Google-onderzoekers binden strijd aan met wachtwoorden

Beide auteurs geven zelf de voorkeur aan een systeem dat berust op een USB-achtige hardwarecomponent met versleutelde gebruikersgegevens in combinatie met een passende webbrowser die de bezoeker authenticeert met behulp van twee speciale applicatieprogramma-interfaces (API’s). De eindgebruiker hoeft geen speciale software op zijn pc te installeren, maar moet wel een webbrowser hebben die compliant is met het voorgestelde authenticatiesysteem.
Registratie vooraf bij website vereist
Om de websites en webdiensten binnen te komen, dient de gebruiker zich vooraf met zijn USB-stick te registreren. Eén van de beide API’s wordt aangeroepen tijdens het registratieproces. Daardoor maakt de USB-stick twee digitale sleutels aan: een private en een publieke. De publieke sleutel wordt teruggestuurd naar de website.
Tijdens de authenticatie roept de website de tweede API aan. De USB-stick wordt geconfronteerd met een ‘uitdaging’ en moet een digitaal ondertekend antwoord terugsturen voordat de gebruiker tot de website wordt toegelaten.
USB-device zou ook ring of smartphone kunnen zijn
Het benodigde USB-device zou eventueel ook een andere fysieke vorm kunnen hebben, bijvoorbeeld een ring of ander sieraad dat de gebruiker altijd bij zich draagt en in een USB-connector past. Ook integratie in een smartphone behoort tot de mogelijkheden. Dat zou het bezwaar ondervangen dat de gebruiker de stick vergeet als hij op pad gaat of die zelfs kwijtraakt. Dezelfde ring volstaat om met een simpele muisklik op allerlei online-accounts in te loggen.
Ook een nieuwe computer kan met behulp van een vooraf geregistreerde smartphone worden geauthenticeerd om de websites en webservices te gebruiken. De telefoon krijgt van de website een code toegestuurd die toegang tot de sites geeft.
Welslagen is afhankelijk van brede acceptatie
Grosse en Upadhyay erkennen dat hun plan ‘speculatief’ is en dat het welslagen afhangt van de bereidheid tot acceptatie op brede schaal. Met nadruk zeggen ze dat registratie van het benodigde USB-device bij websites simpel kan verlopen en niet afhankelijk moet zijn van Google. De vereiste protocollen voor registratie en authenticatie dienen vrij beschikbaar te zijn, vinden ze.
Helemaal hackerproof is de methode niet, erkennen de Google-onderzoekers. Het komt nu al voor dat hackers een wachtwoord stelen, daarmee inbreken in een account en vervolgens een 2-factorauthenticatie configureren met behulp van hun eigen telefoonnummer. Dat vertraagt volgens de onderzoekers het heroveren van de account door de rechtmatige eigenaar.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee