NCSC zet in op het uitfaseren van wachtwoorden
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid zet in op het uitfaseren van wachtwoorden, zo liet Koen Sandbrink van het NCSC vorige week tijdens de One Conferentie in het World Forum in Den Haag weten.
Sandbrink, adviseur bij het NCSC, gaf een presentatie genaamd "We Are Going to Kill Passwords (or at Least Try)". Daarin stelde hij dat wachtwoorden een verschrikkelijke manier zijn om mensen te authenticeren. Wachtwoorden kunnen worden gestolen, gephisht, geraden en zijn niet gebruiksvriendelijk. "Wanneer het niet gebruiksvriendelijk is, is het niet veilig", merkte Sandbrink op.
Het NCSC ziet in FIDO 2.0 een beter alternatief voor wachtwoorden. Dit is een standaard van de FIDO Alliance, een verzameling van techbedrijven die wachtwoorden willen vervangen door authenticatiemethoden die "veiliger en gebruiksvriendelijker" zijn. FIDO 2.0 is een authenticatiestandaard die gebruikers onder andere via usb-beveiligingssleutels en biometrie laat inloggen.
"Gebruikers kunnen hetzelfde token voor verschillende diensten hergebruiken wat de gebruikerservaring verbetert, aldus Sandbrink. "We zijn ervan overtuigd dat deze nieuwe standaard de digitale veiligheid aanzienlijk zal verbeteren. Geen wachtwoordlekken meer, geen phishing meer en geen frustraties meer over het wachtwoordbeleid."
Sandbrink vertelde tijdens de presentatie dat het NCSC "vraag en aanbod" wil genereren om het gebruik van FIDO 2.0 aan te moedigen. "Op dit moment is het nog te vroeg om van een campagne te spreken. Onze aanpak zit hem in deze periode hoofdzakelijk nog in informeel contact met de doelgroepen van het NCSC. Wij hopen dat er organisaties zijn die ervaring opdoen met FIDO 2.0 voor authenticatie van eigen werknemers en later eind- of thuisgebruikers", laat Sandbrink aan Security.NL weten.
Het NCSC wil deze ervaringen gebruiken om te zien wat het overgaan op FIDO 2.0 betekent voor beheerlasten, bijkomende (of lager wordende) kosten en wat het doet met aan authenticatie gerelateerde beveiligingsincidenten. Zodra daar meer duidelijkheid over is wil het NCSC andere partijen actiever gaan adviseren om FIDO 2.0 voor authenticatiedoeleinden te gebruiken.
Sandbrink stelt dat in de verdere toekomst de FIDO 2.0-standaard niet alleen voor bedrijfsnetwerken en online toepassingen is te gebruiken, maar ook voor bijvoorbeeld werknemers- en lidmaatschapspassen. "Of alles ook exact die richting op gaat is natuurlijk afhankelijk van de tussentijdse resultaten en ervaringen, maar ik schat de kans klein in dat de problemen dusdanig groot zullen zijn dat we ouderwetse wachtwoorden toch weer gaan aanbevelen."
Reacties (29)
Alleen zo jammer dat het eindgebruikers weer eens een groot stuk zelfbeschikking kost. Maarja je moet wat he. Als ieceetee-ambtenarenbende.
Gezellig met de google-microsoft-facebook-muziek meelopen. Dan tel je mee, als enceejescee.
Gezellig met de google-microsoft-facebook-muziek meelopen. Dan tel je mee, als enceejescee.
Onderdeel van FIDO2 is overigens de WebAuthn standaard, welke inmiddels bij vrijwel alle webbrowsers gebruikt kan worden. Bij o.a. Google, Dropbox, Microsoft en andere grote tech bedrijven kan je hier al enkele jaren gebruik van maken.
Het is al deze tijd nog wachten geweest op platform authenticators zodat je als eindgebruiker niet meer een hardware token (zoals Yubikeys) hoeft aan te schaffen. Inmiddels kunnen zowel Android telefoons als Windows laptops (met de laatste update) als platform authenticator fungeren. Daarmee is het argument 'weer zo'n apparaatje aanschaffen' weggenomen. Grootste zaak nu lijkt mij gebruikers bekend maken met deze manier van inloggen en goed verhalen voor enrollment, cross-device authenticatie (o.a. bluetooth via telefoon) en recovery (backup apparaten).
