Het einde van wachtwoorden?

Afgelopen maandag besteedde de NOS aandacht aan een groeiend probleem: wachtwoorden. We hebben er gewoon te veel, ze zijn niet veilig, kortom: we moeten er vanaf. Maar hoe dan? Welke alternatieven zijn er? Voor een rapportage van het Radio 1 programma “Nieuws en Co”  ben ik geïnterviewd over de innovaties waar SURF mee bezig is. Het interview is terug te luisteren via Nieuws & Co op Radio 1 (blok 17:00-18:00 uur, vanaf minuut 12:30). Gedurende het gesprek met de radioverslaggever bedacht ik me dat er eigenlijk best veel te vertellen was op dit gebied, meer dan er in een uitzending van een paar minuten past. Mooie aanleiding voor een blog.

Wat was ook alweer het probleem?

Eigenlijk zijn wachtwoorden heel handig: je hebt ze altijd bij je en je kunt ze niet verliezen. Ten minste als je een onfeilbaar geheugen hebt. Maar dat is natuurlijk precies het probleem: het zijn er gewoon teveel geworden om te onthouden. Het gevolg is dat we korte, eenvoudige wachtwoorden kiezen, die zijn makkelijker te onthouden. En we gebruiken dezelfde wachtwoorden voor meerdere sites, om zo onze wachtwoordsleutelbos te verkleinen.

Daarmee ondermijnen we onze online veiligheid. Eenvoudige wachtwoorden zijn makkelijk te raden, korte wachtwoorden zijn makkelijk te “kraken”. En als wordt ingebroken op een site waarbij de wachtwoorddatabase wordt buitgemaakt, is de kans groot dat veel van die wachtwoorden ook toegang geven tot andere sites. Rickey Gevers en Jeroen van Beek publiceerden vorige week de site Scattered Secrets met een verzameling databases van ontvreemde en gekraakte wachtwoorden om hiervoor aandacht te vragen.

Een feilloos geheugen en een ijzersterke discipline zijn zelfs niet genoeg om wachtwoorden veilig te houden. Je moet ook goed opletten waar je je wachtwoord gebruikt. Dat houdt in dat je altijd checkt of de site waar je inlogt gebruik maakt van een versleutelde verbinding (het “slotje” van https) en, belangrijker nog, of je met de juiste site verbonden bent (zoals deze blog behoort aan “Coöperatie SURF U.A.”), en niet met een namaak (phishing) site.

Wat doet SURF?

Duidelijk is dat wachtwoorden een probleem aan het worden zijn: ze zijn óf veilig, óf gebruiksvriendelijk, maar niet allebei tegelijk. Wat doet SURF om dat probleem op te lossen?

Federatie

Er zijn verschillende manieren om dit probleem aan te pakken, en SURF heeft een aantal daarvan al toegepast. SURFconext bij voorbeeld zorgt dat het probleem in elk geval kleiner wordt. SURFconext is een identiteitenfederatie, hetgeen betekent dat sites niet langer zelf een wachtwoord hoeven op te slaan van hun gebruikers door authenticatie uit te besteden. Een student van de Universiteit Maastricht kan inloggen bij een online uitgever als Elsevier door een wachtwoord in te voeren op een site van de Universiteit Maastricht, niet op de site van Elsevier. Communicatie tussen Elsevier en de Universiteit vind plaats via SURFconext zodat Elsevier zeker weet om welke student het gaat, maar de student hoeft geen wachtwoord te onthouden specifiek voor Elsevier. Met één wachtwoord kan de student veilig inloggen op meer dan 700 sites. Dat ene wachtwoord moet dan uiteraard wel een veilig wachtwoord zijn.

Sterke authenticatie

Naast het reduceren van het aantal wachtwoorden, is het ook mogelijk te beschermen tegen slechte wachtwoorden. Zwakke wachtwoorden kunnen worden versterkt door het toevoegen van een tweede factor: 2-factor authenticatie. Die tweede factor is typisch een apparaat (iets wat je hebt), ook wel token of authenticator geheten, of een vingerafdruk (iets wat je bent). Een uitgelekt wachtwoord kan daarmee niet worden misbruikt zonder ook het token te bemachtigen of de persoon zelf dwingen mee te werken. Dat is ook het idee achter de dienst SURFsecureID, waar gebruik kan worden gemaakt van verschillende factoren, bijvoorbeeld een YubiKey: een klein USB apparaat dat zich gedraagt als een toetsenbord met maar één toets. Door op de toets te drukken wordt een lang en eenmalig wachtwoord gegenereerd door een beveiligde chip in de YubiKey.

tiqr

Met zo’n tweede factor wordt inloggen een stuk veiliger, maar niet makkelijker. De eerste factor blijft typisch een wachtwoord, er is alleen een extra stap bijgekomen. Een andere factor die door SURF is ontwikkeld is tiqr, een app voor Android en iOS. Doel van tiqr is om traditionele tokens die eenmalige wachtwoorden genereren gebruiksvriendelijker te maken, zonder aan veiligheid  in te hoeven leveren. Daarvoor maakt tiqr gebruik van een camera, push notificaties, en een beveiligde internetverbinding. Om met tiqr in te loggen is alleen nog een PIN code of een vingerafdruk nodig. Een PIN lijkt op een wachtwoord, maar een belangrijk verschil is dat die PIN alleen lokaal wordt gebruikt en niet wordt gedeeld met een server. Die belandt dus ook niet in een database die gestolen kan worden.

Weg met wachtwoorden!

Bovenstaande oplossingen zijn de afgelopen jaren in productie gebracht door SURF, maar vormen nog geen vervanging van het wachtwoord.  Toch zijn we bezig met een aantal interessante innovaties die uiteindelijk wachtwoorden kunnen vervangen.

