CES 2014: een technologische aanval op het wachtwoord

Het typen van wachtwoorden - en je zorgen maken over datalekken bij online services - kan al snel minder van je tijd in beslag nemen. Deze week op de International Consumer Electronics Show lanceerden verschillende bedrijven technologieën die wachtwoorden omzeilen met authenticatietechnologieën die afhankelijk zijn van vingerafdrukken, ogen of andere trucs. Sommige van deze technologieën zullen dit jaar beschikbaar zijn op bestaande gadgets, terwijl andere zullen worden geïntegreerd in toekomstige pc's, tablets en telefoons. Een daarvan heeft de steun van Google, dat heeft gezegd te hopen dat wachtwoorden uiteindelijk slechts zelden zullen worden gebruikt (zie Google Experimenten met Ring als wachtwoord).





Beveiligingsexperts zeggen al lang dat wachtwoorden een slechte manier zijn om apparaten en online accounts privé te houden. Maar met weinig alternatieven zijn ze het digitale leven gaan domineren. De belangrijkste nadelen van het vertrouwen op wachtwoorden zijn dat mensen moeite hebben om ze te onthouden en ze vaak opnieuw te gebruiken, en bedrijven moeten ze opslaan in centrale databases die het doelwit zijn van criminelen. In oktober 2013 werden ongeveer 150 miljoen gebruikersnamen en wachtwoorden van Adobe-servers gehaald. Evernote, LinkedIn en andere bedrijven hebben te maken gehad met soortgelijke inbreuken.

Gebruikersnamen en wachtwoorden zijn geen goede beveiliging, en ze zijn ook onhandig - en worden moeilijker te beheren naarmate we meer krijgen en ze complexer moeten maken, zegt Stina Ehrensvärd, CEO van Yubico , die op CES de YubiKey Neo demonstreerde, een authenticatie-apparaat vergelijkbaar met een USB-stick.

Het werkt met een protocol genaamd U2F dat wordt ontwikkeld door Google, wiens werknemers het apparaat gebruiken om toegang te krijgen tot interne systemen van het bedrijf. Gebruikers steken hun persoonlijke Neo in de USB-poort van een pc of tikken ermee tegen een mobiel apparaat wanneer ze zich moeten aanmelden bij een app of webservice. Een helper-telefoonapp of de Chrome-browser gebruikt vervolgens de beveiligde chip in de Neo om cryptografische sleutels uit te wisselen met de service. De gebruiker moet ook een korte pincode invoeren.



Hoewel het gebruik van het systeem nieuwe hardware en inlogsystemen vereist, proberen Yubico, Google en sommige partners andere bedrijven en browsermakers ervan te overtuigen het te gebruiken. Ehrensvärd zegt dat grote bedrijven, zoals banken, dit zullen willen doen omdat het de juiste balans biedt tussen meer veiligheid en gebruiksgemak voor hun klanten. De gebruikerservaring kan superglad zijn, zegt ze, en één sleutel is niet gekoppeld aan één bedrijf of dienst. De YubiKey Neo zal later dit jaar in de verkoop gaan voor $ 50 nadat het U2F-protocol verder is verfijnd, zegt Ehrensvärd. Ze verwacht dat veel bedrijven met korting in bulk zullen worden verkocht, waarvan sommige het gratis aan hun klanten kunnen verstrekken.

Verschillende andere bedrijven op CES demonstreerden manieren om lichaamsdelen te gebruiken om je identiteit te bevestigen. Synaptics, dat touchpad- en schermtechnologie bouwt die in veel computers en mobiele apparaten wordt gebruikt, promootte zijn nieuwe divisie voor vingerafdruksensoren.

Vingerafdrukbiometrie is nauwelijks nieuw, maar Sebastien Taveau, voorheen chief technology officer van Validity, een bedrijf voor vingerafdruksensoren dat Synaptics in oktober overnam, zegt dat de scantechnologie nu volwassen genoeg is om gemeengoed te worden. Hij wijst op Apple's opname van een vingerafdruklezer op zijn iPhone 5S, die vorig jaar werd gelanceerd, als een keerpunt. Het maakte het echt tot een consumententechnologie, zegt hij.



Synaptics maakt al vingerafdruklezers die in sommige zakelijke laptops en de HTC One Max-smartphone zitten, maar op CES liet het compactere sensoren zien die makkelijker in gebruik zouden kunnen zijn. Deze leggen een vingerafdruk vast met een tik en kunnen worden geïntegreerd in een knop, zoals die in Apple's 5S iPhone, of zelfs onder het glas van een smartphone in het gebied naast het scherm worden geplaatst. Op termijn wordt het misschien mogelijk om vingerafdruksensoren in het scherm van een aanraakapparaat in te bouwen, zegt Taveau.

Authenticatie-apparaten kunnen ook nieuwe vormen van personalisatie mogelijk maken, zegt Andrew D'Souza, president van Bionym, dat een polsbandje genaamd de Nymi maakt dat de identiteit van telefoongebruikers verifieert aan de hand van de unieke signalen van hun hartslag. We willen graag dat je een restaurant binnenloopt en ze je een drankje geven dat je lekker vindt en je naam onthouden, zegt hij. D'Souza zegt dat zijn bedrijf dit jaar samenwerkingen zal aankondigen met betalings-, retail- en online bedrijven, waardoor mensen kunnen inloggen met de Nymi in plaats van met een wachtwoord.

Een apparaat dat je ogen scant om je toegang te geven tot je pc en online accounts, ook gelanceerd op CES. De Myris is een rond apparaat ter grootte van een computermuis en wordt via een USB-kabel op een computer aangesloten.



Om het te gebruiken, staar je 15 seconden in de kleine spiegel aan de onderkant, gedurende welke tijd een infrarood videocamera 240 punten in elke iris zoekt. Op basis van de individuele handtekening die het detecteert, kan hulpsoftware wachtwoorden invoeren in websites of een computer ontgrendelen die gebruikmaakt van het Windows-, Mac- of Chrome-besturingssysteem.

De Myris gaat in de eerste helft van dit jaar in de verkoop, maar een prijs is nog niet bekend gemaakt door EyeLock, het bedrijf erachter. Chief marketing officer Anthony Antolino vertelde: MIT Technology Review dat tegen het einde van het jaar de technologie zal worden ingebed in sommige pc's en tablets. Dat kan omdat er straks infraroodcamera's in die toestellen verschijnen (zie 3D Camerakoppen naar Laptops en Tablets).

Synaptics, Yubico, EyeLock en andere anti-wachtwoordbedrijven ontwikkelen hun technologie onder de paraplu van de FIDO Alliance, een industriegroep die ervoor moet zorgen dat dergelijke technologieën met elkaar kunnen samenwerken (zie PayPal, Lenovo Launch Campaign to Kill the Password ). FIDO, dat wordt gesteund door grote bedrijven, waaronder Google, Microsoft, PayPal, Lenovo en MasterCard, heeft het U2F-protocol van Google onderschreven.



Welke definitieve protocollen FIDO ook gebruikt, ze zullen één ding gemeen hebben: de vingerafdruk van een persoon, of de unieke identificatiecode van een USB-apparaat, wordt niet via internet verzonden. In plaats daarvan worden ze lokaal gecontroleerd; het enige dat via internet wordt overgedragen, zijn cryptografische sleutels die niet kunnen worden reverse-engineered om iemands identiteit te stelen. Taveau van Synaptics zegt dat dit voldoende bescherming biedt voor iedereen behalve degenen met zeer gemotiveerde vijanden. Als iemand je vinger afsnijdt, zegt hij, heb je grotere problemen.

zich verstoppen