15 augustus 2019
Dennis Paauw
WebAuthn is de naam van een nieuwe standaard die gebruikers in staat stelt om hun wachtwoorden veilig te stellen met een slimme verificatiemethode. Die lijkt op een tweestapsverificatie zoals die van Google Authenticatie, waarbij je ná het invoeren van je username en wachtwoord een code toegestuurd krijgt via een app, sms of e-mail. Met WebAuthn maak je gebruik van Publieke Sleutel Cryptografie (Public Key Cryptography) die ervoor zorgt dat alle communicatie versleuteld verloopt. Je gegevens zijn opgeslagen op een ‘authenticator’ (bijv een USB-key) en die is een stuk lastiger te achterhalen dan je gebruikersnaam of wachtwoord.
Zodra je een online dienst gaat gebruiken, zal deze checken of jij toegang hebt via WebAuthn. Dit doe je dan waarschijnlijk via biometrie (gezichtsherkenning, irisscanner of vingerafdruk) een NFC-lezer, of een hardware sleutel in de vorm van een USB-sleutel die jij alleen hebt.
In onderstaande video zie je hoe WebAuthn met een USB met vingerafdruk werkt.
Ja en nee. In je wachtwoordmanager sla je momenteel je inloggegevens veilig op. Inloggen zonder je gebruikersnaam en wachtwoord is een optie met WebAuthn die (zeker in het begin) nog niet volledig wordt toegepast. Naar verwachting verdwijnt de behoefte aan dergelijke systemen niet, ook niet als je alleen maar in kunt gaan loggen met softwarematige sleutels: ze zullen op de achtergrond als sleutelbeheer gaan werken, in plaats van enkel je inloggegevens opslaan.
WebAuthn biedt een betere bescherming tegen phishing en man-in-the-middle aanvallen die momenteel nog steeds erg effectief zijn. Deze ontwikkeling zal het gebruik van gebruikersnamen en wachtwoorden nog niet direct radicaal gaan veranderen. Mogelijk ga je wel – mede door die tweede authenticatie – vaker inloggen zonder wachtwoord en dat is uiteindelijk weer een stap richting het wachtwoordvrij inloggen op online accounts.
Facebook, Twitter, GitHub, Dropbox, Salesforce en de grote besturingssystemen bieden al ondersteuning voor WebAuthn. Bij volledige adaptatie vanuit de markt zullen andere diensten volgen. Bied jij op dit moment een extranet of kunnen klanten bij jou inloggen? Dan zal dit zeker relevant gaan worden. Als eindgebruiker kun je nu al aan de slag met WebAuthn door middel van een FIDO2 USB-sleutel.
Ben je benieuwd naar de mogelijkheden van WebAuthn voor jouw organisatie? Neem direct contact op met één van onze experts.