Mocht je zelf FIDO2 authenticatie willen proberen kan dat op https://webauthn.io/
Het is al deze tijd nog wachten geweest op platform authenticators zodat je als eindgebruiker niet meer een hardware token (zoals Yubikeys) hoeft aan te schaffen. Inmiddels kunnen zowel Android telefoons als Windows laptops (met de laatste update) als platform authenticator fungeren. Daarmee is het argument 'weer zo'n apparaatje aanschaffen' weggenomen. Grootste zaak nu lijkt mij gebruikers bekend maken met deze manier van inloggen en goed verhalen voor enrollment, cross-device authenticatie (o.a. bluetooth via telefoon) en recovery (backup apparaten).
Mocht je zelf FIDO2 authenticatie willen proberen kan dat op https://webauthn.io/
inloggen en goed verhalen voor enrollment, cross-device authenticatie (o.a. bluetooth via telefoon)
Dus Bluetooth is wel veilig."Gebruikers kunnen hetzelfde token voor verschillende diensten hergebruiken wat de gebruikerservaring verbetert, aldus Sandbrink
Leuk en aardig. Maar dat is dus precies wat ik niet wil! Alle diensten volledige gescheiden van elkaar...en biometrie
Dat is dus ook iets wat ik niet wil...Dus 2x wordt de gebruikerservaring alleen maar slechter. Per saldo zou het beter moeten worden. Prettige wedstrijd...
Door Anoniem: Alleen zo jammer dat het eindgebruikers weer eens een groot stuk zelfbeschikking kost. Maarja je moet wat he. Als ieceetee-ambtenarenbende.
Gezellig met de google-microsoft-facebook-muziek meelopen. Dan tel je mee, als enceejescee.
Sorry, maar wtf. Ik blijf me iedere keer weer verbazen hoe mensen op de een of andere manier negatief kunnen zijn over een willekeurig nieuwsbericht. Hier wordt gezegd: 'stop met wachtwoorden, gebruik iets handigers' (bijvoorbeeld een YubiKey). Dit is advies wat al een tijdje wordt gegeven vanuit het NIST en absoluut iets waar de security gemeenschap als geheel al een tijd voor pleit. Het is een standaard die wordt gedragen door ongeveer alle grote tech bedrijven ter wereld. En toch is het mogelijk om hier (ongefundeerd) negatief over te doen? Wow.Gezellig met de google-microsoft-facebook-muziek meelopen. Dan tel je mee, als enceejescee.
Hoe heeft het gebruik van een dergelijke standaard ook maar iets te maken met zelfbeschikking? Het is ook leuk om te ageren tegen Google-Microsoft-Facebook, maar in deze Alliance zitten ook bedrijven als ING, Intel, MasterCard, RSA, ARM, VMware en QualComm. Ga nu niet suggereren dat het gebruik maken van FIDO2 ook maar iets met zelfbeschikking te maken heeft, terwijl het vrij duidelijk is dat dit ab-so-luut onzin is. Lees voor de gein eens [url=https://fidoalliance.org/how-fido-works/]How FIDO Works[/url].
Door Anoniem:
Gegeven de use-case en de alternatieven denk ik zeker dat bluetooth veiliger is dan het gebruik van een username-password combinatie in de meeste gevallen. Je hebt dan immers voor een aanval proximity nodig met het doelwit, waar dat bij user/pass niet het geval is. Tuurlijk, voor gerichte aanvallen, en specifieke doelwitten is het niet afdoende, maar daar ga je andere mogelijkheden voor inzetten. inloggen en goed verhalen voor enrollment, cross-device authenticatie (o.a. bluetooth via telefoon)
Dus Bluetooth is wel veilig.Gewoon 2fa promoten, en dan geen 2fa via sms. Het werkelijke doel van het uitfaseren van wachtwoorden kan ik wel raden.
Door Anoniem:
Bij een challenge/response protocol zoals WebAuthn is de veiligheid van het communicatiekanaal niet zo van belang. inloggen en goed verhalen voor enrollment, cross-device authenticatie (o.a. bluetooth via telefoon)
Dus Bluetooth is wel veilig.(in ieder geval niet zolang het niet mogelijk is de secret key te bepalen aan de hand van de uitwisselingen, wat in het
verleden bij bepaalde protocollen wel gelukt is. maar daar is uiteraard van geleerd.)
