Cover image

© iStock

Tech

Binnenkort heb je geen paswoord meer nodig om in te loggen: je eigen apparaten zullen dat voor je doen

Paswoorden moet je op tijd vervangen, ingewikkeld genoeg maken én onthouden maar zelfs dan zijn ze te gevoelig voor hackers. Om schandalen waarbij lijsten met e-mailadressen en paswoorden verkocht werden, te vermijden, schakelt het web binnenkort over naar WebAuthn en kan je gewoon met je smartphone of je vingerafdruk inloggen. 

Er zijn twee problemen met paswoorden. Enerzijds vereist elk paswoord een aantal cijfers, letters, tekens en dergelijke, in een bepaalde volgorde. Die zou voor elke website anders moeten zijn én al die paswoorden zouden ook nog eens elke zoveel maanden moeten veranderen. Tenzij je een goede paswoord-manager hebt, is dat een quasi-onmogelijke taak voor het menselijke brein. Of je gebruikt voor alles 'paswoord'.

Web Authentification

Het tweede probleem is dat al die moeite alsnog voor niets kan blijken te zijn, omdat paswoorden passieve gegevens zijn, die gewoon in lijsten kunnen gegoten worden, en doorverkocht. Het overkwam Yahoo, het overkwam MySpace en het zal dus jou ooit overkomen. Tijd voor een ander systeem dus, en dat heet WebAuthn, of Web Authentification.

Hoe zit het in elkaar? WebAuthn zou de gebruikers laten inloggen via systemen die ze al bezitten. Een smartphone, webcam of zelfs een e-idkaart zouden (in theorie) voldoende moeten kunnen bewijzen dat jij en enkel jij wil inloggen. Met het WebAuthn-procedé stuurt de website info door naar het apparaat dat jij wil, je geeft er op de juiste manier gegevens mee door et voilà. Die gegevens, dat zijn dan uiteraard geen cijfers en letters, maar onvervalsbare info, desnoods zelfs het ID van je smartphone of je vingerafdruk.

Google, Mozilla en Microsoft passen toe

Volgens W3C, het World Wide Web Consortium, de hoge raad van het internet zeg maar, zit WebAuthn in de voorlaatste fase voor release. Nog één testronde, die nog wel een paar jaar kan duren, en het kan dus. Dan is het nog een kwestie van voldoende bedrijven overtuigen om het systeem in te voeren. Maar zowel Google, Mozilla als Microsoft hebben al ja gezegd, het is dus een kwestie van tijd eer WebAuthn over geïntroduceerd wordt.

Uiteraard zijn er al vingerafdruksystemen en dergelijke voor login beschikbaar, de uitdaging zat 'm in een generalistisch systeem te vinden, die op elke toepassing uit te voeren valt. Dan is de kans namelijk veel groter dat iedereen het WebAuthn gaat gebruiken. Enkele jaren onderhandelen later, zijn we dus bijna zover. Geen paswoorden meer.

Veiligheid

Dat zou ook meteen een stuk veiliger moeten zijn. Omdat je apparaat telkens opnieuw een code doorgeeft (en de digitale afdruk daarvan steeds anders is, zoals bij je kaartlezer van de bank), zou het systeem veel veiliger moeten zijn dan paswoorden. Pluspunt: WebAuthn zou ook nog eens veel eenvoudiger zijn en je veel e-mails besparen om je wachtwoord te resetten.

Lees meer