Overal inloggen met vingerafdruk komt steeds dichterbij
Wachtwoorden zijn eigenlijk niet meer van deze tijd. Technologiebedrijven realiseren zich dat maar al te goed. Daarom werken ze aan alternatieven. Overal inloggen met een vingerafdruk komt steeds dichterbij.
De techniek van wachtwoorden zoals we die nu nog steeds gebruiken stamt uit de jaren 60. Terwijl de digitale wereld zich razendsnel ontwikkelde, bleef inloggen via een wachtwoord nagenoeg ongewijzigd. Dat is niet alleen onvriendelijk in gebruik, maar ook onveilig.
Het samenwerkingsverband FIDO (Fast IDentity Online) werkt, gesteund door grote bedrijven zoals Google, Microsoft, PayPal, MasterCard en Visa, al geruime tijd aan een universele en open authenticatiestandaard. Simpel gezegd: een methode die het mogelijk maakt overal veilig in te loggen zonder wachtwoord. Dat wachtwoord moet plaatsmaken voor biometrische gegevens, zoals een vingerafdruk, spraak of gezichtskenmerken, of draagbare hardware, zoals usb-sticks, dongels of tokens.
Inloggen met de FIDO-methode werkt zo: de gebruiker identificeert zich eerst op zijn eigen apparaat, bijvoorbeeld een smartphone. Dat kan door middel van een vingerafdruk, maar ook door iets in te spreken of in de camera te kijken. Die gegevens blijven alléén bewaard op de smartphone, wat de veiligheid ten goede komt: om in te loggen is immers de unieke combinatie van smartphone en vingerafdruk nodig.
Als de gebruiker zich vervolgens aanmeldt bij bijvoorbeeld Facebook, maakt zijn smartphone twee zogenaamde sleutels aan: een privésleutel en een publieke sleutel. De privésleutel blijft bewaard op het apparaat van de gebruiker, de publieke sleutel is in handen van Facebook. Elke keer dat de gebruiker daarna weer inlogt moet hij bewijzen dat hij over de privésleutel beschikt en dus de persoon is wie hij zegt te zijn. Dat kan-ie eenvoudig: met zijn unieke combinatie van smartphone en vingerafdruk.
Vorige maand meldde FIDO dat de eerste versie van deze beveiligingsstandaard is vrijgegeven, waarmee bedrijven de technologie kunnen toepassen in hun producten. Samsung deed het al, in zijn Galaxy S5-smartphone. Die heeft een vingerafdrukscanner waarmee de gebruiker niet alleen zijn toestel kan inschakelen, maar ook zijn account bij onlinebetalingsdienst PayPal kan activeren. Google werkt aan een usb-sleutel die tweestapsverificatie mogelijk maakt en met behulp van de FIDO-standaard controleert of websites die om inloggegevens vragen wel authentiek zijn. Ook Microsoft zegt een product te ontwikkelen, maar geeft geen details. FIDO verwacht dat de standaard in 2015 breed zal aanslaan. Dat staat of valt wel met acceptatie door fabrikant en consument.