Voorstanders van FIDO2 vergeten "gemakshalve" gevolgproblemen te melden, uit https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password:
Tamper-proof is fijn, maar als je een device met daarin jouw private keys kwijtraakt, kun je niet meer inloggen.
En dat vergeet Microsoft (gemakshalve ?) te benoemen in dat artikel. Daarnaast kun je aan de buitenkant van zo'n "sleutel-device" zelden zien waar je allemaal accounts hebt, zodat je op die sites jouw public keys van jouw verloren sleutel kunt revoken - voor het geval dat zo'n key toch niet zo tamper-proof was als geadverteerd. Een wachtwoordmanager met een relatief kort wachtwoord (dat je nergens hergebruikt) en lange random gegenereerde wachtwoorden voor jouw accounts, met een versleutelde database die je kunt back-uppen (moet je wel doen natuurlijk) is zo gek nog niet...
Verlies van zo'n sleutel is natuurlijk ook veel minder een issue als je daar een back-up van hebt. Probleem: als je private keys uit een security device (zoals TPM chips en Yubikeys) zou kunnen halen, kan een aanvaller dat natuurlijk ook (je wilt immers geen vette wachtwoorden meer). Daarom kan dat in de praktijk ook zelden. Fabrikanten (Yubikey, Feitian etc.) raden dan ook aan (niet op hun voorpagina natuurlijk) om minstens twee keys te kopen, ze beide te updaten als je ergens een account aanmaakt/wijzigt (met elk eigen unieke private keys die jouw identiteit bewijzen) waarna je er eentje thuis in de kluis zou moeten bewaren - hoe praktisch is dat?
En los van dit alles: hoeveel FIDO2-enabled diensten ondersteunen momenteel méér dan 1 "sleutel"? Ik heb hier geen onderzoek naar gedaan en ben dus benieuwd.
Het alternatief is natuurlijk de aloude "password reset" waarbij je (of een identiteitsfraudeur) de geboortedatum van jouw moeder moet weten (of iets vergelijkbaars stompzinnigs). De getallen in https://www.security.nl/posting/626672/Microsoft+ontdekt+gerichte+aanval+via+wachtwoordresets geloof ik nu al niet, en deze gaan ongetwijfeld toenemen.
Nb. ik ben niet tegen deze ontwikkelingen, maar ze worden vaak te positief voorgesteld (zonder alle nadelen te beschrijven), waardoor men kan denken dat een goede voorbereiding niet nodig is. Ik zie dit geen grote vlucht nemen en hou het voorlopig bij mijn wachtwoordmanager!
Why a PIN is better than a password
10/23/2017 [...]
What if someone steals the laptop or phone?
To compromise a Windows Hello credential that TPM protects, an attacker must have access to the physical device, and then must find a way to spoof the user’s biometrics or guess his or her PIN—and all of this must be done before TPM anti-hammering protection locks the device.[...]
Dit geldt ook voor losse fysieke sleutels (zie bijv. https://u2f-key.tech/uk/ voor een aantal merken/types):10/23/2017 [...]
What if someone steals the laptop or phone?
To compromise a Windows Hello credential that TPM protects, an attacker must have access to the physical device, and then must find a way to spoof the user’s biometrics or guess his or her PIN—and all of this must be done before TPM anti-hammering protection locks the device.[...]
Tamper-proof is fijn, maar als je een device met daarin jouw private keys kwijtraakt, kun je niet meer inloggen.
En dat vergeet Microsoft (gemakshalve ?) te benoemen in dat artikel. Daarnaast kun je aan de buitenkant van zo'n "sleutel-device" zelden zien waar je allemaal accounts hebt, zodat je op die sites jouw public keys van jouw verloren sleutel kunt revoken - voor het geval dat zo'n key toch niet zo tamper-proof was als geadverteerd. Een wachtwoordmanager met een relatief kort wachtwoord (dat je nergens hergebruikt) en lange random gegenereerde wachtwoorden voor jouw accounts, met een versleutelde database die je kunt back-uppen (moet je wel doen natuurlijk) is zo gek nog niet...
