Overslaan en naar de inhoud gaan

Google-onderzoekers binden strijd aan met wachtwoorden

Volgens onderzoekers Eric Grosse en Mayank Upadhyay is het hoog tijd om “de ingewikkelde regels voor wachtwoorden achter ons te laten en naar iets beters om te zien”. Zij dragen alternatieven aan in een artikel dat eind deze maand in het vakblad IEEE Security & Privacy wordt gepubliceerd. Dat meldt de website van het Amerikaanse tijdschrift Wired in het artikel "Google verklaart de oorlog aan het wachtwoord".
Business
Shutterstock
Shutterstock

Beide auteurs geven zelf de voorkeur aan een systeem dat berust op een USB-achtige hardwarecomponent met versleutelde gebruikersgegevens in combinatie met een passende webbrowser die de bezoeker authenticeert met behulp van twee speciale applicatieprogramma-interfaces (API’s). De eindgebruiker hoeft geen speciale software op zijn pc te installeren, maar moet wel een webbrowser hebben die compliant is met het voorgestelde authenticatiesysteem.

Registratie vooraf bij website vereist

Om de websites en webdiensten binnen te komen, dient de gebruiker zich vooraf met zijn USB-stick te registreren. Eén van de beide API’s wordt aangeroepen tijdens het registratieproces. Daardoor maakt de USB-stick twee digitale sleutels aan: een private en een publieke. De publieke sleutel wordt teruggestuurd naar de website.

Tijdens de authenticatie roept de website de tweede API aan. De USB-stick wordt geconfronteerd met een ‘uitdaging’ en moet een digitaal ondertekend antwoord terugsturen voordat de gebruiker tot de website wordt toegelaten.

USB-device zou ook ring of smartphone kunnen zijn

Het benodigde USB-device zou eventueel ook een andere fysieke vorm kunnen hebben, bijvoorbeeld een ring of ander sieraad dat de gebruiker altijd bij zich draagt en in een USB-connector past. Ook integratie in een smartphone behoort tot de mogelijkheden. Dat zou het bezwaar ondervangen dat de gebruiker de stick vergeet als hij op pad gaat of die zelfs kwijtraakt. Dezelfde ring volstaat om met een simpele muisklik op allerlei online-accounts in te loggen.

Ook een nieuwe computer kan met behulp van een vooraf geregistreerde smartphone worden geauthenticeerd om de websites en webservices te gebruiken. De telefoon krijgt van de website een code toegestuurd die toegang tot de sites geeft.

Welslagen is afhankelijk van brede acceptatie

Grosse en Upadhyay erkennen dat hun plan ‘speculatief’ is en dat het welslagen afhangt van de bereidheid tot acceptatie op brede schaal. Met nadruk zeggen ze dat registratie van het benodigde USB-device bij websites simpel kan verlopen en niet afhankelijk moet zijn van Google. De vereiste protocollen voor registratie en authenticatie dienen vrij beschikbaar te zijn, vinden ze.

Helemaal hackerproof is de methode niet, erkennen de Google-onderzoekers. Het komt nu al voor dat hackers een wachtwoord stelen, daarmee inbreken in een account en vervolgens een 2-factorauthenticatie configureren met behulp van hun eigen telefoonnummer. Dat vertraagt volgens de onderzoekers het heroveren van de account door de rechtmatige eigenaar.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Melden als ongepast

Door u gemelde berichten worden door ons verwijderd indien ze niet voldoen aan onze gebruiksvoorwaarden.

Schrijvers van gemelde berichten zien niet wie de melding heeft gedaan.

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in