image

PayPal: wachtwoorden zijn morsdood

maandag 13 mei 2013, 12:29 door Redactie, 15 reacties

Een grafsteen met daarop de tekst 'wachtwoorden 1961 tot 2013' gebruikte PayPal beveiligingschef Michael Barrett vorige week tijdens een conferentie om aan te geven dat wachtwoorden morsdood zijn. Volgens Barrett zijn wachtwoorden niet meer geschikt voor het huidige internet. Gebruikers hebben vaak tientallen accounts, elk met een eigen wachtwoord en gebruikersnaam.

Veel gebruikers gebruiken dan ook voor veel accounts hetzelfde wachtwoord, die vaak ook nog eens onveilig zijn. "Gebruikers kiezen slechte wachtwoorden en hergebruiken ze overal", aldus Barrett. "Dat heeft als gevolg dat de veiligheid van hun veiligste account wordt verlaagd tot de veiligheid van de minst veilige plek die ze op internet bezoeken."

Fido
PayPal is ook betrokken bij de Fast IdentityOnline (FIDO) Alliance, een organisatie die het wachtwoord wil uitbannen. FIDO wil wachtwoorden vervangen door 'authenticatiemethoden die veiliger en gebruiksvriendelijker zijn. Hiervoor wordt een open protocol gebruikt. De betrokken partijen ontwikkelen producten en diensten die van het protocol gebruik maken.

Hierdoor zouden apparaten die FIDO ondersteunen automatisch worden herkend en krijgen gebruikers de mogelijkheid om wachtwoorden door een andere authenticatiemethode te vervangen. "Wachtwoorden hebben hun langste tijd als authenticatie-oplossing gehad", ging Barrett verder. "Ze hinderen de ontwikkeling van het internet zelf. Het is duidelijk dat we het niet met een gesloten aanpak kunnen oplossen."

Volgens Barrett verschijnen dit jaar de eerste apparaten met FIDO op de markt, waaronder van Apple. Het gaat onder andere om smartphones met een vingerafdruklezer.

Reacties (15)
13-05-2013, 12:42 door Valheru
Volgen mij moet er ergens een bold tag afgesloten worden in dit artikel ;)

OT:
Ik heb mijn twijfels of zo een systeem veiliger is, jammer dat er niet vermeld word hoe zo een FIDO systeem zou moeten werken en wat je daar voor nodig hebt.
Ook vraag ik mij ernstig af of je met fysieke toegang tot iemands PC niet direct ook toegang hebt tot een zogenaamd FIDO apparaat die mensen ongetwijfeld bij hun PC gaan bewaren.
Mijn wachtwoorden zitten allemaal in mijn hoofd, dus zelfs als iemand mijn PC weet te gebruiken zonder mijn toestemming kan hij/zij alsnog niet mijn login gegevens van diensten achterhalen.
Natuurlijk ben ik een ICT-er dus kies ik wel veilige wachtwoorden, dit geld helaas meestal niet voor het merendeel van de mensen op het internet.

Ik lees dat er een versie is die ook een vingerafdruk of wachtwoord van de gebruiker eist, iets dergelijks lijkt mij noodzakelijk om te voorkomen dat iemand mijn FIDO apparaat mee neemt en zich ergens anders als mij identificeert.
13-05-2013, 13:05 door Anoniem
Het zou me niets verbazen als ze voor dat FIDO-systeem gebruik maken van ..... wachtwoorden ;-)

Maar serieus, ik onderschrijf het gerapporteerde: Te veel wachtwoorden en hergebruik er van.
Zelfs met two-factor weten eindgebruikers het beoogde security niveau te frustreren, door simpelweg de PIN-code op de achterkant van een RSA-token te schrijven.

Pas als je EMV-kaarten (bank, creditcards) voor iets anders zou kunnen gebruiken, en eindgebruikers er zelf baat bij hebben om codes echt veilig te houden, heb je een redelijk alternatief....
13-05-2013, 13:08 door Anoniem
Dus daarmee heeft Apple mijn vingerafdruk. Als ik de Roverheid daar niet mee vertrouw, waarom zou ik appel daar dan wel mee vertrouwen???