Verlies van zo'n sleutel is natuurlijk ook veel minder een issue als je daar een back-up van hebt. Probleem: als je private keys uit een security device (zoals TPM chips en Yubikeys) zou kunnen halen, kan een aanvaller dat natuurlijk ook (je wilt immers geen vette wachtwoorden meer). Daarom kan dat in de praktijk ook zelden. Fabrikanten (Yubikey, Feitian etc.) raden dan ook aan (niet op hun voorpagina natuurlijk) om minstens twee keys te kopen, ze beide te updaten als je ergens een account aanmaakt/wijzigt (met elk eigen unieke private keys die jouw identiteit bewijzen) waarna je er eentje thuis in de kluis zou moeten bewaren - hoe praktisch is dat?
En los van dit alles: hoeveel FIDO2-enabled diensten ondersteunen momenteel méér dan 1 "sleutel"? Ik heb hier geen onderzoek naar gedaan en ben dus benieuwd.
Het alternatief is natuurlijk de aloude "password reset" waarbij je (of een identiteitsfraudeur) de geboortedatum van jouw moeder moet weten (of iets vergelijkbaars stompzinnigs). De getallen in https://www.security.nl/posting/626672/Microsoft+ontdekt+gerichte+aanval+via+wachtwoordresets geloof ik nu al niet, en deze gaan ongetwijfeld toenemen.
Nb. ik ben niet tegen deze ontwikkelingen, maar ze worden vaak te positief voorgesteld (zonder alle nadelen te beschrijven), waardoor men kan denken dat een goede voorbereiding niet nodig is. Ik zie dit geen grote vlucht nemen en hou het voorlopig bij mijn wachtwoordmanager!
Biometrie is geen geschikt middel voor authenticatie, enkel identificatie.
Door Erik van Straten:Het alternatief is natuurlijk de aloude "password reset" waarbij je (of een identiteitsfraudeur) de geboortedatum van jouw moeder moet weten (of iets vergelijkbaars stompzinnigs). De getallen in https://www.security.nl/posting/626672/Microsoft+ontdekt+gerichte+aanval+via+wachtwoordresets geloof ik nu al niet, en deze gaan ongetwijfeld toenemen.
Waarom geloof je die getallen niet? Denk je dat het er 242 zijn. Of 2410?
Dit lijkt met namelijk geen geval van statistieken, waarmee je vanalles kunt uithalen.
Als ik rogue password resets zie, dan kan ik na enig onderzoek tamelijk nauwkeurig bepalen hoeveel accounts men heeft getracht te compromiteren. En ik ben lang niet zo goed als de forensisch onderzoekers van Microsoft.
Peter
Door Anoniem: Leuk en aardig. Maar dat is dus precies wat ik niet wil! Alle diensten volledige gescheiden van elkaar...
Alle accounts welke je met WebAuthn aanmaakt staan los van elkaar. Dat is het grote verbeterpunt ten opzichte van smartcards en certificaten. Je kunt dus gerust 4 verschillende Google/Website X accounts aanmaken zonder dat deze website weet dat ze op dezelfde authenticator opgeslagen worden.Door Anoniem:
Biometrie bij FIDO2 tokens betekend client side verificatie. Dus je vingerafdrukken komen dus niet verder dan de security chip van je laptop/telefoon. Een goede vingerafdruk geeft toegang tot het gebruik van een private key in de security chip, de server krijgt dus géén biometrische gegevens in handen.en biometrie
Dat is dus ook iets wat ik niet wil...Door Erik van Straten
Tamper-proof is fijn, maar als je een device met daarin jouw private keys kwijtraakt, kun je niet meer inloggen.
[/quote]Ik schreef het in mijn eerder post al, enrollment/cross-device authenticatie en recovery hebben nog een goed verhaal nodig. Echter zou ik ook willen beargumenteren dat de huidige password resets ook belabbert zijn, wat dat betreft zal er niet veel verschil in zitten...
Tamper-proof is fijn, maar als je een device met daarin jouw private keys kwijtraakt, kun je niet meer inloggen.
