Wat zijn wachtwoordloze aanmeldingen? Zijn ze eigenlijk veilig?

Advertentie

Wachtwoorden zijn van vitaal belang voor uw internetbeveiliging. Maar met zoveel services, zowel online als offline, is het moeilijk om uw wachtwoorden bij te houden. Wachtwoordloze inlogsystemen beginnen op gang te komen, waardoor de vereiste om een ​​wachtwoord in te voeren elke keer dat u zich aanmeldt bij een service wordt verwijderd.

Maar als u geen wachtwoord gebruikt, hoe beveiligt u uw account? Wat zijn wachtwoordloze aanmeldingen en zijn ze veilig?

Wat is een wachtwoordloze login?

Wachtwoordloze aanmeldingen zijn authenticatiesystemen die alternatieven voor een wachtwoord gebruiken om toegang tot uw account mogelijk te maken. In plaats van een wachtwoord ontvangt u bijvoorbeeld een e-mailmelding die als een aanmeldingstoken fungeert. Als alternatief kunt u een pop-up op uw smartphone ontvangen waarmee u de toegang tot een account kunt beheren.

Daarbij gebruikt wachtwoordloos inloggen vaak een reeds bestaande vorm van authenticatie om uw identiteit te garanderen.

Mogelijk hebt u al wachtwoordloze aanmeldingen aangetroffen met uw Gmail-account. In plaats van dat u telkens wanneer u inlogt, uw wachtwoord moet invoeren, kan Google een prompt rechtstreeks naar uw telefoon sturen. De prompt toont de tijd en locatie van de inlogpoging, met de optie om de inlog goed te keuren of te weigeren.

Hoe werkt een wachtwoordloze login?

Wanneer u inlogt op een website, moet u een wachtwoord opgeven om uw account te ontgrendelen. Het wachtwoord is alleen bekend bij u en de site, zodat uw account veilig blijft. U vertrouwt erop dat de site uw wachtwoord veilig bewaart, veilig opslaat en dat de site zelf niet kwetsbaar is.

Ook gebruikt u zeker al sterke, unieke wachtwoorden voor elke site en service, omdat dat de veiligste manier is.

Het is echter het laatste dat moeilijk is geworden. Door een sterk wachtwoord voor eenmalig gebruik voor elke site te maken, hebben gebruikers gemakkelijk gedenkwaardige maar vreselijke wachtwoorden gemaakt. En zelfs als u een veilig wachtwoord maakt, kan een blik op het aantal datalekken elke maand uw inspanningen ondermijnen.

Met wachtwoordloze authenticatie hoeft u de website niet te vertrouwen met een wachtwoord. In plaats van telkens een wachtwoord in te voeren, gebruiken wachtwoordloze aanmeldingen een paar verschillende verificatiemethoden.

Op e-mail gebaseerde wachtwoordloze authenticatie

Het meest voorkomende wachtwoordloze inlogsysteem is momenteel via e-mail. Veel gebruikers zullen op e-mail gebaseerde wachtwoordloze login het meest vertrouwde systeem vinden, vergelijkbaar met een wachtwoordreset.

Wanneer u probeert in te loggen, geeft u een e-mailadres op. De service verzendt een beveiligde e-mail naar het adres dat aan het account is gekoppeld en de e-mail bevat een veilige magische link voor eenmalig gebruik om uw serviceaccount in te voeren. De magische koppeling bevat een uniek aanmeldingstoken dat door de service wordt geverifieerd en wordt vervangen door een geldig validatietoken.

Er zijn andere varianten op het e-mailsysteem. In het geval van een bestaand account kan de service de gebruiker bijvoorbeeld een DKIM-sleutelcode voor eenmalig gebruik sturen, gekoppeld aan zijn accountgegevens. De gebruiker ontvangt de DKIM-code en voert deze in op de site. De site verifieert de code met de bestaande gebruikersgegevens en voltooit het inlogproces.

Op wachtwoord gebaseerde aanmelding via sms

In dit geval voert de gebruiker een geldig telefoonnummer in. De service verzendt een eenmalige code naar het telefoonnummer. De gebruiker kan zich vervolgens aanmelden bij de service. Als alternatief bieden sommige services aan om de gebruiker te "robo-callen", waarbij een tekst-naar-spraakdienst de code direct zal lezen.

SMS-beveiliging wordt echter onder de loep genomen. De overgrote meerderheid van ons hoeft zich geen zorgen te maken. Maar verschillende waardevolle individuen (vooral die met grote hoeveelheden cryptocurrencies) leden aan sim-hacking-aanvallen via sms. Bekijk precies wat een sim-swapping aanval is en hoe je je daartegen beschermt Wat is simkaart wisselen? 5 tips om jezelf te beschermen tegen deze zwendelMet de toename van toegang tot mobiele accounts en 2FA voor beveiliging, is simkaartwisseling een groeiend beveiligingsrisico. Hier is hoe het te stoppen. Lees verder .

