:strip_exif()/u/56159/archer.gif?f=community)
@TijsZonderH
reviews: De toekomst van het wachtwoord - Er moet iets veranderen aan authent...
reviews: De toekomst van het wachtwoord - Er moet iets veranderen aan authent...
Het artikel gaat echter niet echt op in dat een beveiligingssleutel kan ingebouwd zijn op bestaande hardware. Zowel Microsoft als Google hebben dit:
Ook een recentere ontwikkeling ontbreekt: zodra Google en het W3C de caBLE-extensie afhebben, kan elke website hetzelfde als nieuws: Google laat Android-gebruikers hun telefoons inzetten als beveiliging... implementeren. Dat lijkt me persoonlijk de meest waarschijnlijke toekomst: je hebt meerdere devices die met elkaar kunnen verbinden voor authenticatie, eventueel een USB-gebaseerde sleutel als backup op veilige locatie.
Tot slot niet genoemd is dat FIDO2 gebruikersnamen en wachtwoorden compleet overbodig kan maken (met de resident key en user verification opties), wat me een beetje vreemd lijkt aangezien op de eerste pagina wordt genoemd dat volgens Risher "het is volgens hem niet meer dan logisch dat er in de toekomst een alternatief komt". Met FIDO2 is dat er al, zijn werkgever heeft de eerste versie uitgevonden en zet er tot op heden flink op in.
reviews: De toekomst van het wachtwoord - Er moet iets veranderen aan authent...
Wat is hier de bron voor? Dit ben ik zelf nog nooit tegengekomen als gebruiker of developer. Wat ik wel heb gezien als gebruiker is dat de geldigheidsduur van een via SMS verstuurde code te kort is, vaak als de ontvanger "ver van de bewoonde wereld" woont. Als developer: random code (in Redis met automatische expiry) of TOTP gebruiken om een code te genereren.Een voorbeeld van hotp-codes zijn sms'jes die je ter verificatie krijgt, waarbij het meestal niet uitmaakt hoe lang je wacht om ze in te voeren.
reviews: De toekomst van het wachtwoord - Er moet iets veranderen aan authent...
Dat is het meest luxe model, aangezien Yubikeys vooral in de context van FIDO2 zijn genoemd kan het model met een vanafprijs van ~20 euro ook genoemd kunnen worden.Of prijzig, want voor een YubiKey betaal je al snel vijftig euro.
Het artikel gaat echter niet echt op in dat een beveiligingssleutel kan ingebouwd zijn op bestaande hardware. Zowel Microsoft als Google hebben dit:
- Windows 10 devices met TPM 2.0 (verplicht sinds 28 juli 2016): nieuws: Microsoft maakt inloggen bij Microsoft Account met Hello of FIDO2-key...
- Android devices geleverd met versie 7+ (de CDD stelt een TEE verplicht): nieuws: Android krijgt FIDO2-certificering voor inloggen zonder wachtwoord
Ook een recentere ontwikkeling ontbreekt: zodra Google en het W3C de caBLE-extensie afhebben, kan elke website hetzelfde als nieuws: Google laat Android-gebruikers hun telefoons inzetten als beveiliging... implementeren. Dat lijkt me persoonlijk de meest waarschijnlijke toekomst: je hebt meerdere devices die met elkaar kunnen verbinden voor authenticatie, eventueel een USB-gebaseerde sleutel als backup op veilige locatie.
Tot slot niet genoemd is dat FIDO2 gebruikersnamen en wachtwoorden compleet overbodig kan maken (met de resident key en user verification opties), wat me een beetje vreemd lijkt aangezien op de eerste pagina wordt genoemd dat volgens Risher "het is volgens hem niet meer dan logisch dat er in de toekomst een alternatief komt". Met FIDO2 is dat er al, zijn werkgever heeft de eerste versie uitgevonden en zet er tot op heden flink op in.