Sommige mensen kunnen niet stoppen met praten over de dood van het wachtwoord. Wachtwoorden zijn oud, onveilig en gemakkelijk uitgelekt. Binnenkort gebruiken we allemaal biometrische gegevens, hardwarebeveiligingssleutels en andere futuristische oplossingen, toch? Nou, niet zo snel.
We spraken met 1Password's hoofd van de beveiliging, Jeffery Goldberg, die zei dat hij "voorzichtig optimistisch is dat we deze keer een deuk in het wachtwoordprobleem kunnen zien."
Dat is de optimistische benadering - en het is nog lang niet de dood van wachtwoorden.
Waarom mensen het wachtwoord willen doden
Bij het bespreken van het doel van het bedrijf: Bouwen aan een wereld zonder wachtwoorden, "In mei 2018 schreef het beveiligingsteam van Microsoft:
“Niemand houdt van wachtwoorden. Ze zijn lastig, onzeker en duur. Sterker nog, we vinden ze zo erg dat we druk bezig zijn geweest met het creëren van een wereld zonder hen - een wereld zonder wachtwoorden. "
Wachtwoorden zijn in de loop van de tijd vervelender geworden en we zijn allemaal bewust geworden van de risico's van hergebruik. Als u hetzelfde wachtwoord op meerdere sites gebruikt en er is een wachtwoordlek, kan uw wachtwoord worden gebruikt om toegang te krijgen tot uw account op een andere website. U moet dus een sterk, uniek wachtwoord kiezen voor elke service die u gebruikt. Voorbij zijn de dagen van hergebruik van een kort, eenvoudig wachtwoord op een handvol websites.
Voor de meeste mensen die geen bovenmenselijke herinneringen hebben, is het onmogelijk om voor elk online account een sterk, uniek wachtwoord te onthouden. Daarom we raden wachtwoordmanagers aan - ze onthouden al die sterke, unieke wachtwoorden voor je. U hoeft alleen uw hoofdwachtwoord te onthouden, wat veel gemakkelijker is dan het onthouden van 100, en veel veiliger dan hetzelfde wachtwoord opnieuw te gebruiken.
Maar zelfs met een wachtwoordbeheerder is dit niet helemaal veilig. Iemand met een keylogger op uw systeem kan uw wachtwoord vastleggen en inloggen als u. Daarom voegen services extra beveiliging toe. We typen vaak een wachtwoord en moeten ons dan een tweede keer authenticeren met een code of sleutel.
Is er een betere manier?
Wat kan het wachtwoord vervangen?
Goldberg zei dat hij heeft gezien dat 'plan na plan' de afgelopen twintig jaar heeft voorgesteld om wachtwoorden te doden - waarvan er vele niet hebben geleerd van wat in het verleden was mislukt. Maar nieuwere hebben misschien een betere kans van slagen vanwege de vooruitgang zoals krachtigere lokale apparaten.
Biometrie kan een wachtwoord vervangen. U kunt Touch of Face ID (biometrie) gebruiken om in te loggen op uw iPhone in plaats van een pincode te typen. Android-telefoons hebben ook vingerafdruk- en gezichtsaanmeldingsfuncties.
U kunt nu ook creëer "wachtwoordloze" Microsoft-accounts om u aan te melden bij Windows. Uw gebruikersnaam is uw telefoonnummer en het "wachtwoord" dat u typt, is een code die via sms naar uw telefoonnummer wordt verzonden.
U kunt ook een fysieke beveiligingssleutel in plaats van een wachtwoord om uw online accounts te verifiëren. Je houdt de sleutel bij je (je kunt hem zelfs aan je sleutelhanger houden) en gebruikt hem via USB, NFC of Bluetooth wanneer het tijd is om in te loggen.
Telefoons kunnen ook wachtwoorden vervangen. Google laat Android-apparaten nu functioneren als FIDO2-toetsen . Mogelijk moet u zich ook verifiëren met een vingerafdruk op uw telefoon wanneer u zich op uw laptop bij een website aanmeldt.
Veel bedrijven proberen de afhankelijkheid van wachtwoorden te verminderen door 'single sign-in'-providers aan te bieden. Dit is wanneer u zich aanmeldt bij Facebook, Google, enz., En vervolgens dat account gebruikt om u aan te melden bij andere services; er zijn geen extra wachtwoorden nodig.
Wachtwoord "vervangingen" Vervang geen wachtwoorden
Er is hier echter een groot probleem. Technologieën die worden aangeprezen als 'vervangingen' voor wachtwoorden zijn eigenlijk geen vervangingen, althans nog niet.