[/quote]Ik schreef het in mijn eerder post al, enrollment/cross-device authenticatie en recovery hebben nog een goed verhaal nodig. Echter zou ik ook willen beargumenteren dat de huidige password resets ook belabbert zijn, wat dat betreft zal er niet veel verschil in zitten...
Door Erik van Straten
En los van dit alles: hoeveel FIDO2-enabled diensten ondersteunen momenteel méér dan 1 "sleutel"? Ik heb hier geen onderzoek naar gedaan en ben dus benieuwd.[/quote]Bij de diensten waar ik met Webauthn/U2F inlog, allemaal.
En los van dit alles: hoeveel FIDO2-enabled diensten ondersteunen momenteel méér dan 1 "sleutel"? Ik heb hier geen onderzoek naar gedaan en ben dus benieuwd.[/quote]Bij de diensten waar ik met Webauthn/U2F inlog, allemaal.
En als je dan je stick kwijtraakt ( er worden ook laptops van politici in taxi's teruggevonden) dan heeft de vinder jou gehele hebben en houwen.
Gebruikers moeten gewoon eens goed opgevoed worden een lastig wachtwoord te onthouden ipv maandag01 of dochter/zoontje02.
Gebruikers moeten gewoon eens goed opgevoed worden een lastig wachtwoord te onthouden ipv maandag01 of dochter/zoontje02.
En wat als ik van huis ben en even bij een site wil inloggen maar geen authenticator heb?
Het overkwam me dit weekend nog, even bij mijn ouders op bezoek zonder ook maar iets van laptop of iets anders mee, en ik moest daar inloggen op een bepaalde site. Nu kan ik daar gewoon bij lastpass inloggen en mijn randomgegenereerde wachtwoord vinden. Kan dat hiermee ook als ik zonder spullen van huis ga? Zo nee, kunnen ze het van mij vergeten.
Het overkwam me dit weekend nog, even bij mijn ouders op bezoek zonder ook maar iets van laptop of iets anders mee, en ik moest daar inloggen op een bepaalde site. Nu kan ik daar gewoon bij lastpass inloggen en mijn randomgegenereerde wachtwoord vinden. Kan dat hiermee ook als ik zonder spullen van huis ga? Zo nee, kunnen ze het van mij vergeten.
vanaf 1 januari wordt de BIO ingevoerd bij alle nederlandse overheidsinstanties waarin wachtwoord lengte, complexitijd en rotatie worden beschreven.......voorlopig zit onze overheid daar dus nog wel even aan vast. Of gaan we volgendjaar de standaard weer afschieten?
Door botbot: En wat als ik van huis ben en even bij een site wil inloggen maar geen authenticator heb?
Het overkwam me dit weekend nog, even bij mijn ouders op bezoek zonder ook maar iets van laptop of iets anders mee, en ik moest daar inloggen op een bepaalde site. Nu kan ik daar gewoon bij lastpass inloggen en mijn randomgegenereerde wachtwoord vinden. Kan dat hiermee ook als ik zonder spullen van huis ga? Zo nee, kunnen ze het van mij vergeten.
Het overkwam me dit weekend nog, even bij mijn ouders op bezoek zonder ook maar iets van laptop of iets anders mee, en ik moest daar inloggen op een bepaalde site. Nu kan ik daar gewoon bij lastpass inloggen en mijn randomgegenereerde wachtwoord vinden. Kan dat hiermee ook als ik zonder spullen van huis ga? Zo nee, kunnen ze het van mij vergeten.
hoe kom je dan bij lastpass? Met een wachtwoordje? Dat direct in de keylogger verdwijnt?
Los daarvan: vrijheid, blijheid - je mag ook onveilig wachtwoorden blijven gebruiken. Net zoals je de huisdeur niet hoeft af te sluiten of je auto of wat dan ook.
Maar niet klagen dat de rest van de wereld wel doorgaat en probeert af te komen van aantoonbare zwakheden.
Door botbot: En wat als ik van huis ben en even bij een site wil inloggen maar geen authenticator heb?
Het overkwam me dit weekend nog, even bij mijn ouders op bezoek zonder ook maar iets van laptop of iets anders mee, en ik moest daar inloggen op een bepaalde site. Nu kan ik daar gewoon bij lastpass inloggen en mijn randomgegenereerde wachtwoord vinden. Kan dat hiermee ook als ik zonder spullen van huis ga? Zo nee, kunnen ze het van mij vergeten.
