image

Wachtwoordvervanger Pico voor het eerst op echte site getest

donderdag 4 mei 2017, 15:40 door Redactie, 3 reacties

Een team van beveiligingsexperts dat het wachtwoord als inlogmethode wil uitbannen heeft een alternatief genaamd Pico ontwikkeld en het nu voor het eerst op een echte website getest. Pico werd zes jaar geleden al aangekondigd en kwam drie jaar geleden ook al in het nieuws.

De inlogmethode wordt met geld van de European Research Council ontwikkeld. Het laat gebruikers zonder dat die een geheim hoeven te onthouden op hun account inloggen. Het enige dat volstaat is "iets" dat de gebruiker heeft. Onlangs werd er voor het eerst een test met een grote website georganiseerd. Twaalf gebruikers van fotodeelsite Gyazo maakten gedurende twee weken van Pico gebruik. Die moesten met hun smartphone een qr-code scannen om in te loggen. Een gebruikersnaam of wachtwoord was niet vereist.

De onderzoekers van de Universiteit van Cambridge en Keio University hadden op meer deelnemers aan de test gehoopt, maar zijn blij met de feedback. Deelnemers vonden het idee van Pico namelijk veiliger en eenvoudiger dan wachtwoorden. Sommige gebruikers waren echter niet blij met het scannen van de qr-code. De meeste gebruikers wilden Pico echter op meer websites kunnen gebruiken. In hun rapport over de test stellen de onderzoekers dat Pico in het geval van Gyazo weinig toegevoegde waarde had, aangezien gebruikers op deze website vanwege de lange levensduur van cookies niet vaak hun wachtwoord hoeven in te voeren.

De test liet ook zien dat websites ondersteuning van Pico eenvoudig kunnen toevoegen. Zo hoefde de backend-code van Gyazo niet te worden aangepast en was alleen het toevoegen van in-page JavaScript voldoende. Daarnaast konden eindgebruikers zonder het installeren van een browserplug-in van de technologie gebruikmaken. De onderzoekers willen nu ook authenticatie via bluetooth en nfc gaan ondersteunen en Pico op meer websites uitrollen, alsmede op andere soorten systemen en fysieke apparaten.

Verder willen de onderzoekers het gebruik van Pico zo laagdrempelig mogelijk maken. "Gebruikers kiezen ondanks de nadelen liever voor hetgeen dat ze kennen. Gebruikers zijn gewend aan wachtwoorden en begrijpen ze erg goed", aldus de conclusie van het rapport (pdf). Door Pico gebruiksvriendelijker en bruikbaarder te maken moet dit worden veranderd.

Reacties (3)
05-05-2017, 00:23 door Anoniem
En als je thuis op je pc zit?
05-05-2017, 12:01 door Anoniem
Lijkt me zo op het eerste gezicht een mooie oplossing. Klinkt een beetje als wat ik met ING doe als ik een iDeal betaling goedkeur (binnen de mobiele app afhandelen door het scannen van een QR code).

Alles hangt en staat natuurlijk wel met de beveiliging van de telefoon, maar dat is misschien zelfs makkelijker te beheren als mensen die hun wachtwoord opschrijven en/of overall hetzelfde wachtwoord gebruiken.
07-05-2017, 00:57 door Anoniem
Door Anoniem: En als je thuis op je pc zit?

Je linkt je app aan je account. Je gaat naar de site, vanaf je pc, krijgt een qr-code die je scant met je mobiel, en de app op je mobiel is gekoppeld via een of andere interface aan de website, die je vervolgens toegang verschaft.
Een soort authenticatie die al bestaat maar dan meestal wordt gebruikt als tweede vorm in two-factor authenticatie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.