Op biometrische gebaseerde wachtwoordloze aanmelding

Sommige wachtwoordloze inlogmethoden gebruiken biometrische scanservices om uw identiteit te verifiëren. Biometrische authenticatiediensten worden op meer apparaten dan ooit aangeboden. (Zou u overschakelen naar een biometrische dienst voor uw smartphone?)

Het idee is dat wanneer u een site wilt openen, er een prompt op uw smartphone verschijnt. U ontgrendelt de smartphone met behulp van uw biometrische systeem en de ontgrendeling fungeert als verificatie voor uw identiteit.

Afgezien van de Face ID van Apple (voor apparaten inclusief en vervaardigd na de iPhone X, iPad Pro derde generatie en iPod Touch zevende generatie), biometrisch scannen van mobiele apparaten is niet helemaal veilig te stellen.

Andere fabrikanten hebben te maken met scanhardware die niet zo geavanceerd is en misleid wordt met een foto, terwijl er is een volledig 3D-geprinte en geverfde kop voor nodig om Apple's Face ID te misleiden. In andere gevallen, vingerafdrukscanners zorgen voor gedeeltelijke herkenning 5 manieren waarop hackers vingerafdrukscanners omzeilen (hoe u zichzelf kunt beschermen)Denk je dat je vingerafdruklezer je apparaat veilig maakt? Denk nog eens goed na! Hier zijn 5 manieren om vingerafdrukscanners te hacken. Lees verder om een ​​apparaat te ontgrendelen.

Op dit moment is een biometrisch wachtwoordloos inlogsysteem waarschijnlijk niet de beste optie. In de toekomst zou het echter de beste optie kunnen worden.

Fysieke sleutel Wachtwoordloze aanmelding

Fysieke beveiligingssleutels bieden een andere wachtwoordloze login-authenticatie-optie. Een fysieke beveiligingssleutel is een speciale USB-beveiligingssleutel. Wanneer u toegang wilt tot uw account, sluit u uw beveiligingssleutel aan op uw computer. De online service valideert uw account via de beveiligingssleutel, waardoor een wachtwoord niet meer nodig is.

Belangrijke voorbeelden van een fysieke beveiligingssleutel zijn de Titan-serie van Google en de Yubikey-serie van Yubico.

Zijn wachtwoordloze aanmeldingen zoals tweefactorauthenticatie?

Ja en nee.

Ja, een wachtwoordloze aanmelding is vergelijkbaar met tweefactorauthenticatie (2FA), omdat u toegang krijgt tot uw account met een alternatieve authenticatiemethode. 2FA werkt door uw account te beveiligen met behulp van twee afzonderlijke factoren, meestal een wachtwoord en een afzonderlijk apparaat.

Nee, het is niet hetzelfde, want hoewel u een afzonderlijk apparaat gebruikt om uw account te verifiëren, is het nog steeds maar één factor.

Is een wachtwoordloze aanmelding veiliger?

Iets dat gebruikers tegenhoudt vreselijke wachtwoorden te maken, is goed, toch? Wachtwoordloze aanmeldingen verwijderen een ander storingspunt van de eindgebruiker. Momenteel zijn wachtwoordloze aanmeldingen niet wijdverbreid. Verschillende belangrijke services gebruiken ze, zoals Gmail (zoals hierboven vermeld) en Slack Magic Links.

Het grootste positieve voor website-eigenaren en moderators is het plotselinge gebrek aan gebruikerswachtwoorden. Niet-gecodeerde wachtwoorden die in een cleartext-bestand zijn opgeslagen, zijn nachtmerries; het is het spul van dromen voor een hacker. Gebruikers die zelden toegang hebben tot een service, hoeven de rigmarole "reset uw wachtwoord" ook niet te doorlopen.

Wachtwoordloze aanmeldingen kunnen gebruikers ook helpen zich snel bij de service aan te melden. Omgekeerd, als u regelmatig bent afgemeld bij de service, kan het opnieuw autoriseren via e-mail of sms irriterend worden, afhankelijk van de tijdsduur.

Gebruik nu een wachtwoordbeheerder

Wachtwoordloze aanmeldingen nemen de tijd om de mainstream te worden. De bal rolt echter. De meeste grote browsers (alle behalve Safari) ondersteunen wachtwoordloze aanmelding van de een of andere soort. In februari 2019 kondigde Google ook aan dat apparaten met Android 7 (Android Nougat) of later ook ondersteuning voor inloggen zonder wachtwoord zouden ontvangen.

Dat betekent wachtwoordloze login-ondersteuning voor bijna 50 procent van alle Android-apparaten. En wachtwoordloze inlogstandaarden zoals FIDO2 en WebAuthn blijven updates ontvangen, waardoor de authenticatiemethode verder wordt beveiligd.

Op het moment van schrijven heeft u nog een wachtwoord nodig. U hebt een sterk wachtwoord voor eenmalig gebruik nodig. Met dat in gedachten, Waarom zou u geen wachtwoordbeheerder gebruiken? De beste wachtwoordbeheerders voor elke gelegenheidHebt u moeite om uw steeds complexere wachtwoorden te onthouden? Het is tijd om te vertrouwen op een van deze gratis of betaalde wachtwoordbeheerders! Lees verder ?