Biometrie, zoals Face of Touch ID, vereist nog steeds zowel een toegangscode als een Apple ID-wachtwoord op uw apparaat. Voor sommige taken is ook een pincode vereist voor achtergrondcoderingsdoeleinden. Biometrische functies op Android en Windows Hello op Windows 10 werken op dezelfde manier, eigenlijk voor het gemak. Het is gemakkelijker om in te loggen op uw apparaat omdat u niet elke keer een wachtwoord hoeft in te voeren, maar dat is niet het geval vervangen uw wachtwoord.
Een wachtwoordloos account dat telefooncodes naar u verzendt, is ook niet geweldig. In plaats van één wachtwoord voor uw account, genereert deze service een nieuw wachtwoord elke keer dat u zich probeert aan te melden en stuurt deze naar u via sms. Dit is minder veilig dan de traditionele methode van één wachtwoord plus een beveiligingscode die naar u wordt verzonden wanneer u zich aanmeldt.
Helaas stelen aanvallers in veel situaties gemakkelijk telefoonnummers, waardoor dit minder veilig is. Het is een geweldige methode om mensen te bereiken in landen waar telefoonnummers alomtegenwoordig zijn, en het vermindert de wrijving bij het aanmelden voor een account, en daarom biedt Amazon dit ook aan. Maar het is geen goede oplossing om wachtwoorden te vervangen.
De meeste services die fysieke beveiligingssleutels hebben aangenomen, gebruiken deze als een extra authenticatiemogelijkheid . U meldt zich nog steeds aan met uw wachtwoord en geeft vervolgens de beveiligingssleutel op als secundaire bevestiging om binnen te komen. De mogelijkheid om een sleutel zonder wachtwoord te gebruiken is nog ver weg.
Er is ook een privacyprobleem met Single sign-on-services. Wanneer u op 'Aanmelden met Google' of 'Aanmelden met Facebook' klikt, weet de serviceprovider (Google of Facebook) waar u zich bij aanmeldt.
Er zullen altijd wachtwoorden zijn (op de achtergrond)
Zelfs als de droom van Google om wachtwoorden te vervangen door telefoons werkelijkheid wordt, wordt het wachtwoord niet verwijderd. De rand vatte de plannen van Google op deze manier samen: "Als u al bent aangemeld bij uw telefoon, kan dit worden gebruikt om het volgende apparaat waarop u wilt inloggen op uw Google-account, te‘ booten ’."
Mogelijk gebruikt u uw wachtwoord lange tijd niet, maar het staat nog steeds op de achtergrond. Je hebt het tenslotte nodig als je al je apparaten kwijtraakt.
Wachtwoorden zijn nog steeds wijdverbreid. Ze zijn gemakkelijk in te stellen en te gebruiken. Wachtwoord “vervangingen” bieden meer gemak of extra veiligheid. Maar u heeft altijd een manier nodig om weer toegang te krijgen als u uw apparaat kwijtraakt en uw biometrische gegevens of hardwarebeveiliging niet kunt gebruiken.
"Ik denk dat er altijd randgevallen zullen zijn waarbij wachtwoorden nodig zijn", zei Matt Davey, chief operating officer van 1Password. Log bijvoorbeeld in met Apple in iOS 13 biedt een webgebaseerde aanmeldingsoptie die uw Apple ID-wachtwoord gebruikt wanneer u zich aanmeldt op een niet-Apple-apparaat. Een wachtwoord werkt overal en is de universele standaard wanneer fraaie biometrische kenmerken of hardwarebeveiligingsfuncties niet beschikbaar zijn.
Zoals Goldberg zei: "Wachtwoorden zijn echt heel gemakkelijk voor websites om te implementeren. "Ze zijn nog steeds het eenvoudigste wat serviceproviders kunnen gebruiken."
Daarom is 1Password optimistisch over de toekomst van wachtwoordbeheerders. Het bedrijf zei dat het meer nieuwe gebruikers had gezien, zelfs naarmate de concurrentie toeneemt, en bedrijven als Apple, Google en Mozilla serieuzer worden met wachtwoordbeheer.
Wat heeft de toekomst in petto?
De droom om het wachtwoord te doden is ver weg. Zelfs als het proces goed verloopt, is het beste scenario dat we langzaam vooruitgang boeken, met gemakkelijkere alternatieven voor wachtwoorden.
Op een dag kunnen wachtwoorden zo naar de achtergrond worden gedegradeerd dat ze een lang vergeten methode voor accountherstel zijn. Maar ze zullen waarschijnlijk nog lang in de buurt zijn. De strijd om ze voor de meeste mensen uit het dagelijks gebruik te verbannen, zal lang en zwaar worden uitgevochten. Maar wachtwoorden helemaal doden? Dat is nog moeilijker voor te stellen.
