Momenteel is er één primaire manier waarop we online toegang beveiligen: gebruikersnaam en wachtwoord. Maar zelfs als we een lang, gecompliceerd en complex wachtwoord maken, blijft er nog steeds een belangrijk zwak punt in deze beveiligingsconfiguratie: de gebruiker.
Miljoenen zijn al het slachtoffer geworden van phishing-sites, social engineering en andere vormen van aanvallen die wachtwoorden compromitteren. Daarom wil Apple het wachtwoord verwijderen en vervangen door wachtwoordsleutels.
Dus, hoe lossen Apple-wachtwoorden het wachtwoordprobleem op?
Wat is de standaard voor webauthenticatie (WebAuthn)?
Deze standaard is gepubliceerd door het World Wide Web Consortium (W3C), een organisatie die zich toelegt op het bouwen van protocollen en richtlijnen voor webontwikkeling op de lange termijn. Door deze nieuwe authenticatietechnologie te ontwikkelen, hoopt de groep onze afhankelijkheid van wachtwoorden als de primaire of enige manier om onze gegevens te beschermen, te verminderen.
Apple is ook lid van de W3C en ze nemen de WebAuthn-standaard op in Apple-wachtwoorden. Deze functie werkt ook met iCloud-sleutelhanger, dus mensen die deze service al gebruiken, hoeven hun systeem niet te migreren.
Door de WebAuthn API te implementeren, zorgen webontwikkelaars en apparaatfabrikanten voor een authenticatie die op verschillende systemen werkt. Dus of je nu Android, iOS, Mac of Windows gebruikt, dit systeem zonder wachtwoord zou moeten werken.
Hoe houden Apple-wachtwoorden u veilig?
De meesten van ons hebben ooit vertrouwd op gebruikersnaam en wachtwoorden. Waarschijnlijk doe je dat nu nog steeds. Maar wachtwoorden kunnen gemakkelijk worden gehackt, vooral als de gebruiker geen veilig wachtwoord heeft of als hij het slachtoffer is van social engineering.
De traditionele combinatie van gebruikersnaam en wachtwoord betekent ook dat deze informatie online wordt opgeslagen. Dus als de service die u gebruikt, zoals Twitch bijvoorbeeld, wordt gehackt, brengt de aanval de gegevens in gevaar en meer. Als u uw gebruikersnaam en wachtwoord opnieuw gebruikt, wat velen doen, maar we raden u af, lopen ook uw andere accounts gevaar.
Twee-factorenauthenticatie (2FA) is ontwikkeld om dit probleem op te lossen. Door een extra beveiligingslaag toe te voegen, helpen gebruikers ongeautoriseerde toegang tot hun accounts te voorkomen.
Hoewel deze technologie de beveiliging drastisch heeft verbeterd, vooral tegen aanvallen met brute kracht, worden veel gebruikers nog steeds het slachtoffer van: social engineering-aanvallen. En hoewel technisch onderlegde gebruikers aanvallen gemakkelijk kunnen herkennen, kunnen degenen die niet zo vertrouwd zijn dat misschien niet spot de tekenen van aanvallen zoals phishing-zwendel.
Apple-wachtwoorden proberen dit probleem op te lossen door het wachtwoord helemaal te verwijderen. Wanneer u inlogt op een online dienst, hoeft u niet langer uw gebruikersnaam en wachtwoord in te voeren. In plaats daarvan hoeft u alleen de biometrische beveiligingsfuncties van uw apparaat te gebruiken, zoals FaceID of TouchID.
De service is ook niet alleen beperkt binnen uw Apple-apparaat. U kunt wachtwoordsleutels gebruiken op uw Windows-pc of Android-tablet. Zolang u een website bezoekt die de WebAuthn API implementeert, kunt u de biometrische functies van uw Apple-apparaat gebruiken om in te loggen op uw account, zelfs als u deze opent in een niet-Apple-gadget. Het is alsof je je Apple-apparaat gebruikt als een universele sleutel die elke digitale deur kan openen.
Hoe werken Apple-wachtwoorden?