Het overkwam me dit weekend nog, even bij mijn ouders op bezoek zonder ook maar iets van laptop of iets anders mee, en ik moest daar inloggen op een bepaalde site. Nu kan ik daar gewoon bij lastpass inloggen en mijn randomgegenereerde wachtwoord vinden. Kan dat hiermee ook als ik zonder spullen van huis ga? Zo nee, kunnen ze het van mij vergeten.
Beetje rare situatie, wat als je je wachtwoord kluis niet standaard bij hebt? Nu heb je het geluk dat je er online bij kan, maar in principe hetzelfde als dat je (een van je) authenticators vergeet. Overigens is het een goed idee om ze in een hardware module op te slaan, niets weerhoud je er van om een software authenticator te gebruiken (het is immers een open standaard). Met andere woorden, je zou in je private keys naast je wachtwoorden in lastpass kunnen bewaren. Sterk afgeraden, maar wel degelijk mogelijk.
Uitzondering is overigens wanneer een website ook attestatie vraagt van de opslag. Hiermee krijgen zij zekerheid dat de private key hardware matig opgeslagen is. Niet de bedoeling om te gebruiken voor consumenten authenticatie maar voor bedrijven die een strict security beleid hebben wel nuttig.
Voeg gewoon Google Authenticator of ander 2FA mechanisme toe; heb je ook weinig meer aan onderschepte credentials.
Je moet gewoon niet al te belangrijke dingen op de computer doen, dan kun je rustig een wachtwoord gebruiken.
Door Anoniem: Voeg gewoon Google Authenticator of ander 2FA mechanisme toe; heb je ook weinig meer aan onderschepte credentials.
Dat is onjuist, ook je authenticator code kan namelijk onderschept worden bij real-time phishing. Vrijwel alle populaire 2FA methoden (push notificaties, RSA tokens, Google Authenticator codes) zijn hier vatbaar voor. Dit is precies een van de punten waar de FIDO2 standaard niet vatbaar voor is door het gebruik van public/private encryption.
08-10-2019, 18:26 door
ph-cofi
"Wanneer het niet gebruiksvriendelijk is, is het niet veilig" (...) "Gebruikers kunnen hetzelfde token voor verschillende diensten hergebruiken wat de gebruikerservaring verbetert"
Spannende argumentatie, als in: "gebruiksvriendelijker is veiliger", dat kan alleen gelden als niet gebruiksgemak/gebruikers-luiheid worden versterkt....via usb-beveiligingssleutels en biometrie laten inloggen.
Aangezien we via biometrie geen verbetering vinden, moeten we onze heil dus bij fysieke sleuteldragers zoeken. Die dan dus ZEKER in de laptoptas bij de laptop worden gestoken, want gebruiksvriendelijk. Bij biometrie stellen we dus eisen aan de hardware, niet foppen met tape of foto van gezicht, graag.Had me ook al verbaasd over gebruik pincodes als alternatief voor wachtwoorden. Pincodes zijn kortere uitsluitend numerieke wachtwoorden. Mogelijk meer gebruiksgemak, en alleen veiliger als de PC op correcte wijze de "TPM anti-hammering protection" doorvoert. Verschuiving van veiligheidsverantwoording van de PC eigenaar naar Intel's TPM werking. Hmmm, hier zit toch geen nevendoel achter?
Als de fysieke sleutel weg is, hoe kan een eigenaar nog de inhoud achterhalen? In de huidige situatie kan men backup maken van de wachtwoordmanager-files en die herstellen naar een andere PC. Zal een Ubikey een dergelijke fallback bieden of zijn er andere preventieve maatregelen verwacht? -- die de meeste mensen niet uit zichzelf willen nemen, want niet gebruiksvriendelijk.
Het gaat ongetwijfeld fantastisch mooi worden. En veilig!
08-10-2019, 18:32 door
Erik van Straten
Door Anoniem:
Ah, dat is dan in elk geval positief.Door Erik van Straten: En los van dit alles: hoeveel FIDO2-enabled diensten ondersteunen momenteel méér dan 1 "sleutel"? Ik heb hier geen onderzoek naar gedaan en ben dus benieuwd.
