Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Wachtwoorden hebben hun langste tijd gehad

 

Computable Expert

Anthony van Geest
Business Architect, Intermedio Information Technology. Expert van Computable voor de topics Digital Transformation en Security.

De Amerikaanse start-up OneID komt met nieuwe technologie en een aanpak die wellicht het einde van het wachtwoord in zal luiden. Daarmee komt dan ook direct een eind aan alle risico’s die verbonden zijn aan het wachtwoord, zoals vergeten wachtwoorden, yellow notes met wachtwoorden en natuurlijk de mogelijkheid om wachtwoorden te kraken. De vraag is echter of de markt klaar is voor een dergelijke oplossing, en of er wel een vraag bestaat.

De oplossing van OneID is erop gericht om de gebruiker online met één klik veilig in te laten loggen, betalen of zich identificeren. Het is niet meer nodig om wachtwoorden, credit card gegevens, of andere gevoelige gegevens te versturen over het internet. Het maakt hierbij handig gebruik van het feit dat de meeste mensen tegenwoordig over meerdere elektronische apparaten beschikken.

De identiteit van de gebruiker wordt vastgesteld via het actieve apparaat (bijvoorbeeld de pc waaraan je werkt) en een controle apparaat (bijvoorbeeld een smartphone). Op het actieve apparaat klikt de gebruiker op de OneID button om in te loggen. Vervolgens wordt er een verificatie naar de smartphone gestuurd waarop de gebruiker de login actie kan bevestigen. Mocht de gebruiker het tweede apparaat niet binnen bereik hebben, dan is het mogelijk om met een (éénmalige) pincode alsnog in te loggen.

Gebruikers van OneID kunnen hun gegevens en hun authentiserende apparaten, waarvan er meerdere kunnen zijn, beheren via de website van het bedrijf. De gevoelige gebruikersinformatie wordt hierbij niet centraal, maar gedistribueerd opgeslagen, vergelijkbaar met een torrent-netwerk. Dit maakt het voor hackers bijzonder ingewikkeld om gebruikersgegevens bij elkaar te krijgen en te misbruiken.

Websites inloggen met OneID mogelijk maken slaan alleen verificatiecodes op en geen andere gevoelige gegevens. Dit is voor de websitebeheerder ook een aangename gedachte, aangezien deze gegevens ook niet meer in verkeerde handen kunnen vallen. De wel opgeslagen verificatiecodes bevatten geen geheime informatie en zijn derhalve niet interessant voor een kwaadwillende.

De vraag is nu of OneID een oplossing in handen heeft die werkelijk veilig is, en dusdanig gebruiksvriendelijk dat het op grote schaal geadopteerd gaat worden. Initiatieven als Passport, OpenID zijn nooit echt aangeslagen bij het grote publiek, terwijl ze wel goed werken en geen kosten voor de gebruiker met zich meebrengen.

Voor- en nadelen

Zonder een uitputtende lijst samen te willen stellen zie ik wel een aantal voordelen van de OneID oplossing:
• Veiligheid op meerdere niveaus
• Meerdere toepassingen in één oplossing
• Gebruik van apps (helpt waarschijnlijk de massa over de streep)

Maar ook een aantal nadelen:
• Commercieel bedrijf (start-up)
• Geduchte concurrentie
• Gebrek aan transparantie

Als het bedrijf van start gaat kent het een sterke concurrentie. Veel online gebruikers hebben al een Google, Facebook en / of Twitter account en kunnen daardoor ook gebruik maken van single sign-on op verschillende andere websites. De prijs die ze hiervoor betalen is weliswaar aanzienlijk, maar voor de meeste mensen toch onzichtbaar. Hier zijn het de bekende namen en de eenvoud die het hem doen.

Ik denk dat OneID een mooie oplossing heeft die op zich heel aantrekkelijk zou zijn voor veel gebruikers en zeker voor website beheerders. Toch vrees ik dat deze oplossing niet de graal is waar we naar zoeken. Het bedrijf kiest een technische insteek (zie website), is weinig transparant en zal naar mijn verwachting de slag met de concurrentie niet kunnen maken. Het gevolg is dat de oplossing niet aan zal slaan bij het grote publiek.

Als OneID er niet in slaagt om Google, Facebook en Twitter aan zich te binden acht ik de kans groot dat we niet alleen blijven zitten met wachtwoorden, maar ook met wachtwoordoplossingen van Google, Facebook en Twitter. Gewoon, omdat de massa dat kent, begrijpt en bereid is om de prijs te betalen die ermee gemoeid is.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/4462835). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Ik ben inmiddels de tel kwijt hoe vaak ik de aankondiging van de dood van het wachtwoord al langs heb zien komen. Iedere keer veel mooie woorden, en een aantal maanden later horen we er helemaal niets meer van.

Ik heb niet naar de technische ins en outs van deze oplossing gekeken, maar het zit ongetwijfeld redelijk in elkaar. Net als de schrijver plaats ik vraagtekens bij de adoptie van een oplossing als deze, en ik ben dan ook van mening dat dit initiatief gewoon weer een stille dood gaat sterven.

