Ah, makkelijk. Is het straks alleen nog maar nodig om 1 set te bruteforcen / social engineeren / sniffen.
Tevens is de gebruiker zo natuurlijk weer wat makkelijker te volgen op internet ...

"De beveiligingsindustrie heeft zich een nieuw doel gesteld, namelijk dat alle internetgebruikers over drie jaar één wachtwoord en gebruikersnaam hebben om overal op het web te kunnen inloggen."

Ik moet dus op security.nl of nujij.nl hetzelfde password gaan gebruik als op internet facing applicaties van mijn werkgever, om maar een voorbeeld te noemen ? En dat zou een doelstelling zijn van ''de beveiligingsindustrie'' ?!?!

Zijn alle beheerders van systemen op internet betrouwbaar, en wil je hen de mogelijkheid geven om op iedere site in te loggen waar je een account hebt ? En wil je het risico lopen indien hackers je wachtwoord in handen krijgen, dat ze je account overal kunnen hergebruiken ?

Deze doelstelling lijkt mij juist -extreem- onveilig.

Het spijt me zeer hoor, misschien kom ik 'kennis' en inzicht te kort, maar ik vind dit een ongelofelijk stupide idee.

Ik hanteer nu diverse 'soorten' wachtwoorden voor diverse doeleinden.
Indien je mijn gebruikersnaam/wachtwoord voor een forum zou weten te achterhalen, dan nog heb je daar niets aan om daaruit een gebruikersnaam/wachtwoord voor een internetwinkel te kunnen samenstellen.
En geen van deze 2 'soorten' lijkt dus op mijn veranderlijke gebruikersnaam/wachtwoord voor bijvoorbeeld DiGiD.

Met 1 universeel wachtwoord speel je dus kwaadwillenden en de overheid regelrecht in de kaart.
De beveiligingsindustrie doet er beter aan om er via educatie en informatie voor te zorgen dat mensen goede gebruikersnamen/wachtwoorden samenstellen en door zoiets als 2-factor identificatie breder toe te passen.

Zoals bijvoorbeeld: zorg dat iemand die ergens wil registreren altijd (link naar extra tabblad) omgeleid wordt naar een website waar te lezen is hoe je het best gebruikersnamen/wachtwoorden samenstelt (en misschien zelfs dat je pas door kan gaan met inloggen als je de informatie gelezen hebt).

Daarnaast is 2-factor identificatie voor bijvoorbeeld al internetwinkels in mijn ogen zeker geen overbodige luxe.
Daarbij hebben veel internetwinkels ook nog steeds de mogelijkheid, dat je een bestelling kunt plaatsen zonder ingelogd te zijn als geregistreerde klant.
Alhoewel dan geen bestellingen meer anoniemer zijn te doen, lijkt het me - bij deugdelijke inlogprocedures - beter dat dit t.z.t. niet meer kan, gezien fraude zoals laatst hier weer eens bericht.
https://www.security.nl/artikel/46332/1/Internetoplichters_bestellen_voor_50.000_euro_bij_webwinkels.html

Wellicht is de oplossing waar hier op gedoeld wordt juist gebaseerd op 2-factor authentication.
Tegenwoordig steeds makkelijker te implementeren.

Zo laat de beveiligingsindustrie weten in wiens belang zij handelen. Hint: Niet het jouwe.

Ivanhoe, ik ben het helemaal met je eens .....

De impact van bij verlies van je inloggegevens wordt vele malen groter. Door bij verschillende diensten verschillende inloggegevens te gebruiken beperk je de potentiële impact. Dit is natuurlijk ook waarom SSO ( Single Sign On) omstreden is en inprincipe niet wenselijk is.

Ik denk daarom ook dat 2-factor authenticatie een hoge prio heeft en geen overbodig luxe is. Daarnaast moeten we op het gebied van 2-factor authenticatie wel uit kijken voor bijv. apps die meer doen dan alleen een OTP genereren. Het is namelijk voor veel aanbieders ook een manier om meer over de gebruiker te weten te komen omdat via de manier ook inzage krijgt in de telefoon van de gebruiker.......

Ik vind dit ook een ontzettend slecht idee. Ik zou dan dezelfde username en wacthwoord moeten gebruiken op het forum van de plaatselijke voetbalclub en voor digitaal bankieren?

Ik weet dat er methodes zijn om ervoor te zorgen dat geen enkele van die organisaties username en wachtwoord te weten komen. Maar ik weet ook dat in de implementaties van die methoden nog regelmatig fouten worden ontdekt. Fouten die het mogelijk maken voor de beheerder van de ene site om op de andere site als de gebruiker in te loggen. Ik geloof niet dat die fouten in 2016 zijn opgelost. We mogen blij zijn als 50% daarvan is opgelost. Nog niet veel organisaties gebruiken die methoden en dus vinden er nog niet veel onderzoeken en aanvallen op plaats.

Peter

Is een leuk idee als ze dit kunnen koppelen aan een spraak, oog, dna en vinger scanner dan wil ik wel 1 algeheel gebruikersnaam/wachtwoord.

Er is juist alle reden om je gegevens en je identiteiten op het internet zoveel mogelijk te versnipperen. Plus een deel ervan buiten het internet, en zelfs helemaal niet-elektronisch te houden. Een waaier aan gebruikersnamen en wachtwoorden, data hier & data daar, mooie analoge apparaten in ere houden, evenals potlood, papier en contant geld. Het internet is mooi, maar houd het een beetje op afstand.

Dat is leuk voor de overheid, dan kunnen ze je nog makkelijker volgen. Want die gegevens worden nhatuurlijk door justitie massaal opgevraagd, en het is altijd handig om meteen je mobiele nummer(s) erbij te krijgen. Ik kan me zo voorstellen dat republikeinen en andere in Nederland vervolgde groepen daar niet op zitten te wachten. En bv. bezoekers van het forum van Martijn al helemaal niet.

Als dit inderdaad volledig web-gebaseerd is, dat gaat het "vertrouwen in anderen" een grote rol spelen. M.a.w. wie host jouw identiteit en doet die partij dat op een goede manier.
Maar natuurlijk kun je die identiteit al zelf beheren. Nu doen we dat vaak al. Ik gebruik ook KeePass, met één wachtwoord. Al die andere wachtwoorden ken ik echt niet. Dus ik heb in feite slechts één (KeePass) identiteit.

Het verschil met een web-gebaseerde identiteit, is dat ik alléén mezelf hoef te vertrouwen, en ik kan mijn sub-identiteiten zelf instellen.

Maar, alles hangt af van het vertrouwen dat je hebt in de beheerder van je identiteit. Kun je die vertrouwen, dan is het OK. Zo niet, dan heb je een probleem, ook al ben je zelf de beheerder van je eigen identiteiten.

De Security industrie wil naar 1 wachtwoord? Diegene die dit verkondigen horen niet thuis in de security industrie.
SSO is in hun ogen dus Stupip Sign On.
Tip: gebruik mydigipass.com ipv keepass of lastpass. 2fa zit hier voor je unsecure logins en bookmarks.