Bij de diensten waar ik met Webauthn/U2F inlog, allemaal.Door Anoniem:
Dat is onjuist, de anti-phishing maatregel van webauthn staan los van het gebruik van asymmetrische sleutelparen (en bijbehorende uitwisseling van data waarmee het bezit van de private key wordt aangetoond). De reden dat MitM tools als Modlishka meestal niet werken bij webauthn is dat per account, effectief, de domeinnaam van de website wordt onthouden en vergeleken met de actuele (hoofd-) domeinnaam uit de URL in de browser - en het proces blokkeert als daar iets niet aan klopt.Door Anoniem: Voeg gewoon Google Authenticator of ander 2FA mechanisme toe; heb je ook weinig meer aan onderschepte credentials.
Dat is onjuist, ook je authenticator code kan namelijk onderschept worden bij real-time phishing. Vrijwel alle populaire 2FA methoden (push notificaties, RSA tokens, Google Authenticator codes) zijn hier vatbaar voor. Dit is precies een van de punten waar de FIDO2 standaard niet vatbaar voor is door het gebruik van public/private encryption.Het voordeel van het gebruik van asymmetrische sleutelparen voor authenticatie van de gebruiker, is dat als een serverdatabase gehacked wordt, niet meteen (of snel) jouw wachtwoord op straat ligt. Maar dat is natuurlijk maar een pleister op een nare wond als naast jouw public key ook wel vertrouwelijke informatie van jou op straat komt te liggen.
Phishing is nog wel mogelijk als een aanvaller DNS-records weet te hacken of op andere illegale wijze een geldig certificaat voor het betreffende domein weet te verkrijgen, of als de gebruiker door weet te gaan bij certificaatwaarschuwingen of -foutmeldingen (voor zover HSTS die mogelijkheid niet blokkeert). Echter, het aantal mensen dat hun credentials aan "lijkt-op" domeinnamen afgeeft is waarschijnlijk veel groter dan dat dit via websites met correcte domeinnaam en geldig certificaat gebeurt.
Een vergelijkbare oplossing voor 2FA tokens en zelfs voor wachtwoorden is trouwens denkbaar (sterker, ik ben al een tijd bezig om dat uit te werken, maar ik ga daar verder niet op in).
Door Erik van Straten:
Dat is onjuist, de anti-phishing maatregel van webauthn staan los van het gebruik van asymmetrische sleutelparen (en bijbehorende uitwisseling van data waarmee het bezit van de private key wordt aangetoond). De reden dat MitM tools als Modlishka meestal niet werken bij webauthn is dat per account, effectief, de domeinnaam van de website wordt onthouden en vergeleken met de actuele (hoofd-) domeinnaam uit de URL in de browser - en het proces blokkeert als daar iets niet aan klopt.
Het voordeel van het gebruik van asymmetrische sleutelparen voor authenticatie van de gebruiker, is dat als een serverdatabase gehacked wordt, niet meteen (of snel) jouw wachtwoord op straat ligt. Maar dat is natuurlijk maar een pleister op een nare wond als naast jouw public key ook wel vertrouwelijke informatie van jou op straat komt te liggen.
I stand corrected, wat je schrijft is inderdaad het geval.Dat is onjuist, de anti-phishing maatregel van webauthn staan los van het gebruik van asymmetrische sleutelparen (en bijbehorende uitwisseling van data waarmee het bezit van de private key wordt aangetoond). De reden dat MitM tools als Modlishka meestal niet werken bij webauthn is dat per account, effectief, de domeinnaam van de website wordt onthouden en vergeleken met de actuele (hoofd-) domeinnaam uit de URL in de browser - en het proces blokkeert als daar iets niet aan klopt.
Het voordeel van het gebruik van asymmetrische sleutelparen voor authenticatie van de gebruiker, is dat als een serverdatabase gehacked wordt, niet meteen (of snel) jouw wachtwoord op straat ligt. Maar dat is natuurlijk maar een pleister op een nare wond als naast jouw public key ook wel vertrouwelijke informatie van jou op straat komt te liggen.
Biometrische gegevens voor toegangscontrole...
Een pincode of password kun je nog aanpassen. Een biometrische eigenschap aanpassen is een stuk lastiger.