IRMA

IRMA staat voor I reveal my attributes, en is ontwikkeld aan de Radboud Universiteit in Nijmegen. Het idee achter IRMA is dat gebruikers middels een mobiele app op een privacy-vriendelijke manier attributen (gebruikerskenmerken zoals Naam, Woonplaats) kunnen tonen aan bij voorbeeld een website. Omdat sommige attributen niet-identificerend zijn (zoals Woonplaats) is dit een heel privacyvriendelijk alternatief voor bijvoorbeeld een DigiD login. Dat is ook de reden dat de gemeente Nijmegen volop experimenteert met IRMA: om in te loggen bij de gemeente Nijmegen om bijvoorbeeld te melden dat een afvalcontainer vol is, moest voorheen worden ingelogd met DigiD, waarbij het burgerservicenummer wordt doorgegeven aan de gemeente. De enige informatie die van belang is hierbij is echter of de gebruiker inwoner is van de gemeente Nijmegen. Met IRMA wordt alleen die informatie vrijgegeven die noodzakelijk is. Minimal Disclosure heet dat.
SURF experimenteert met IRMA als middel voor 2-factor authenticatie binnen SURFsecureID. De gebruikerservaring is vergelijkbaar met die van tiqr – alleen een PIN is vereist om te voorkomen dat onbevoegden de applicatie kunnen gebruiken, maar een wachtwoord komt er niet meer aan te pas.

Paspoort

Ook de overheid zit niet stil. Sinds kort is het mogelijk je DigiD te versterken met je paspoort. In je paspoort zit namelijk een chip waarmee je kunt authenticeren. Ook de gegevens die visueel op je paspoort staan zijn in digitale vorm beschikbaar via die chip. De chip kan draadloos worden uitgelezen via NFC, beschikbaar op bijna elke Android telefoon. Door eenmalig je paspoort te activeren kun je daarna veilig inloggen op DigiD door je paspoort tegen de NFC lezer van je toestel te houden, zonder wachtwoord (alleen een PIN). Sinds deze maand kun je in een aantal steden op deze manier online je rijbewijs verlengen, zonder daarvoor eerst langs een gemeentehuis te hoeven gaan.

Ook SURF experimenteert met Remote Document Authentication, zoals deze technologie heet, voor het verhogen van de betrouwbaarheid van online identiteiten. Vooral interessant omdat deze techniek ook internationaal werkt.

WebAuthn

Maar de meeste interessante ontwikkeling is misschien wel Web Authentication, de nieuwe standaard van het World Wide Web consortium voor het gebruik van public key tokens. Browsers die deze technologie implementeren kunnen gebruik maken van FIDO2 tokens, authenticatiemiddelen die wachtwoorden volledig kunnen vervangen, en gebruikers immuun maken voor phishing. Een voorloper van deze technologie, U2F, is al geïmplementeerd in SURFsecureID, maar nog niet in productie genomen in afwachting van browser support (U2F was lange tijd alleen beschikbaar in Chrome browsers). Browser support is essentieel, omdat de browser meehelpt in het detecteren van phishing: het token weigert dienst als geprobeerd wordt een sleutel op het token te gebruiken op een andere plek dan waar het geregistreerd is. Met Web Authentication is ondersteuning door browsers sterk verbeterd: op dit moment worden Google Chrome, Firefox, Microsoft Edge, en Opera ondersteund. Alleen ondersteuning van Apple’s Safari browser is nog onduidelijk.

FIDO 2 security keys van Yubico
FIDO 2 security keys van Yubico

De eerste FIDO2 tokens zijn inmiddels ook verkrijgbaar, waarmee volledig wachtwoordloos kan worden ingelogd. Nu nog in de vorm van een USB token die nog een PIN vereisen, maar ik verwacht snel mobiele toepassingen die gebruik kunnen maken van biometrische authenticatie zoals TouchID of FaceID. Op het moment dat gebruikers ook geen PIN of USB poort meer nodig hebben om in te loggen maar slechts hun telefoon en bijvoorbeeld een vingerafdruk, hebben we echt een veilige en gebruiksvriendelijk alternatief voor wachtwoorden.

Wat nu?

Toch zal het nog wel even duren voordat we volledig van wachtwoorden zijn verlost. Voor de meeste alternatieven die zijn genoemd worden aanpassingen in software vereist. Dat is vaak een kostbare en tijdrovende klus. Veel softwarefabrikanten zullen de kat eerst uit de boom kijken voordat ze investeren in deze technologie. Eerst maar eens zien of zo’n oplossing een doorslaand succes blijkt te zijn.

In de tussentijd kunnen we ons leven eenvoudiger proberen te maken door het gebruik van password managers, zoals 1password, keeper of lastpass. Dat is software die wachtwoorden opslaat in een kluis, zodat je ze niet meer hoeft te onthouden (en dus veel betere wachtwoorden kunt gebruiken). Toegang tot de kluis wordt geboden via een master wachtwoord (die je natuurlijk wel goed moet onthouden!). Op mobiele devices kun je meestal ook je vingerafdruk gebruiken voor het opzoeken van een wachtwoord. Ook kan een password manager je waarschuwen als je hetzelfde wachtwoord op meerdere plekken gebruikt (zoals de ingebakken wachtwoord manager op iPhones met iOS 12).

Het blijft dus nog even behelpen, en waarschijnlijk zal het wachtwoord nooit helemaal verdwijnen, maar dat er een oplossing op komst is, lijkt nu toch wel waarschijnlijker dan ooit.

Author

Joost van Dijk

Comments

Dit artikel heeft 0 reacties