Waar we alleen maar van kunnen dromen: Wachtwoordloze Authenticatie
Wat betekent het om compleet wachtwoordloos te leven? Je eerste ingeving is wellicht dat het gaat om SMS-codes, Authenticator-apps, links via vertrouwde e-mailaccounts, enzovoort. Maar als het zo simpel is, waarom leven we dan nog niet in het paradijs van een wachtwoordloos leven? En wat heeft dit te maken met integraties, als het er al iets mee te maken heeft?
Scroll to next sectionWe hebben allemaal wel eens gehoord van de driehoek:
- Iets wat je weet
- Iets wat je hebt
- Iets wat je ben
Als je je verdiept in de beschikbare informatie, dan lijkt het erop dat wachtwoordloos gaan simpelweg betekent dat je geen wachtwoord meer gebruikt, maar dat je nog steeds dezelfde regels volgt als hierboven, alleen dan op andere manieren. We zijn allemaal bekend met de SMS-codes, Authenticator-apps, links via vertrouwde e-mailaccounts, enzovoort.
Niks nieuws onder de zon dus. Toch?
Waar gaat al die hype dan over? Op een laagtechnisch niveau zijn er een paar nieuwe onderliggende technologieën die het gebruik van de "weten/hebben/zijn"-driehoek veilig maken zonder het gebruik van een wachtwoord, iets wat voorheen niet mogelijk was. Met name een protocol genaamd FIDO en een API genaamd WebAuthn. We zullen je de details besparen, maar het komt erop neer dat deze onderliggende technologieën het ons nu in theorie mogelijk maken om een leven zonder wachtwoorden te leiden.
Geweldig. Waarom komt dit dan niet overeen met mijn eigen, huidige realiteit?
Het klinkt zo makkelijk, bijna plug & play.
Veel publicaties (vooral enigszins voorspelbaar, die van wachtwoordloze technologie- of dienstverleners) doen het klinken alsof we slechts een paar muisklikken verwijderd zijn van ‘wachtwoordloosheid’.
Maar als je iets dieper gaat, blijkt het een zeer moeilijk uitvoerbare taak te zijn. Microsoft heeft vorig jaar geprobeerd om groots in te zetten op een wachtwoordloze game, maar dat werd al snel bekritiseerd door anderen.
De implementatie van technologieën om wachtwoordloos te gaan blijkt veel moeilijker dan we denken, vanwege de manier waarop apps en mensen zijn geprogrammeerd.
Voordat we ingaan op de reden waarom dit zo is, moeten we nog iets anders verduidelijken.
De meesten van ons kennen wachtwoordloze authenticatiemethoden uit de huidige constructies voor multifactor-authenticatie. Dit leidt tot verwarring. Multifactor-authenticatie wordt soms ook verward met wachtwoordloze authenticatie, hoewel er in een wachtwoordloze situatie ook een constructie met multifactor-authenticatie kan zijn. Multifactor-authenticatie verwijst slechts naar het aantal stappen in het authenticatieproces en zegt niets over of het om wachtwoordloze authenticatie gaat of niet.
Wachtwoordloze methoden
Globaal gezien zijn dit de categorieën van wachtwoordloze methoden die vandaag de dag beschikbaar zijn:
- Magische links, die je via e-mail ontvangt als een eenmalige manier om toegang te krijgen tot een applicatie
- Eenmalige wachtwoorden of codes die meestal via sms worden verzonden en vervolgens in een applicatie moeten worden ingevoerd voor authenticatie
- Biometrische identificatie op basis van kenmerken zoals een vingerafdruk of een netvliesscan
- Pushmeldingen die op een apparaat moeten worden toegestaan om vervolgens toegang te geven tot een applicatie
Naast deze mogelijkheden kunnen er ook aparte 'codegenerator'-apps worden gebruikt in een wachtwoordloze situatie - deze worden vaak gebruikt bij hedendaagse constructies voor multifactor-authenticatie.
Aan de basis van de verschillende methoden hierboven staat het specifieke apparaat waarop deze worden uitgevoerd. Het is niet alleen een link, code of sms - er is ook een handtekening van je vertrouwde apparaat nodig die wordt geverifieerd, om er zeker van te zijn dat jij degene bent die probeert in te loggen.
