Met je lijf als wachtwoord (biometrie) hoef je geen wachtwoorden meer te onthouden. Ook al wordt dit makkelijker dankzij nieuwe aanbevelingen of hulpmiddelen, het blijft omslachtig om overal wachtwoorden voor te bedenken en onthouden.
Het idee om wachtwoorden af te schaffen klinkt wel erg goed. In een aantal situaties zijn wachtwoorden ondertussen minder belangrijk dankzij biometrische authenticatiemethodes en worden ze nog zelden gevraagd. Vrijwel elke middenklasse smartphone is tegenwoordig voorzien van een vingerafdrukscanner. Binnen een fractie van een seconde is je toestel daarmee ontgrendeld.
High-end smartphones, zoals de iPhone X met Face ID, maken een 3D-scan van je gezicht om degene die naar het scherm kijkt te identificeren als de daadwerkelijke eigenaar van de telefoon. De iPhone projecteert een infrarood raster met 30.000 meetpunten op je gezicht en leest dit uit met een IR-camera. Hiermee kan de smartphone een 3D-model berekenen.
De iPhone X projecteert een infrarood referentiepatroon, waaruit een 3D-model van je gezicht wordt opgebouwd.
Ook al hebben onderzoekers laten zien dat het te kraken valt, het is toch veiliger dan de authenticatie via een vingerafdrukscanner. De onderzoekers hadden bij Face ID een dure truc nodig met een 3D-masker van een hoofd, maar vingerafdrukscanners zijn te omzeilen met een simpele kopie van een vingerafdruk.
Niet foolproof
Vingerafdrukken laat je immers op veel plekken achter. De irisscanner van de Samsung S8 kon voor het lapje gehouden worden met een geprinte foto waarop contactlenzen waren gelegd. Wat alle methodes gemeen hebben, is dat ze veiliger zijn dan een smartphone beveiligen met slechts een viercijferige pincode of helemaal niets.
Een pincode kan makkelijk worden meegelezen door derden. Om een biometrische authenticatie te omzeilen, moet je tijd investeren in de voorbereiding en fysiek toegang hebben tot het apparaat.
Hello there
Windows Hello maakt biometrische authenticatie zonder een wachtwoord mogelijk op pc’s, notebooks en tablets. Inmiddels is dat al redelijk ingeburgerd. Een aantal notebooks en tablets, zoals die uit Microsofts Surface-serie, zijn uitgerust met Hello-compatibele camera’s die gezichten betrouwbaar kunnen herkennen. Nadat de authenticatie is gelukt, ontgrendelt Windows zichzelf automatisch. Ook notebooks met ondersteunde vingerafdrukscanners zijn inmiddels verkrijgbaar.
Met een vingerafdrukscanner van 30 euro of een Hello-camera van 70 euro hoef je geen wachtwoord meer in te voeren als je inlogt in Windows. In theorie kun je hiermee ook op websites inloggen.
Voor circa 50 euro of minder voeg je een vingerafdrukscanner voor Windows Hello toe aan je pc, voor circa 70 euro heb je een usb-webcam met infraroodcamera. Op een pc met meerdere gebruikers kiest Hello automatisch het bijbehorende profiel. Beter dan dat wordt het voorlopig niet.
Ontwikkelaars kunnen de Windows Hello-API wel binnen hun programma’s gebruiken, maar het aantal beschikbare apps is nog klein. Bij wachtwoordmanagers als Enpass en PassKeep hoef je dankzij Hello geen masterwachtwoord meer in te geven.
Bij de Dropbox-app is Hello een extra bescherming tegen aanvallers. Technisch gezien kan Hello ook authenticatie voor websites bieden, in plaats van een wachtwoord of als extraatje bij 2FA.
De Edge-browser ondersteunt de nog niet definitieve Web Authentication API, waarmee websites Windows Hello kunnen benutten. Behalve de site van Microsoft zelf konden we geen diensten vinden die deze API al gebruiken. Naast Microsoft werken ook Google, Mozilla en PayPal eraan mee.
Toekomstmuziek
Dit biedt de hoop dat de toekomstige standaard ooit door veel browsers en apparaten wordt ondersteund. Het zou fijn zijn als je ook met de vingerafdrukscanner van je smartphone op een website kunt inloggen of jezelf aanmelden, of bijvoorbeeld met Face ID van de iPhone X.
Voor het geval je je zorgen maakt over je biometrische gegevens: dat is niet nodig. De API seint geen vingerafdrukken of gezichtsscans door. Hij wisselt alleen cryptografische gegevens uit waarmee de aanbieder zonder twijfel kan vaststellen dat jij degene bent waaraan het account toebehoort. De biometrische vergelijking wordt lokaal uitgevoerd.
Zolang biometrie nog niet overal wachtwoorden kan vervangen, is het goed eens te kijken naar de nieuwe richtlijnen voor wachtwoorden of een goede wachtwoordmanager te gebruiken. Ook tweefactorauthenticatie (2FA) maakt het gebruik van wachtwoorden een stukje veiliger. Uitgebreide artikelen hierover vind je in c’t 5/2018.
(Ronald Eikenberg / Alieke van Sommeren , c’t magazine 5/2018)
