Het FIDO2-protocol slaat de authenticatiesleutel alleen op het apparaat van de gebruiker op in offline omstandigheden. Daarom is het veel veiliger, betrouwbaarder en gemakkelijker te gebruiken.
Update 2 (13-8-2019 om 9:50 uur ET): Google introduceert FIDO2-wachtwoordloze authenticatie voor Google-accounts op Android-apparaten.
Update 1 (7-5-19 om 13:31 ET): Google heeft aangekondigd de algemene beschikbaarheid van deze nieuwe functie, waardoor u uw telefoon kunt gebruiken als beveiligingssleutel voor tweestapsverificatie.
Leven in een wereld zonder wachtwoord is de toekomst waar veel tech-enthousiastelingen van dromen. Er is geen verwachte aankomsttijd of voortgangsbalk over de vooruitgangspiek van deze technologie, maar de komst ervan is onvermijdelijk. Wachtwoorden zijn verouderd, gemakkelijk te vergeten en vaak onveilig. ook als u aanvullende maatregelen neemt zoals 2-factor authenticatie. Zoals veel grote opkomende trends speelt Google ook hierin een rol. Dit zou geen verrassing moeten zijn, aangezien dit bedrijf eigenaar is van het populairste mobiele besturingssysteem, de webbrowser en de populairste zoekmachine. Google heeft de afgelopen jaren samen met partners als Microsoft en andere technologiegiganten gewerkt aan de ontwikkeling van deze technologie. Gisteren heeft het bedrijf opnieuw een grote stap gezet in de richting van de wachtwoordloze functie.
De FIDO-alliantie aangekondigd gisteren op het Mobile World Congress dat Android nu FIDO2-gecertificeerd is. Als je er nog nooit van hebt gehoord: de FIDO Alliance is een vereniging die werkt aan en de normen voor wachtwoordloze authenticatie definieert. Enkele leden van de alliantie zijn Google, Facebook, GitHub, Dropbox, eBay en nog veel meer. Samen met partners van over de hele wereld heeft FIDO Alliance de afgelopen jaren gewerkt aan FIDO2-certificering.
Afgezien van de duidelijke verbeteringen in gemak en bruikbaarheid ten opzichte van de reguliere gedateerde wachtwoorden, biedt het FIDO2-protocol ook een veel betere beveiliging. Traditioneel werkte de authenticatie via wachtwoorden zo: zowel de gebruiker als de dienst hadden een geheime sleutel opgeslagen op de server en het apparaat. Tijdens het authenticatieproces stuurt de gebruiker het wachtwoord naar de server, waar het wordt gecodeerd en gecontroleerd aan de hand van de opgeslagen sleutel. Als de sleutels overeenkomen, krijgt de gebruiker toegang tot zijn account/inhoud. Deze methode heeft nu een groot minpunt: de authenticatiesleutels worden op twee verschillende locaties opgeslagen, waardoor ze twee keer kwetsbaarder zijn voor aanvallen. Het is waar dat er methoden zijn, zoals end-to-end-encryptie, om deze te voorkomen, maar hackers bedenken altijd nieuwe manieren om deze voor de hand liggende tekortkomingen te misbruiken.
Het FIDO2-protocol slaat de authenticatiesleutel alleen op het apparaat van de gebruiker op in offline omstandigheden. Daarom is het veel veiliger, betrouwbaarder en gemakkelijker te gebruiken. FIDO2-certificering is nu beschikbaar op alle mobiele apparaten met Android 7.0 Nougat of hoger. Ontwikkelaars van mobiele en webapplicaties kunnen de API’s nu al gebruiken om de functie in hun eigen diensten te implementeren.
Update 2: Google-accounts
Google is begonnen met het uitrollen van FIDO2-wachtwoordloze authenticatie voor Google-accounts op Android 7+ apparaten, vanaf vandaag voor Pixel-apparaten. Gebruikers kunnen hun vingerafdruk of schermvergrendelingsmethode gebruiken in plaats van hun wachtwoord in te voeren wanneer ze bepaalde Google-services bezoeken. Dit betekent dat een gebruiker zijn vinger één keer kan registreren en deze kan gebruiken voor een groot aantal native- en webservices. De vingerafdruk wordt nooit naar de servers van Google verzonden.
Om het nu uit te proberen, ga naar wachtwoorden.google.com, kies een site om een opgeslagen wachtwoord te bekijken of te beheren en volg de instructies om uw identiteit te bevestigen.
Bron: Googlen