Na het lezen van de titel en de eerste zin haakte ik al af. De auteur heeft waarschijnlijk net OneID-aandelen gekocht.

Tja, 't is maar wat je veilig acht.

Als de batterij van m'n smartphone leeg is, hangt 'ie aan de oplader op kantoor, en dan ligt de smartphone dus naast mijn laptop.

Als ik nu even ben lunchen, heeft iemand al bijna toegang tot mijn gegevens, immers, het device waar de verificatie heen gestuurd wordt, ligt onbeheerd naast de laptop.

En ja, mijn smartphone is weliswaar deels beveiligd tegen misbruik, maar sommige boodschappen zijn leesbaar zonder eerst in te loggen op de smartphone.

Ofwel, sorry, maar ik ben niet overtuigd van de oplossing van OneID

Mijn eerste reactie: kansloos
Er zijn al vele single sign-on initiatieven geweest (een paar van Microsoft, Google, DigiD, etc.) Maar al die initiatieven worden bijna alleen door de leverancier zelf gebruikt.
Dat is op zich al wel een grote verbetering, liever maar 1x inloggen op een site van Google dan 3x op verschillende sites van Google.
1x inloggen per software/dienst leverancier vind ik op zich geen probleem.
Voor password-beheer is KeePass een goede oplossing.
Dan kan je meteen voor elke site een ander password gebruiken, het recente nieuws over bedrijven die slordig omgaan met passwords laat zien dat dat nodig is.

"De Amerikaanse start-up OneID", hier gaat het al mis. Als het uit de VS komt en de patriot act blijft van kracht, dan vind ik dat al een flink minpunt.

Overigens heeft Google al een behoorlijk tijdje 2 weg authenticatie en deze gebruik ik veelvuldig. Ik heb dus al mijn telefoon nodig *naast* mijn gebruikersnaam en wachtwoord.

@PaVaKe, als het opladen van je telefoon een risico is, dan gaat er iets goed mis, want dan zou een gestolen telefoon ook een probleem zijn. En je kunt zelf instellen welke berichten op je scherm zonder inloggen getoond kunnen worden.

Ik ben er overigens van *overtuigd* dat een dienst die authenticatie als een service biedt grote toekomst kan hebben. Er moet dan echter nog wel het 1 en ander gebeuren. Zo'n dienst kun je namelijk niet alleen aan de voorkant gebruiken, die integratie moet namelijk ook na het inloggen gebruikt worden om echt veiligheid te kunnen bieden.

Ik heb het eerder gezegd, we hebben meer "euro" power nodig! In Europa zouden er cloud computing bedrijven moeten ontstaan die wat tegenwicht bieden uit alles wat er momenteel uit de VS komt, en een goede beveiliging vanaf de basis zou hiervoor een enorme driver kunnen zijn.

@Henri

Ik ben het met je eens dat een gestolen telefoon in deze een risico kan vormen. Niet iedereen heeft een ICT achtergrond, zoals de meeste lezers hier, en kiezen voor geen of eenvoudige beveiliging van hun smartphone.

Zelf heb ik er bewust voor gekozen sommige berichten meteen weer te laten geven; ik vind het niet altijd even handig dat ik eerst een aantal handelingen moet verrichten om bepaalde berichten even snel te kunnen lezen, maar dat terzijde.

Zolang mensen nog met papieren lijsten met TAN codes werken voor internetbankieren, is de consument nog niet toe aan dit soort security mechanismen in mijn ogen. Er is nog een hele generatie die een mobiele telefoon heeft primair om te bellen, alle "smart" features zijn helemaal niet interessant

Al jaren is er een technologie genaamd OpenID (http://en.wikipedia.org/wiki/Openid). OpenID is geen bedrijf of product maar slechts een specificatie hoe je single sign on op een gestandaardiseerde manier kunt implementeren. Dit lijkt me de enige juiste weg aangezien je op alle andere gepromote manieren je eieren in een mandje van een bedrijf stopt, maar alle gevaren van dien.

Iedereen kan zijn eigen OpenID server schrijven en hosten. Dit betekent voor niet-technische eindgebruikers dat zij keuzevrijheid hebben en dat er concurrentie is.

Helaas denken bedrijven als OneID, Facebook, Google, Microsoft dat iedereen gaat overschakelen naar hun technologie en dat zij voor eeuwig van elke internetgebruiker licentiekosten vangen dan wel waarde creëren voor hun bedrijf (beurswaarde = aantal geregistreerde gebruikers x $nnn). Jammer.

Vanuit de technisch operationele kant bekeken zou ik 'bijna' geneigd zijn te zeggen dat ik me in de intentie van het artikel we mee wil gaan. Dan zal men toch naar iets moeten gaan kijken naar een oplossing zoals HP het integreerde in de laptops, verschillende externe 'peripherals' ook al kennen namelijk SSO middels verificatie van de vingerafdruk of wellicht biometrische oplossing.

