Weggooi wachtwoorden oplossing voor authenticatie problemen
Ondanks het belang om vertrouwelijke gegevens te beschermen, gebruiken veel bedrijven nog steeds het "antieke" wachtwoord om dit te doen. Wachtwoorden zijn net zo veilig als het individu dat ze genereert, en de beveiliging kan dan ook een flinke klap krijgen als gebruikers eenvoudig te herinneren en raden wachtwoorden kiezen.
One-time wachtwoord technologie zou dit probleem moeten oplossen door steeds nieuwe wachtwoorden te genereren. Doordat de weggooi wachtwoorden slechts één keer gebruikt kunnen worden, maakt het niets uit als ze per ongeluk uitlekken of geraden worden.
Ondanks alle voordelen van one-time wachtwoorden is het niet de oplossing van alle beveiligingsproblemen. Het biedt een betere beveiliging dan de standaard gebruikersnaam/wachtwoord authenticatie, maar schiet zelf ook tekort. Zo biedt het geen bescherming tegen recente phishing aanvallen en is het vaak ongemakkelijk voor gebruikers.
"Twee-factor authenticatie lost alleen de problemen op die zich voordeden door de passieve dreigingen van gisteren, zoals afluisteren en het raden van wachtwoorden, maar doet weinig tegen de complexe dreigingen van vandaag de dag" aldus Bruce Schneier. One-time wachtwoorden zijn daarnaast kwetsbaar voor man in the middle aanvallen en lossen ook het probleem van identiteitsdiefstal niet op.
Als ik een 'sterk' wachtwoord van 8 karakter heb (met een
reguliere password policy) is dat wel veiliger dan een RSA
OTP token dat op mijn buro ligt met de PIN op de achterkant
geschreven.
jaren geleden had hij nog wel eens daadwerkelijke bijdragen
maar hij wordt steeds meer media-geil
genereren. Zullen de gebruikers ook erg blij mee zijn...
zoals we die in Nederland meestal gebruiken. Je controle
getal dat je e-dentifier genereert is precies dat. Er wordt
wel een andere filosofie achter gelegd, maar in feite is het
hetzelfde. Althans een manier om een OTP te berekenen.
Slap verhaal van Bruce dus. In 2000 zat ik in een
interbancaire commissie waar dit al ter sprake kwam voor een
internet betaalmethode voor kleine bedragen (micropayments)
en we hebben het toen - op nog steeds geldige gronden -
afgeschoten.
Volgens mij is infocard of openid (maar dan wel de versie
waarbij de authenticiteit van de identity provider wordt
gewaarborgd) verre te verkiezen boven welk ander mechanisme
ook. Geen gehannes meer met onthouden van gebruikersnamen en
wachtwoorden (ja, ook ik was mijn DigiD gebruikersnaam
kwijt/vergeten, uiterst pijnlijk en irritant).
Lees nu liever even Kim Cameron's identityblog.com dan Bruce
Schneiers blog, hij geeft op dit moment eigenlijk geen echte
nieuwe ideeën, Kim doet dat wel.
En er is wel heel wat meer te vertellen over otp, strong
authentication en zo, maar da's leuk voor verdere discussies
en meningen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