In plaats van de gebruikersnaam en het wachtwoord online bij elkaar te houden, kunnen Apple-wachtwoorden gebruik asymmetrische encryptie. Volgens Apple's beveiligingsondersteuningspagina voor wachtwoorden:
Tijdens de accountregistratie maakt het besturingssysteem een uniek cryptografisch sleutelpaar aan om te koppelen aan een account voor de app of website. Deze sleutels worden door het apparaat, veilig en uniek, voor elk account gegenereerd.
Een van deze sleutels is openbaar en wordt op de server opgeslagen. Deze openbare sleutel is geen geheim. De andere sleutel is privé en is nodig om daadwerkelijk in te loggen. De server leert nooit wat de privésleutel is. Op Apple-apparaten met Touch ID of Face ID kunnen ze worden gebruikt om het gebruik van de toegangscode te autoriseren, die de gebruiker vervolgens authenticeert voor de app of website. Er wordt geen gedeeld geheim verzonden en de server hoeft de openbare sleutel niet te beschermen.
Wanneer u een gebruikersnaam en wachtwoord gebruikt, bevat de server het slot (uw gebruikersnaam) en de sleutel (uw wachtwoord). Om het slot te openen, laat je de server zien dat je een vergelijkbare sleutel hebt, en het opent de deur voor je.
Maar met Apple-wachtwoorden zal de server de sleutel nooit vasthouden. In plaats daarvan geeft het je het slot en ontgrendel je het zelf. En aangezien de server u het slot alleen overhandigt als deze het fysiek heeft (d.w.z. uw gegevens worden daadwerkelijk op de server opgeslagen), zullen phishing-hacks worden niet effectief omdat ze het slot niet hebben (d.w.z. ze kunnen niet om de sleutel vragen, omdat Apple-toegangssleutels deze alleen vrijgeven als ze een geldige op slot doen).
Met dit systeem kan alleen de geldige entiteit om een toegangscode vragen, zodat gebruikers minder snel het slachtoffer worden van phishing-scams en andere social engineering-aanvallen. Het is ook een stuk handiger omdat gebruikers niet langer talloze inloggegevens hoeven te onthouden. Het enige dat ze nodig hebben, is ingelogd zijn op hun 2FA-beveiligde Apple ID.
Een ander voorbeeld van een wachtwoordloos systeem
Hoewel Apple misschien de eerste is die effectief is ingebakken in een smartphone-besturingssysteem, is het niet het eerste bedrijf dat wachtwoordloze systemen implementeert. Als je een Microsoft-account hebt, ben je deze technologie waarschijnlijk wel eens tegengekomen.
Als je hebt ingesteld wachtwoordloze aanmeldingen met uw Microsoft-account, kunt u erop inloggen met de Microsoft Authenticator-app - geen gebruikersnaam en wachtwoord nodig. Hoewel het voornamelijk beschikbaar is in de Microsoft Edge-browser, kunt u ook Windows Hello of een beveiligings sleutel om de Microsoft Authenticator-app te gebruiken om in te loggen op uw Microsoft-account in andere browsers zoals Google Chroom.
Afscheid nemen van wachtwoorden?
Hoewel gebruikersnamen en wachtwoorden al 60 jaar lang gebruikers hebben beschermd, zijn ze misschien: bijna aan het einde van hun leven bedankt voor betere beveiligingssystemen elders, die gemakkelijker te gebruiken zijn te. Naarmate we ons aanmelden voor steeds meer services, kan het idee om tientallen, zo niet honderden combinaties van gebruikersnaam en wachtwoord te onthouden, ontmoedigend zijn.
Hackers worden ook steeds geavanceerder, waardoor ze gegevens kunnen compromitteren, zelfs met verbeterde beveiliging. En hoewel multi-factor-authenticatie de beveiliging van traditionele inloggegevens enigszins heeft verhoogd, blijft de gebruiker nog steeds een belangrijke kwetsbaarheid.
Met wachtwoordsleutels kunnen we van gebruikersnaam en wachtwoord overstappen naar een veiligere toekomst. En naarmate nieuwe technologieën zoals kwantumcomputing worden ontwikkeld en op de markt worden gebracht, dreigt de traditionele combinatie van gebruikersnaam en wachtwoord van de ene op de andere dag achterhaald te worden.