875.859375%2c 35)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='116.9375' y='-27' x='-58.46875' style='' class='basic label-container'/%3e%3cg transform='translate(-28.46875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='56.9375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eVoltooid%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Eenvoudig, toch? Helaas is er een significante hindernis: compatibiliteit. Vergeleken met de traditionele combinatie van "identificator en wachtwoord" vereist FIDO-authenticatie:
- Websites of apps die FIDO ondersteunen.
- Browsers en/of besturingssystemen die FIDO ondersteunen.
- Gebruikersapparaten met een gebruiksvriendelijk verificatiemechanisme.
Als aan een van deze vereisten niet wordt voldaan, is FIDO-authenticatie niet beschikbaar, wat een terugvalmethode noodzakelijk maakt.
Bovendien, zelfs als aan alle voorwaarden is voldaan, wat kwalificeert als een "gebruiksvriendelijk verificatiemechanisme" op een apparaat? Momenteel kan het gaan om biometrische methoden zoals vingerafdruk- of gezichtsherkenning, vergezeld van een terugvaloptie zoals een pincode, oftewel een wachtwoord. Uiteindelijk komen we daarmee weer terug bij af.
Technisch gezien is het geen "wachtwoordverdelger" maar eerder een veiligere en gebruiksvriendelijke authenticatie- of verificatieprocedure die beschermd wordt door wachtwoorden.
Eenmalig wachtwoord
Hoewel de naam het woord "wachtwoord" bevat, zijn eenmalige wachtwoorden (OTPs) geen traditionele wachtwoorden aangezien ze dynamisch zijn. Er zijn twee populaire soorten OTPs:
- Tijdgebaseerd Eenmalig Wachtwoord (TOTP): Wordt algoritmisch gegenereerd met de huidige tijd als bron van uniciteit. Het wordt vaak gebruikt in Multi-factor Authenticatie (MFA) of 2FA.
- SMS/E-mail Eenmalig Wachtwoord: Wordt gegenereerd op de server met willekeurige algoritmes. In sommige landen is het breed geadopteerd als primaire inlogmethode.
TOTPs zijn bij naam misschien niet zo algemeen bekend. Bijvoorbeeld, wanneer een website je vraagt om MFA in te stellen en een app zoals Google Authenticator of Duo te gebruiken om een QR-code te scannen, gebruik je hoogstwaarschijnlijk TOTP. Je hebt misschien ook gemerkt dat de website vaak een lange "herstelsleutel" toont en je adviseert deze op te slaan omdat deze maar één keer wordt getoond. Sommige websites moedigen gebruikers zelfs aan om deze op papier af te drukken. In wezen functioneert deze herstelsleutel als een lang wachtwoord.
Wat betreft SMS/E-mail OTPs, ze kunnen duur en onbetrouwbaar zijn:
- Het bouwen van een SMS- of emailverzender vanaf nul vereist instelling.
- E-mailverzenders moeten een positieve "reputatie" opbouwen om de bezorgbaarheid te verbeteren, anders kan de verzender gemarkeerd worden als spam.
- Elk land heeft zijn eigen mobiele netwerkoperators, wat leidt tot onvoorspelbare levertijden en aanzienlijke kosten voor het verzenden van SMS, vooral voor startups.
Biometrie
De term "biometrisch" verwijst naar het gebruik van alleen biometrische methoden voor online authenticatie. Feitelijk is er een fundamenteel verschil vergeleken met andere methoden: biometrische authenticatie verplaatst de oorspronkelijke taak van "het eigendom van iets bewijzen" naar "bewijzen wie je bent". Vanwege privacyzorgen worden biometrische methoden voornamelijk gebruikt voor lokale authenticatie.
Wachtwoorden zijn echter niet perfect
Zoals we kunnen zien, verbergen "wachtwoordverdelgers" in wezen wachtwoorden of gebruiken ze wachtwoorden als terugvalopties. Hier is een samenvatting van de voordelen van wachtwoorden op basis van onze discussie:
- Toegankelijkheid en compatibiliteit: Wachtwoorden kunnen worden gebruikt in verschillende systemen en zijn toegankelijk voor een breed scala aan gebruikers.
- Kosteneffectiviteit en veelzijdigheid: Wachtwoord-gebaseerde authenticatie is over het algemeen kosteneffectiever dan andere methoden en aanpasbaar aan verschillende scenario's.
- Anonimiteit en privacy: Wachtwoorden maken anoniem gebruik mogelijk en beschermen de privacy van gebruikers.
Maar elke medaille heeft twee kanten. Hoewel wachtwoorden hun voordelen hebben, brengt het uitsluitend vertrouwen op wachtwoorden voor authenticatie aanzienlijke kwetsbaarheden met zich mee. Ze kunnen moeilijk te beheren zijn voor eindgebruikers en als website-eigenaren geen goede beveiligingspraktijken volgen, worden wachtwoorden gemakkelijk te omzeilen. Gevaarlijke beveiligingspraktijken zijn onder andere, maar niet beperkt tot:
- Het toestaan van zwakke of gelekte wachtwoorden.
- Het niet afdwingen van HTTPS voor verbindingen.
- Het gebruik van onveilige hashing-algoritmen.
- Het niet strikt naleven van beproefde standaarden zoals OAuth of OpenID Connect (OIDC).
- Het blootstellen van de database aan het publiek.
Conclusie
Ik ben niet van plan om een van de hierboven genoemde authenticatiemethoden te ondermijnen. Integendeel, terwijl ik werk aan het bouwen van Logto, heb ik groot respect ontwikkeld voor deze opmerkelijke authenticatiemethoden en de mensen achter hen.
Desalniettemin is het bereiken van 100% veiligheid een onhaalbaar doel. Wat we kunnen nastreven is het verminderen van de kans op aanvallen. Een effectieve benadering is om wachtwoord-gebaseerde authenticatie te combineren met eenmalige wachtwoorden gebaseerd op het huidige apparaat of de huidige omgeving, wat een extra verificatielaag toevoegt en breed is geadopteerd. Door de sterke punten van verschillende authenticatietechnieken te benutten, kunnen we een gelaagde benadering creëren die sterkere bescherming biedt.
Tot slot, in plaats van de focus te leggen op modewoorden zoals "wachtwoordverdelger" wanneer wachtwoorden niet echt worden geëlimineerd, zou het waardevoller zijn om te concentreren op het evenwicht tussen beveiliging en gebruikservaring. Dit houdt in dat de sterke en zwakke punten van verschillende authenticatiemethoden worden begrepen en geïmplementeerd op een manier die zowel de beveiliging van gebruikersgegevens als een soepele gebruikerservaring waarborgt.