image

Microsoft: biometrisch inloggen veiliger dan wachtwoorden

woensdag 13 april 2016, 10:59 door Redactie, 21 reacties

Microsoft wil dat internetgebruikers geen wachtwoorden meer hoeven te gebruiken en heeft daarom in een testversie van Windows 10 een biometrische inlogfunctie aan Microsoft Edge toegevoegd. Volgens de softwaregigant is biometrisch inloggen namelijk veiliger dan het gebruik van een wachtwoord.

"Wachtwoorden zijn lastig. De meeste mensen kiezen geen sterke wachtwoorden of gebruiken niet voor elke website een ander wachtwoord. Mensen kiezen eenvoudig te herinneren wachtwoorden en gebruiken dat meestal voor al hun accounts", aldus Microsoft. Zodra een wachtwoord dat op meerdere websites wordt gebruikt is gecompromitteerd, lopen alle accounts op deze websites risico.

Microsoft zegt dan ook uit te kijken naar een toekomst waar internetgebruikers geen wachtwoord meer hoeven te onthouden en de server geen wachtwoord meer hoeft op te slaan om een gebruiker in te laten loggen. Om dit te realiseren ontwikkelde Microsoft "Windows Hello". Window Hello is een biometrische inlogmethode, die naast de vingerafdruk ook gezichts- en irisscans ondersteunt. In plaats van een wachtwoord kunnen gebruikers straks via een lichaamskenmerk op websites inloggen.

Om een gebruiker in te laten loggen stuurt de server eerst een 'plain text challenge' naar de browser. Zodra Microsoft Edge de gebruiker via Windows Hello heeft geverifieerd zal het systeem de challenge met een privésleutel van de gebruiker signeren en terug naar de server sturen. Als de server de handtekening via de publieke sleutel van de gebruiker kan valideren en ziet dat de challenge correct is, kan de gebruiker worden ingelogd.

Volgens Microsoft zijn deze sleutels niet alleen sterker dan inloggegevens, ze kunnen ook niet worden geraden en voor meerdere websites worden gebruikt. "De publieke sleutel is op zich zinloos en de privésleutel wordt nooit gedeeld. Niet alleen is Windows Hello een mooie gebruikerservaring, het is ook veiliger omdat het het raden van wachtwoorden, phishing en keylogging voorkomt en het is bestand tegen database-aanvallen op de server", zo claimt Microsoft in een uitleg over de inlogmethode.

Reacties (21)
13-04-2016, 11:20 door Anoniem
Laat ze er maar zo snel mogelijk mee beginnen, dan kunnen de hackers er op los en kan dit ook weer z.s.m. afgeserveerd worden en dan hebben we dat ook weer gehad. Want het is natuurlijk niks. Als je hetzelfde wachtwoord hebt voor verschillende sites wordt dat dom genoemd, maar wat moeten we dan met biometrie: graag je linkeroor voor bol.com, rechteroog voor facebook en je linker teen voor Windows.
13-04-2016, 11:32 door Anoniem
en het is bestand tegen database-aanvallen op de server
Technische uitleg daarover kan ik nergens terugvinden.
Of mijn snappertje begrijpt het gewoon niet helemaal, dat kan ook natuurlijk.


Het grote probleem met biometrische gegevens gebruiken is, dat als ze worden gecompromitteerd, ze voor altijd een gevaar blijven vormen voor de betreffende gebruiker.
13-04-2016, 11:44 door Anoniem
De meeste mensen kiezen geen sterke wachtwoorden of gebruiken niet voor elke website een ander wachtwoord.

Opzich vind ik het idee van public/private key gebruik toe te juichen, echter vingerafdrukken of je iris kun je nooit veranderen dus dat is leuk totdat het 1x uitlekt.
13-04-2016, 11:56 door Anoniem
Een wachtwoord kan ik veranderen mijn vingerafdruk of gelaatsscan niet.
13-04-2016, 12:32 door Anoniem
En wat als je biometrische gegevens gestolen worden? een nieuwe duim of een nieuw oog? of snel eens een reset van je gezicht?
13-04-2016, 12:33 door Anoniem
"De meeste mensen kiezen geen sterke wachtwoorden of gebruiken niet voor elke website een ander wachtwoord."

Klopt! Mijn biometrische kenmerken, aan de andere kant, zijn supersterk (want door niemand te achterhalen), en ik gebruik voor elke website andere. :-)
13-04-2016, 12:44 door [Account Verwijderd]
[Verwijderd]
13-04-2016, 14:00 door Anoniem
Moderne vingerlezers werken meestal niet op basis van het klassieke begrip vingerafdruk. Een "plaatje" van een vingerafdruk gaat dus niet werken. Voor huis tuin en keuken gebruik lijkt het meer dan voldoende.
13-04-2016, 14:39 door Anoniem
Biometrische gegevens zijn al heel makkelijk te stelen. We slaan ze immers reeds op op ons paspoort.
13-04-2016, 16:06 door [Account Verwijderd]
Het moet natuurlijk zijn: "Inloggen via biometrische gegevens is gemakkelijker voor de gebruiker".

1) Biometrie is per definitie niet veiliger omdat je je biometrische gegevens niet kunt wijzigen.
2) SSO = SPOF
3) Microsoft hoeft, middels Windows Hello, echt niet te weten wanneer ik op welke sites inlog en waar vandaan. De zoveelste inbreuk op mijn privacy.