Het probleem zit niet in de passwords, het probleem zit in de gebruikers. Je legt de voordeursleutel ook niet meer onder de mat anno 2013.
Hier heeft elk account een eigen UID en PWD. En dat is helemaal niet zo vreselijk ingewikkeld met een password manager. Daar heb ik nou net even meer vertrouwen in dan in een fingerprint reader. Zeker als je de Mythbusters aflevering gezien hebt waarin de deur uiteindelijk toch vrij eenvoudig open gaat...
13-05-2013, 13:20 door Fwiffo
Door Valheru: Ik lees dat er een versie is die ook een vingerafdruk of wachtwoord van de gebruiker eist, iets dergelijks lijkt mij noodzakelijk om te voorkomen dat iemand mijn FIDO apparaat mee neemt en zich ergens anders als mij identificeert.
Iemand die je FIDO apparaat steelt, kan waarschijnlijk ook bij je ID kaart. Zover ik weet is je vingerafdruk gewoon via RFID uit te lezen met speciale (hack) software :-/
13-05-2013, 13:56 door Valheru
Door Fwiffo:
Door Valheru: Ik lees dat er een versie is die ook een vingerafdruk of wachtwoord van de gebruiker eist, iets dergelijks lijkt mij noodzakelijk om te voorkomen dat iemand mijn FIDO apparaat mee neemt en zich ergens anders als mij identificeert.
Iemand die je FIDO apparaat steelt, kan waarschijnlijk ook bij je ID kaart. Zover ik weet is je vingerafdruk gewoon via RFID uit te lezen met speciale (hack) software :-/

Nou, ik weet niet hoor, mijn ID kaart ligt doorgaans niet in de buurt van mijn PC.
Maar ik kan me goed voorstellen dat mensen een FIDO apparaat meenemen naar het werk of gewoon in een tas of broekzak hebben zitten en aangezien er versies bestaan die uitsluitend een USB stick nodig hebben vind ik dat nou niet erg veilig.
De versies waar je een extra item nodig hebt (zoals een vingerafdruk) zou ik meer vertrouwen.
13-05-2013, 14:00 door linuxpro
Joehoe redactie.. doe is ergens < / b > ofzo
13-05-2013, 16:28 door Ramon.C
Door linuxpro: Joehoe redactie.. doe is ergens < / b > ofzo

Closing tag vergeten :) Ja man, alles in het bold / vetgedrukt is lelijk.
13-05-2013, 16:29 door Argot
Biometrische data is niets anders dan een digitale code die óók in het bezit kan komen van hackers.
Het voordeel van een wachtwoord is dat die te veranderen is, maar een vingerafdruk of irisscan niet.
Ik vraag me daarom af of biometrische gegevens daadwerkelijk veiliger zijn. Mijn gevoel zegt van niet.
Verder heeft 'Valheru' ook een goed punt: dat hackers toegang kunnen verkrijgen tot het FIDO-apparaat.
Ik zie de 'keyloggers' en memoryscanners al komen om die digitale codes te onderscheppen...
13-05-2013, 16:53 door Anoniem
Met authenticators gaan werken. Weg met wachtwoorden.
13-05-2013, 16:58 door security matters
zie hier http://www.fidoalliance.org/how-it-works.html

Tuurlijk keyloggers en memoryscanners hou je altijd.Maar het toevoegen van een extra factor lijkt mij een goede zaak!
13-05-2013, 22:05 door Anoniem
Wat is er mis om Lastpass, 1pass of Keepass te gebruiken?? En ja, dan heb je nog steeds 1 password nodig maar dat kan je wel een heel sterk password kiezen.
13-05-2013, 22:58 door Anoniem
Het mag voor Apple vanzelfspreken dat iedereen een smartphone heeft, voor mij spreekt dat helemaal niet vanzelf. Veel te duur. Uitgesloten dat ik mijn wachtwoord inruil voor een smartphone.
14-05-2013, 03:49 door Anoniem
Dan maar liever je wachtwoorden aan een "te vertrouwen" derde partij weggeven? Oh ja, dat klinkt als een goed idee.
14-05-2013, 10:07 door hx0r3z
Door Anoniem: Met authenticators gaan werken. Weg met wachtwoorden.
Ik wil je niet afkraken ofzo maar dit maakt het echt niet VEEL veiliger. Er komen gewoon nieuwe methodes om die authenticators te stelen net zoals keyloggers of formgrabbers wachtwoorden stelen.
Natuurkijk is het wel veel beter als je een kaypair gebruikt dan een simpel wachtwoord zoals bvb "DitisMijnPWS938" want deze kun je heel gouw met een brute-force attack kraken of met een dictionary attack (of combined).
14-05-2013, 10:23 door Anoniem
Ik ben het eens met hx0r3z. Beveiliging kun je doen door de huidige technieken te vervangen door "veiligere" technieken, maar vroeg of laat zullen deze net zo makkelijk onderschept/gehacked/etc. worden als de huidige technieken. Het is daarom niet verstandig om de huidige technieken te vervangen maar om nieuwe technieken toe te voegen! Vervanging is niet de oplossing, defence in dept wel. (uiteraard tot nog bruikbare aantallen. Geen gewone gebruiker zal een wachtwoord op een wachtwoord op een wachtwoord op een biometrische scanner gebruiken om te mogen inloggen)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.