Ook daar kleven natuurlijk negatieve kantjes aan want ik kan al zwetend wakker worden van het idee dat iemand mijn duim, wijsvinger en/oog af en uitsnijd om aan de criteria van zo'n SSO te voldoen. Als Sr. specialist, met ervaring op het gebied van security, weet ik dat dit vanuit de praktijk al is voorgekomen. Gerrit Hein om maar even iets te noemen alhoewel we toen nog een technische biometrie hadden geïmplementeerd.

We hebben de technische componenten, we hebben de overige noodzakelijke 'onderdelen' dus ik zou zeker voor een pilot zijn. Alleen al als professional maar om zover te gaan mijn credit card hier in mee te nemen? Liever nog even niet.

Wel een leuk artikel om eens even over na te denken.

@ Anthony,

Henri haalt hier natuurlijk zeer valide punten aan. Patriot Act is ook hier weer een mogelijke dooddoener. En tevens zou ik als klant-zijnde voor dit soort zaken niet voor een start-up kiezen. Misschien ben ik ouderwets maar ik ga zelf altijd liever met gevestigde namen in zee.

Echter moet ik zeggen dat het product er best aardig uit ziet. Alleen denk ik wel dat de ouderwetse manier van userid + pw de komende jaren zal blijven. Ondanks alle nadelen is deze nu eenmaal wel vertrouwd. De nieuwe technologieen dienen zich eerst te bewijzen voor dat er echt serieus naar gekeken gaat worden.

""De Amerikaanse start-up OneID", hier gaat het al mis. Als het uit de VS komt en de patriot act blijft van kracht, dan vind ik dat al een flink minpunt."

Dat is niet slechts een flink minpunt, dat is al reden genoeg om het direct af te schieten.

Amerika heeft weer iets uitgevonden om ons te indentiviseren en onze activiteiten op internet op te slaan.

Je moet wel erg dom zijn om dit Amerikaanse product te vertrouwen en je land, economie en je eigen persoon in dergelijk gevaar te brengen.

Mja, onze politici vertellen je niet hoe privacy ons land en economie beschermt tegen de concurentie van Amerika, en daarom sukkellen we nog even verder in de economische crisses. Sweet dreams!

@Marcel : OpenId is versnipperd en gebruikt geen token. Overigens was het wel de naam die ook bij mij opkwam, maar OpenId heeft in mijn ogen nooit lekker gewerkt, ik ben er een jaar of 2-3 geleden vanaf gestapt.

@Ruud: Username en wachtwoord zijn goed, maar zou aangevuld moeten worden met een token om phishing tegen te gaan.

Ook de Nederlandse overheidsdiensten weten je te vinden als je verdachte zoektermen op internet gebruikt. Ze kunnen je dus gewoon in de gaten houden, ook als je andere info verspreidt. Dus waarom maken we ons dan zo druk als het om Amerikaanse bedrijven gaat? Omdat ze in Amerika nog erger paranoïde zijn dan wij?
Het gaat m.i. om twee vragen. De eerste vraag is: Is het een probleem dat er mensen zijn die iets te verbergen hebt en ze daarom iedereen in de gaten houden?
De tweede vraag is: als jij niets te verbergen hebt, is er dan iets tegen dat ze iedereen in de gaten houden?
Het is typisch Nederlands om te roepen dat er wel oplossingen moeten komen "maar niet in mijn straat"...

@ Henri,

Eens een smartcard of token is een goede toevoeging. Dan heb je in mijn ogen "best of both worlds".

De one-id is nog te prematuur en ik verwacht dat hier nog niet serieus naar gekeken gaat worden.

Maar ja, dit kan zo maar eens veranderen als er aangetoond kan worden dat het ook echte veilig is en goed functioneert.

Eerst zien en dan pas geloven.

Welke authenticatie gebruikt wordt, wordt bepaald door de provider, niet de gebruiker. Als gebruiker kun je er wat van vinden, maar op zijn best is je keuze wel of niet meedoen. Als de provider je werkgever is, dan heeft die keuze zware consequenties.

Alle gebruikers hebben een mening over hoe het zou moeten - en een andere mening, trouwens. Dat komt de adoptiegraad niet ten goede. De provider doet wat hij zich kan veroorloven. Niemand doet SSO voor de gebruiker. Google doet het bijvoorbeeld omdat het al zijn diensverlening wil integreren en gebruikers wil binden.

Zo lang er geen alternatief is voor gebruikersnaam-wachtwoord wat aantrekkelijk is voor providers (meestal is dat: goedkoop te implementeren en beheren), dan zal dit het de-facto authenticatiemiddel blijven. En als one-id de providers aanspreekt, dan zou het wel eens de nieuwe standaard kunnen worden. Het lijkt in ieder geval goedkoop te implementeren, beheer moet zich nog bewijzen. VHS was ook niet het beste video-cassette formaat, maar had wel als eerste de vereiste adoptiegraad.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×