Maar ik ben het helemaal eens met de eerste reactie hierboven. Ik hoop dat ze er snel mee gaan komen en dan, onvermijdelijk natuurlijk, faliekant mee onderuit gaan. Dan hebben we dat gezeur over biometrisch inloggen ook weer gehad. ;-)

Voor de liefhebbers:
Al eerder hier op de site (niet van mij overigens). Biometrische data als backdoor: https://www.security.nl/posting/453398/Biometrische+data+als+backdoor
EFF | Biometrics: https://www.eff.org/issues/biometrics
Dashlane Blog | 10 Reasons Why Biometrics Won’t Replace Passwords Anytime Soon: http://blog.dashlane.com/10-reasons-biometrics-wont-replace-passwords-anytime-soon/
13-04-2016, 16:18 door Anoniem
Door Anoniem:
en het is bestand tegen database-aanvallen op de server
Technische uitleg daarover kan ik nergens terugvinden.
Of mijn snappertje begrijpt het gewoon niet helemaal, dat kan ook natuurlijk.

Dat is het denk ik ja. Het wordt vrij duidelijk uitgelegd in dat artikel vind ik.
13-04-2016, 18:26 door Anoniem
het zal inderdaad veiliger zijn - voor het veiligstellen van regelmatige inkomsten uit datahandel van ms.
13-04-2016, 22:55 door karma4
Userid's / Wachtwoorden zijn zo 1990 voor het al of niet bevestigen (authenticatie) van de bewering wie je bent (identiteit). Er is geen enkele innovatie meer mee mogelijk. Bakker Smid Steenhouwer zijn fraaie beroepen maar die ambachten gaan al tijden op de zelfde voet. Ontwikkeling en vernieuwing zal vanuit een andere hoek komen.

Biometrie met een volledige bodyscan zal vrijwel volledige zekerheid kunnen gaan geven. Wat vandaag nog knullig is, zal morgen met andere sensors geheel anders kunnen uitpakken. De industrialisatie met ICT staat nog in de kinderschoenen.
We hebben nog lang niet alles gezien. Je kunt die verandering proberen te stoppen, geef je weinig kans op data success.
13-04-2016, 23:43 door Anoniem
het is anno 2016 vrij lastig om als eenvoudige computergrbruiker nog te proberen iets zinnigs over security te zeggen tussen talloze al dan niet betaalde trolls door. ja ik had kunnen weten dat dat wel erg 1991 is.
13-04-2016, 23:49 door Anoniem
er reageren mensen hier, en nerdachtige robots, en robotachtige nerds. Kan security.nl de categorieën taggen, voor de duidelijkheid?
14-04-2016, 08:09 door john west
Absolute veilig is een sprookje,je leven is ook niet veilig,en ook zo de software en hardware.
14-04-2016, 08:38 door [Account Verwijderd]
Door karma4: Userid's / Wachtwoorden zijn zo 1990 voor het al of niet bevestigen (authenticatie) van de bewering wie je bent (identiteit). Er is geen enkele innovatie meer mee mogelijk. Bakker Smid Steenhouwer zijn fraaie beroepen maar die ambachten gaan al tijden op de zelfde voet. Ontwikkeling en vernieuwing zal vanuit een andere hoek komen.

Biometrie met een volledige bodyscan zal vrijwel volledige zekerheid kunnen gaan geven. Wat vandaag nog knullig is, zal morgen met andere sensors geheel anders kunnen uitpakken. De industrialisatie met ICT staat nog in de kinderschoenen.
We hebben nog lang niet alles gezien. Je kunt die verandering proberen te stoppen, geef je weinig kans op data success.

Ah, daar is ie: "...Het is niet meer van deze tijd..." Ja, dat is altijd een heel sterk argument. ;-)
14-04-2016, 08:48 door Anoniem
Ik vind het altijd wel fascinerend als het weer over biometrisch inloggen gaat dat een bedrijf nooit iets rept over het feit dat biometrische gegevens niet kunnen worden gewijzigd. Eenmaal uitgelekt, kun je nooit meer een aanpassing doen.

Na PRISM kunnen we ons bovendien ook wel realiseren dat deze data een goudmijn is voor inlichtingendiensten.
14-04-2016, 12:12 door Anoniem
Door Anoniem: er reageren mensen hier, en nerdachtige robots, en robotachtige nerds. Kan security.nl de categorieën taggen, voor de duidelijkheid?
Take a break liquid man! ;)
14-04-2016, 21:29 door karma4
Door Anoniem: Ik vind het altijd wel fascinerend als het weer over biometrisch inloggen gaat dat een bedrijf nooit iets rept over het feit dat biometrische gegevens niet kunnen worden gewijzigd. Eenmaal uitgelekt, kun je nooit meer een aanpassing doen.
Jouw persoon / biometrie is uniek en kan je niet wijzigen. Dat is nu net het beste van zoiets, autenticatie moet goed kunnen komen. De meetgegevens en techniek veranderen constant. Wat ooit via een bepaalde techniek is gedaan kan later nutteloos blijken waardoor nieuwe meetwaarden nodig zijn. Wat zou er moeten uitlekken? Het is geen wachtwoord!
http://www.forensischonderzoeksbureau.nl/index/294/146/Vingerafdrukken.html
15-04-2016, 23:32 door Anoniem
De titel had ook kunnen zijn:

"Mensen kiezen zulke kwetsbare wachtwoorden dat zelfs biometrie veiliger is."

;-P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.