Ik heb dus nog maar 1 "Password".
Daarnaast vindt de wet ook nog van alles over biometrie voor toegangscontrole. Drie letters: AVG.
Leuke proefballon, maar wettelijk niet haalbaar.
Een pincode of password kun je nog aanpassen. Een biometrische eigenschap aanpassen is een stuk lastiger.
Ik heb dus nog maar 1 "Password".
Daarnaast vindt de wet ook nog van alles over biometrie voor toegangscontrole. Drie letters: AVG.
Leuke proefballon, maar wettelijk niet haalbaar.
Door Anoniem: vanaf 1 januari wordt de BIO ingevoerd bij alle nederlandse overheidsinstanties waarin wachtwoord lengte, complexitijd en rotatie worden beschreven.......voorlopig zit onze overheid daar dus nog wel even aan vast. Of gaan we volgendjaar de standaard weer afschieten?
Tja, helaas zijn degenen die bij het opstellen van de BIO niet bepaald lampjes gebleken op security gebied want iedereen met een beetje gezond verstand zou toch moeten beseffen dat vasthouden aan een slecht advies geen best practice is. NIST heeft aangegeven dat hun eerdere advies over de wachtwoordprocedure niet een beste was en dat hebben ze dan ook ingetrokken.Dan zou je toch verwachten dat men bij het opstellen van een beveiligingsnorm daar serieus naar kijkt en daar lering uit trekt. Maar nee, men blijft hardnekkig en stompzinning vasthouden aan een slecht advies en daardoor accepteert men blijkbaar de risico's die daarbij ontstaan.
Bovendien is de BIO geen wet maar een ' best praktice' dus op basis van comply or explain mag je als gemeente gerust van die stompzinnige norm afwijken.
Door Anoniem: Biometrische gegevens voor toegangscontrole...
Een pincode of password kun je nog aanpassen. Een biometrische eigenschap aanpassen is een stuk lastiger.
Ik heb dus nog maar 1 "Password".
Daarnaast vindt de wet ook nog van alles over biometrie voor toegangscontrole. Drie letters: AVG.
Leuke proefballon, maar wettelijk niet haalbaar.
Een pincode of password kun je nog aanpassen. Een biometrische eigenschap aanpassen is een stuk lastiger.
Ik heb dus nog maar 1 "Password".
Daarnaast vindt de wet ook nog van alles over biometrie voor toegangscontrole. Drie letters: AVG.
Leuke proefballon, maar wettelijk niet haalbaar.
Het voordeel van het gebruik van passwordloze authenticatie zoals WebAuthn is juist dat je het biometrie gedeelte
helemaal lokaal kunt houden en je biometrische eigenschappen helemaal niet centraal verwerkt of opgeslagen hoeven
te worden.
Je hebt zelf een device met je sleutelparen erin en DAT device wordt unlocked met een biometrisch gegeven zodat
als je het verliest of op je bureau laat liggen tijdens de lunch niet iemand anders er even misbruik van kan maken.
Zonder vingerafdruk werkt dat ding niet, maar de vingerafdruk ZELF is helemaal niet bij de authenticatie betrokken.
09-10-2019, 11:21 door
Erik van Straten
Dank aan Anoniem 06:55 hierboven voor de eerlijke reactie. Ook ik maak me regelmatig schuldig aan verkeerde aannames en stel het op prijs als ik word gecorrigeerd, want daar leer ik van!
2 vragen.
Wat is het risico als je door een paar criminelen een busje ingetrokken wordt en die je device unlocken met je biometrie?
Wat is het risico dat als genoeg mensen dit hebben het verplicht wordt gesteld op een manier dat je zonder het internet niet meer op komt. I.e. Iedereen volledig accountable (positiief) maar ook volledig trackbaar en gericht te targeten door minder frisse partijen.
Wat is het risico als je door een paar criminelen een busje ingetrokken wordt en die je device unlocken met je biometrie?
Wat is het risico dat als genoeg mensen dit hebben het verplicht wordt gesteld op een manier dat je zonder het internet niet meer op komt. I.e. Iedereen volledig accountable (positiief) maar ook volledig trackbaar en gericht te targeten door minder frisse partijen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
