Klik hier voor een samenvatting
Inloggen zonder wachtwoord? Het kan met FIDO
Steeds meer zijn cybercriminelen in staat mailaccounts te hacken doordat gebruikers makkelijke wachtwoorden kiezen. Of maar één wachtwoord gebruiken voor meerdere sites. Of omdat databases met wachtwoorden gestolen worden. Als je een wachtwoord goed wilt gebruiken moet die aan nogal wat eisen voldoen. En je moet het wachtwoord vaak wijzigen.
Gelukkig lijkt het einde van het wachtwoord in zicht. FIDO is een techniek die het wachtwoord overbodig maakt. De doorbraak wordt al volgend jaar verwacht! Lees er alles over in dit artikel.
Inmiddels weet bijna iedereen dat het kiezen van simpele wachtwoorden gevaarlijk is. Toch zijn ‘Password’ en ‘123456’ nog steeds de meest gebruikte wachtwoorden. Zo maken we het een cybercrimineel wel heel eenvoudig om mailboxen en andere apps te hacken! Daarnaast gebruiken we te vaak hetzelfde wachtwoord voor verschillende websites. Ook dat is niet verstandig, want hackers hoeven maar één wachtwoord te achterhalen om in meer van jouw accounts in te breken.
Als je wachtwoorden goed gebruikt, moet je (gemiddeld) 38 verschillende wachtwoorden onthouden. En regelmatig veranderen. En dan nog kan het fout gaan. Hackers slagen er steeds vaker in om databases vol gebruikersnamen en wachtwoorden te stelen. Vervolgens bieden ze die te koop aan op het dark web. Wil je weten of jouw gegevens gelekt zijn? Via de site haveibeenpwned.com kun je het checken!
Gelukkig staat het einde van het wachtwoord voor de deur. Lees hoe je dan echt veilig kunt inloggen!
Inloggen zonder wachtwoord
“Mensen zullen steeds minder gebruik gaan maken van passwords. Die zijn nu eenmaal niet geschikt als beveiliging.” Dit voorspelde Bill Gates, de oprichter van Microsoft, al in 2004. Nu pas lijkt het einde van het wachtwoord echt in zicht. Microsoft werkt namelijk aan een manier om ‘passwordless’ (wachtwoordloos) in te loggen.
Microsoft maakt met meer dan 250 andere fabrikanten, zoals Apple en Google, maar bijvoorbeeld ook PayPal en Dropbox, deel uit van een alliantie. De groep koos de naam FIDO, wat staat voor Fast IDentity Online. Over het algemeen is de regel bij computerexperts, dat hoe makkelijker je kunt inloggen, hoe minder veilig het is. De groep technologiebedrijven wil dat nu juist wel mogelijk maken. Heel simpel online inloggen, maar wel veilig. En zonder wachtwoord.
De FIDO-alliantie begon in 2013 te werken aan een manier om afscheid te nemen van het wachtwoord. Inmiddels is het project zover dat de technologie te gebruiken is. In 2023 wordt de grote doorbraak verwacht.
Tweefactorauthenticatie verbetert beveiliging
Nu is er sinds de opmerking van Bill Gates bijna twintig jaar geleden gelukkig al gewerkt aan veiliger vormen om in te loggen. Veel mensen zijn bekend met tweefactorauthenticatie, vaak afgekort tot 2FA. Je combineert bij 2FA iets dat je weet (het wachtwoord of een pincode), met iets dat je hebt (een telefoon) of bent (door middel van je vingerafdruk, of iris-scan). Steeds meer websites en apps werken ermee. Met tweestapsverificatie voeg je dus een extra beveiliging toe aan je accounts.
Als je, bijvoorbeeld, op de website van een dokterspraktijk een herhaalrecept aanvraagt, moet je bij het inloggen niet alleen de combinatie van gebruikersnaam en wachtwoord ingeven. Je ontvangt vaak ook nog een code in de mail, of in een SMS-bericht op de mobiele telefoon. Het ingeven van de code is een tweede factor die de veiligheid vergroot. Dit maakt het voor aanvallers die je account proberen te hacken lastiger, omdat ze immers naast je wachtwoord ook een sms-code nodig hebben. Lees voor meer informatie over 2FA ons uitgebreide artikel.
Helemaal veilig is deze vorm van 2FA helaas niet. Cybercriminelen kunnen namelijk SIM-swap-aanvallen gebruiken om jouw sms-berichten te onderscheppen. Bij SIM-swapping nemen hackers jouw 06-nummer over en gebruiken dat om online accounts te kapen. Het vervelende is dat je dit vaak pas in de gaten hebt als het te laat is. Door SIM swapping vallen er in ons land jaarlijks tientallen slachtoffers. Gelukkig kan het veiliger. Met FIDO.
Wat is FIDO?
Om in te loggen met FIDO hoef je geen authenticatiecode in te voeren die afkomstig is van een app of sms. Je stopt gewoon een beveiligingssleutel, de token in de USB-poort. Meestal heeft de sleutel een vingerscan. De USB-sticks zijn voor ongeveer 20 euro te koop en worden al een paar jaar gebruikt. De UbiKey(foto) is heel bekend, maar er zijn meer leveranciers.
