Nu wij steeds meer online doen en er steeds meer (gevoelige) informatie online wordt opgeslagen wordt het ook steeds belangrijker dat niet alleen de data veilig wordt opgeslagen, maar dat de toegang tot accounts ook veiliger wordt gemaakt. De nieuwe Web Authentication standaard probeert hier een oplossing in te zijn.

Met de groei van (online) diensten en platforms moeten steeds meer accounts aangemaakt worden, en om veiligheidsredenen moet er voor elk account natuurlijk een uniek wachtwoord aangemaakt worden. Niet alleen wordt het beheer van wachtwoorden na verloop van tijd steeds moeilijker, ook is er een inherent beveiligingsrisico en dat is wanneer iemand anders een wachtwoord weet te achterhalen diegene daarmee voldoende heeft om een account volledig over te nemen.

Een oplossing is het gebruik van dubbele authenticatie waarbij naast een gebruikersnaam en wachtwoord nog een tweede "factor" nodig is om in te loggen, vaak een beveiligingscode via een mobiel device. Voor websites komt er nu een nieuwe oplossing: Web Authentication (ook wel WebAuthn genoemd).

Wat is Web Authentication?

Web Authentication is een standaard waar browser makers (zoals Google, Mozilla en Microsoft) maar ook andere belanghebbenden (zoals betaaldienst Paypal en chipfabrikant Qualcomm) een cryptografisch sterke methode hebben ontwikkeld waarmee het inloggen (authenticatie) beter beveiligd wordt door het vervangen of complementeren van een wachtwoord-gebaseerde inlogmethode. Dit alles zonder de eindgebruiker het minder gemakkelijk te maken.

Het idee is dat een website (de "relying party") bij het inloggen een verzoek stuurt naar de browser. De browser neemt dit verzoek over, en stuurt dit verder naar een aparte device (de "authenticator"); dit kan een hardware sleutel zoals een Yubico Security Key zijn, maar ook computer met Windows Hello, of een mobiele device. De persoon die probeert in te loggen moet mogelijk hierna een handeling uitvoeren, bij voorbeeld het laten scannen van een vingerafdruk. Hierna zal de authenticator een cryptografisch veilig antwoord genereren wat naar de website terug wordt gestuurd, en gecontroleerd wordt. Na controle krijgt de bezoeker de nodige toegang.

Het gemak voor de bezoeker zal duidelijk zijn: In plaats van het onthouden en (correct) invullen van een wachtwoord zal alleen een vinger op een scanner gelegd hoeven worden. Of met de juiste technologie zal een scan van het gezicht voldoen.

Het inloggen wordt hiermee dus niet alleen veiliger, maar ook makkelijker.

Wat is er voor nodig?

Om gebruik te maken van Web Authentication is het allereerst nodig dat de betreffende website hier ook gebruik van maakt. Omdat dit nog een nieuwe technologie is zijn dit er op dit moment niet veel, maar onze verwachting is echter dat dit zal groeien. Een dienst die al ondersteuning hiervoor biedt is Dropbox.

Voor de gebruiker is er een browser nodig met ondersteuning voor Web Authentication, en een authenticator die volgens de FIDO2 standaard werkt, en ook door FIDO gecertificeerd is. Op dit moment ondersteunen de nieuwste versies van Google Chrome en Mozilla Firefox Web Authentication; Microsoft Edge brengt binnenkort een update uit voor de Edge browser waar de ondersteuning ook in is verwerkt.

Experimentele technologie

Zoals hierboven duidelijk wordt is dit nog steeds experimentele technologie en zal de ondersteuning de komende tijd moeten toenemen vanuit zowel browsers, als websites en authenticators (hardware sleutels, vingerafdruk scanners, en andere hard- en software oplossingen). Wanneer er eenmaal meer stabiliteit en bekendheid is zullen de grote online diensten snel genoeg moeten volgen.

Voor diegenen die al de benodigde zaken hebben kan Web Authentication getest worden in de testpagina voor Chrome of de testpagina voor Firefox.