Er wordt verwacht dat dit in de loop der tijd verder zal evolueren naar gedragsprofielen, waarbij niet alleen het apparaat, maar ook geolocatie, tijd en andere metadata worden gebruikt om een patroon op te bouwen dat aangeeft hoe een typische gebruikersactiviteit eruitziet. Dit kan vervolgens worden gebruikt om inlogpogingen te classificeren op een spectrum van 'veilig' tot 'risicovol' en afhankelijk daarvan toe te staan, te melden of te blokkeren.
Hoewel niets 100% veilig is (in tegenstelling tot wat sommige blogs van aanbieders beweren), is wachtwoordloos waarschijnlijk veiliger dan authenticatieprocessen die een wachtwoord gebruiken.
En wij zijn zeker overtuigd van de gebruikerservaring van wachtwoordloze methoden!
De belemmeringen
Waarom is wachtwoordloosheid nog niet wijdverspreid als al deze opties en voordelen onze wereld kunnen verrijken? Wat houdt ons als mensen en machines tegen? Vrijwel alle applicaties die we gebruiken, vereisen een wachtwoord voor authenticatie!
Kosten
Hoewel er beweringen zijn dat het tegenovergestelde waar is, zijn wachtwoordgebaseerde authenticatieprocessen het gemakkelijkst en goedkoopst om te implementeren. Dat gezegd hebbende, de pandemie, toename van computerkracht en andere factoren hebben ervoor gezorgd dat cyberaanvallen de afgelopen jaren explosief zijn gestegen. Dus het is de vraag hoelang het argument van 'kosten' stand zal houden.
Gewoonten
Oude gewoonten sterven langzaam, en elke verandering stuit op weerstand. Genoeg gezegd.
Fallback
Het is niet ondenkbaar dat wachtwoorden als fallback-optie zullen blijven bestaan in het geval dat wachtwoordloze methoden voor authenticatie falen.
Compatibiliteit
Het blijkt dat 67% van de organisaties in een enquête heeft aangegeven dat ze niet goed zijn uitgerust om over te stappen naar wachtwoordloos gaan.
Bovendien zijn veel applicaties en zelfs cloudservices gecodeerd met wachtwoordgebaseerde authenticatieprocessen in gedachten. Het veranderen van al deze bijbehorende code zal een lang(zaam) en kostbaar proces zijn. Het is zeer aannemelijk dat applicatieontwikkelaars in de toekomst applicaties zullen bouwen met wachtwoordloze opties, dus deze hindernis zou mogelijk kunnen verdwijnen. Maar niet erg binnenkort.
Integraties & co.
Het verkennen van wachtwoordloos leven heeft ons geleerd dat, net als bij alles, we onze technologie ‘stack’ moeten blijven updaten om om te gaan met nieuwe vormen van authenticatie, zowel aan de machine-/platformkant (als integratieprovider) als aan de kant van mens/gebruiker.
Wat ons betreft zou er een glansrijke toekomst bestaan voor wachtwoordloze integraties, hoewel er veel "mitsen" en "maaren" zijn die nog moeten worden uitgewerkt voordat we ermee aan de slag kunnen. Forbes noemt het volgende:
Het heeft ons aan het denken gezet. Zou er een rol weggelegd zijn voor Harmonizer in de wachtwoordloze wereld? Wellicht…, aangezien onze technologie gebruikmaakt van API's en wachtwoordloze opties die beschikbaar zijn via WebAuthn.
Uiteindelijk hangt het af van de marktvraag, naarmate de technologie volwassen wordt, of het haalbaar is om een nieuwe reeks codeblokken te ontwikkelen voor wachtwoordloze authenticatie tussen verschillende omgevingen.
Het kan zijn dat de industrie het uiteindelijk eens wordt over een standaard die door iedereen wordt overgenomen en ook nog eens perfect werkt. Of misschien komt er een andere, efficiëntere oplossing voor authenticatie boven water dan de hierboven genoemde methoden. Of misschien worden integraties voor wachtwoordloze authenticatieprocessen een compleet nieuwe niche?
Alleen de tijd zal het ons leren.