Een voorwaarde is wel, dat het programma of de website die je bezoekt FIDO ondersteunt. Dat is inmiddels vaak het geval. Van Facebook tot Dropbox kun je deze sleutels als extra beveiliging gebruiken.
We zullen zo aan de hand van Facebook uitleggen hoe FIDO werkt.Daarbij is het leuk te weten, dat smartphones die met de meest actuele software werken ook als token gebruikt kunnen worden. Die hoef je natuurlijk niet met de USB-poort te verbinden. Maar de site waarop je in wilt loggen (bijvoorbeeld Facebook) laat dan een QR-code zien. Als je die met de camera van jouw telefoon scant, log je veilig in. Omdat hierbij dus geen SMS- of mailbericht verstuurd wordt, is dit een heel veilige manier van tweefactorauthenticatie. Overigens kunnen ook pasjes gebruikt worden om als token te werken, als de computers over een geschikte ontvanger beschikken.
Zo registreer je FIDO voor jouw Facebook-account
Om in te loggen heb je dus een hardware token nodig, of een smartphone die met de laatste versie van Android of iOS werkt.Als je jouw Facebook-account geschikt wilt maken voor FIDO, dan volg je deze stappen.
- Klik rechtsboven op jouw profielfoto en klik op ‘Instellingen en privacy’:
- Vervolgens kies je in het nieuwe menu ‘Instellingen’:
- Je komt nu op een ander scherm, selecteer hier ‘Beveiliging en aanmelding’:
- In het volgende scherm scroll je naar beneden en klik je op de knop ‘Bewerken’ bij ‘Tweestapsverificatie gebruiken’:
- Scroll weer naar beneden en klik op ‘Instellen’ achter ‘Beveiligingssleutel’:
- Je krijgt nu een melding te zien dat je een beveiligingssleutel kunt gebruiken om je Facebook-account te beschermen. Klik op ‘Beveiligingssleutel registreren’ en doorloop de stappen van jouw specifieke beveiligingssleutel:
Deze manier van inloggen kun je vervolgens op elke andere computer gebruiken. Toegang is dus alleen mogelijk met de juiste token of telefoon.
De onderstaande illustratie laat schematisch zien hoe het registreren werkt:
Hoe werkt FIDO?
FIDO bestaat uit twee inlogsleutels:een privé-sleutel en een publieke sleutel. De privé-sleutel bevat de pincode, of jouw vingerafdruk of gezichtsscan. Die privé-sleutel staat op je mobiele telefoon, op een USB-stick (zoals bij de UbiKey en andere hardwaresleutels) of op een pasje. Dat is dus eigenlijk jouw sleutelkastje.
Als je jezelf nu aanmeldt bij een website of een mailaccount, dan moeten de publieke sleutel die bij de aanbieder van de website staat en jouw privé-sleutel bij elkaar passen. Net als een hangslot en een sleutel. Op die manier kun je bij apps inloggen zonder dat je er veel moeite voor hoeft te doen.
Computerspecialisten gaan ervan uit dat deze manier van inloggen de beste bescherming tegen hackers biedt.
Veilig bij verlies en diefstal
Nu denk je misschien dat het ook gevaarlijk is wanneer je veel privé-sleutels op je telefoon bewaart. Maar: als jouw telefoon gestolen wordt, kan de dief toch geen gebruikmaken van jouw inlogmethode. Hij beschikt immers niet over jouw pincode. En ook de vingerscan of gezichtsherkenning kan niet gebruikt worden.
Daarnaast kun je op afstand je telefoon vergrendelen of de gegevens wissen. Je FIDO-sleutels gaan dan ook niet verloren, want ze worden automatisch opgeslagen in een back-up. Jouw nieuwe telefoon installeert de gegevens gewoon weer.
Inloggen zonder wachtwoord
FIDO is dus een handige en heel veilige manier van inloggen. Toch werd ook bij FIDO tot voor kort nog een wachtwoord gebruikt. De nieuwe stap die de FIDO-alliantie nu zet is dan toch het inlossen van de belofte van Bill Gates: inloggen zonder wachtwoord.
Toch is ook dat niet meer helemaal nieuw: bij veel mobiele telefoons heb je zelden een wachtwoord nodig, maar werk je met gezichtsherkenning of een vingerscan. Zo kun je dan bijvoorbeeld veilig betalingen doen.
Op dit moment bieden zowel Apple, Google als Microsoft wel al deels ondersteuning voor FIDO, maar het kan beter. Zo moet je nu bij iedere website je apparaat aanmelden voor inloggen zonder wachtwoord. De nieuwe FIDO-standaard maakt het mogelijk om direct in te loggen met Face ID, Touch ID of een pincode. Ook kun je op op veel verschillende apparaten inloggen, ongeacht of die op Windows, macOS, iOS, Android of een ander ondersteund platform werken.
