Experts maken geen deel uit van de redactie. Zij vertegenwoordigen dus niet het redactionele gedachtegoed van Computable.

Wachtwoorden zijn bij Google passé

22-01-2013 13:20 | Door Cordny Nederkoorn | Lees meer artikelen over: Authenticatie, Social media | Er zijn 14 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Computable Expert
Cordny Nederkoorn
Cordny Nederkoorn

QA engineer

Expert van Computable voor de topics: Development, Cloud Computing en Security

Meer

Volgens het technologiemagazine Wired heeft Google het wachtwoord de oorlog verklaard. Het wachtwoord is heden ten dage te zwak als instrument van digitale veiligheid Google en andere it-bedrijven zijn al jaren bezig alternatieven voor het wachtwoord te vinden. Naast Yubico, bekend van de Yubikey usb security token, zijn er ook andere alternatieven die al veel gebruikt worden. In dit artikel beschrijf en beoordeel ik OAuth2.0 als alternatief met de bijbehorende voor- en nadelen.

Een voorbeeld van een alternatief voor wachtwoorden is het gebruik van open identity internetprotocollen bij identificatie van gebruikers van social networks. OpenID en Oauth zijn hier bekende voorbeelden van. Deze protocollen gebruiken geen wachtwoorden, maar tokens, om online gebruikers zich te laten identificeren op bijvoorbeeld social networks.

OAuth2.0 is een open standaard voor autorisatie. Gebruikers kunnen zo een programma/website toegang geven tot hun gegevens, zonder vermelding van gebruikersnaam en wachtwoord. In plaats daarvan wordt met tokens gewerkt die een bepaalde geldigheidsduur hebben en toegang verlenen aan slechts één type gegeven.

Organisaties zoals de Internet Engineering Rask Force (IETF) maken onder andere de ontwerpdocumenten voor OpenID en OAuth2.0. Consortia zoals Kantara Initiative leveren de input van de ontwerpdocumentatie.

Kantara Initiative is een internationaal, open samenwerkingsverband van individuen uit de identity community, werkzaam in verschillende branches, die samenwerken aan oplossingen voor identity issues. Specifieke werkgroepen werken aan de specificatie van verschillende internetprotocollen, die dan worden aangeleverd aan de IETF en dan wellicht tot standaard worden verwerkt.

Grote it-bedrijven zoals Google, Twitter en Microsoft, maar ook Paypal zijn hier actief bij betrokken. Meestal wordt er verder doorgebouwd op deze protocollen en krijg je zogenaamde profiles zoals UMA (hier ben ik bij betrokken) die gebaseerd is op OAuth2.0, maar toch verschillende eigenschappen heeft. Nu wordt OAuth2.0 al volop gebruikt in social networks zoals Facebook.

Is het ook fit voor business, oftewel is het veilig genoeg voor gebruik in het bedrijfsleven? Om deze vraag te beantwoorden moeten we kijken wat de pro en contra's van OAuth2.0 gebruik zijn.

Ongeveer twee jaar geleden heb ik tijdens een studiereis in Silicon Valley, met dank aan Platform Identity Management Nederland (PIMN), deze vraag gesteld aan aanwezige online identity-experts van onder andere Microsoft en AT&T. Ze waren heel behulpzaam en ik kreeg concrete antwoorden terug.

Zij kwamen met de volgende nadelen van OAuth2.0 voor het bedrijfsleven:

- OAuth2.0 is een protocol met weinig ingebouwde security, het is aan de implementer om veiligheidsmaatregelen te nemen om het protocol veilig te laten werken.
- Tokengebruik is ingewikkelder dan wachtwoorden, wat adoptie door de eindgebruiker tegen kan gaan.
- Er zijn nog niet veel OAuth2.0-vendors die kunnen leveren aan bedrijven.
- Er zijn nog niet veel OAuth2.0-experts die het bedrijfsleven kunnen adviseren.
- Andere protocollen zoals SAML zijn nodig om OAuth2.0 te laten werken.
- Phishing is een groot risico bij het gebruik van OAuth2.0. Dit kan leiden tot ongeoorloofde toegang tor beschermde gegevens van de gebruikers.

Maar OAuth2.0 heeft ook voordelen:
- Als open protocol zijn de api's (bibliotheek voor interface tussen programma's) overal te gebruiken.
- het gebruik van tokens limiteert het aantal mensen wat toegang kan hebben met OAuth2.0.
- Bedrijven zoals banken kunnen als OAuth2.0 provider naar hun klanten optreden, waardoor geen derde partij nodig is, wat klanten gerust kan stellen met het gebruik van hun data.
- Om terug te komen op de banken, met het gebruik van OAuth2.0 bij online bankieren zijn minder user interfaces en apparaten nodig, tokenuitwisseling werkt tenslotte op de achtergrond, net als bij bijvoorbeeld facebook.

Wel, dat klinkt veelbelovend, maar waarom hebben de bedrijven het nog niet toegepast? Volgens mij omdat bedrijven zeer tevreden zijn met hun huidige identificatie-mogelijkheden, omdat OAuth2.0 en OpenID nog steeds in ontwikkeling zijn en omdat bedrijven nog steeds bovenop de protocollaag een veiligheidslaag moeten bouwen om tokenuitwisseling veilig te laten plaatsvinden. Dit kost geld en levert nog geen goede business case op als alternatief voor de huidige beveiliging.

Maar gezien het toegenomen gebruik van social networks binnen en tussen bedrijven zie ik het gebruik van de online open internet identity protocollen wel de komende jaren een vlucht nemen in het bedrijfsleven.Zeker nu Google de oorlog heeft verklaard aan het wachtwoord.

Watch out passwords, there's a new kid in town!

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Gerelateerde artikelen

15-08-13  Google integreert Google+ in Enterprise Apps

1 vacature
Senior Manager Informatiebeveiliging

BDO IT Consultancy , Utrecht

Top 10 reagerende bezoekers
      Aantal
reacties
Gemiddelde
waardering
Klik voor meer info 1 1972 6.88
Klik voor meer info 2 1139 6.67
Klik voor meer info 3 1489 6.65
Klik voor meer info 4 1207 6.63
Klik voor meer info 5 872 6.58
Klik voor meer info 6 572 6.33
Klik voor meer info 7 413 6.28
Klik voor meer info 8 1078 6.05
Klik voor meer info 9 694 6.04
Klik voor meer info 10 452 6.02