Inloggen met Passkey
Vooruitlopend op een brede acceptatie van FIDO, ondersteunen verschillende fabrikanten al wachtwoordloos inloggen, zoals Microsoft bij Windows 10. Apple ontwikkelde Passkey. In de omschrijving van deze functie herkennen we moeiteloos de omschrijving van FIDO:
“Een passkey bestaat uit een sleutelpaar en biedt daarmee een veel betere beveiliging dan een wachtwoord. Eén sleutel is openbaar en geregistreerd bij de website of app die je gebruikt. De andere sleutel is privé en wordt uitsluitend op je apparaten bewaard. Door middel van krachtige, op industriestandaarden (FIDO) gebaseerde cryptografische technieken zorgt dit sleutelpaar voor een sterke envertrouwelijke relatie tussen je apparaten en de website of app.”
Maak je een account met Passkey, dan komt er geen wachtwoord aan te pas. Het enige wat je doet is je vinger of gezicht scannen. Apple regelt het genereren en opslaan van de passkey, zonder dat jij er als gebruiker iets mee te maken hebt.
Veilig werken mét wachtwoord
Het einde van het wachtwoord lijkt in zicht, maar voorlopig gebruiken we ze nog. Zorg er dus voor dat ze zo veilig mogelijk zijn. Zorg dat ze lang genoeg zijn en ook getallen en leestekens bevatten. Creëer daarnaast voor elk account een ander wachtwoord. En maak gebruik van een wachtwoordmanager.Lees ook ons uitgebreide artikel over hoe je sterke en veilige wachtwoorden maakt en beheert.
Conclusie: FIDO als veilig alternatief voor wachtwoorden
Voorlopig zullen wachtwoorden nog wel een paar jaar blijven bestaan. Niet alle apps, apparaten en websites zijn op korte termijn geschikt voor het gebruik van de nieuwste versie van FIDO, de wachtwoordloze authenticatie. Ook de eerdere versies van het systeem voegden al veel extra bescherming toe aan het traditionele gebruik van het wachtwoord.
Maar gelukkig wordt intussen wel gewerkt aan het einde van het wachtwoord. FIDO is een stuk veiliger dan wachtwoorden. Het zal voor hackers lastiger worden om bij accounts in te breken. En FIDO is ook nog eens heel makkelijk te gebruiken.
Veilig inloggen zonder wachtwoorden: veel gestelde vragen
Hieronder vind je veel gestelde vragen over FIDO. Klik op een vraag om het antwoord te lezen.
Hoe werkt FIDO?
Met FIDO (Fast IDentity Online)kun je inloggen zonder wachtwoord. De techniek bestaatuit twee inlogsleutels:een privé-sleutel en een publieke sleutel. De privé-sleutel bevat de pincode, of jouw vingerafdruk of gezichtsscan. Die privé-sleutel staat op je mobiele telefoon, of op een USB-stick. De publieke sleutel staat bij de app of mailbox waarbij je wilt inloggen.
Als je jezelf aanmeldt dan moeten de publieke sleutel die bij de aanbieder van de website staat en jouw privé-sleutel bij elkaar passen.
Hoe werkt een Security Key?
Een Security Key kan een fysieke beveiligingssleutel zijn (ook wel inlogsleutel of USB-sleutel genoemd) die je in de USB-ingang van je apparaat doet om in te loggen. Maar ook een mobiele telefoon of een pasje kunnen gebruikt worden als Security Key. Het zorgt, dankzij FIDO, voor veilig inloggen zonder wachtwoord. Wil je meer weten over hoe dit precies werkt? Lees dan ons uitgebreide artikel over FIDO.
Is FIDO echt veilig?
Het is in elk geval een stuk veiliger dan het werken met wachtwoorden. Specialisten zien het op dit moment als de meest veilige manier. Met FIDO hebben hackers minder kans op succes.
Waarom zijn wachtwoorden onbetrouwbaar?
Als je wachtwoorden goed gebruikt, moet je (gemiddeld) 38 verschillende wachtwoorden onthouden. Voor elke website of bankrekening een ander wachtwoord. Ook moet je regelmatig de wachtwoorden aanpassen. En een goed wachtwoord moet aan heel veel eisen voldoen. Vaak hebben we die discipline niet. En als we ons wel keurig aan die regels houden kan het nog steeds mis gaan. Hackers slagen er namelijk steeds vaker in om databases vol gebruikersnamen en wachtwoorden te stelen. Lees ons uitgebreide artikel over FIDO voor meer informatie hierover.
Mels Dees
ICT-journalist
Mels was ooit een whizzkid, zoals dat toen heette en werkte zelfs enige tijd als programmeur. Inmiddels is Mels al 22 jaar ICT-journalist met een speciale interesse in security.
Meer artikelen uit de sectie Veilig surfen
uBlock Origin review: is dit de beste adblocker?
30 april 2024
Total Adblock-review: waarom is deze adblocker zo populair?
30 april 2024
De beste adblocker: top 8 tools om reclames te blokkeren
13 juni 2024
