Veilig inloggen kan heel goed zonder wachtwoord
Blog-platform Medium trok deze week de aandacht met de introductie van inloggen met alleen je e-mail. Het ontwikkelde die optie na reacties van mensen die geen gebruik willen of kunnen maken van de inlogmethode via Facebook of Twitter, die Medium tot voor kort als enige aanbood. Soms omdat ze daar geen account hebben en dat ook niet willen, soms omdat ze hun zaken gescheiden willen houden, en soms omdat sociale media in hun land gecensureerd zijn.
Shutterstock
Shutterstock
Om die reden zocht Medium naar een andere methode van inloggen. Maar wachtwoorden, dat is niet het antwoord schrijft Jamie Talbot op de site van Medium, want wachtoorden zij noch veilig, noch eenvoudig. Wachtwoorden zijn moeilijk te onthouden of makkelijk te raden, iedereen gebruikt hetzelfde wachtwoord meer dan eens, ook al weet iedereen dat je dat niet moet doen en ze zijn lastig in te toetsen op je mobieltje. En zo veilig zijn ze nu ook weer niet, schrijft Talbot.
Wachtwoordmechanisme aantrekkelijk aanvalsdoel
Met die laatste opmerking refereert Talbot zonder uit te weiden aan het probleem dat wachtwoorden zelf een aantrekkelijk aanvalsvlak vormen voor cybercriminelen. Door opzetjes om ze aan hun doelwit te ontfutselen, door met brute kracht te proberen om ze te raden of door databases met wachtwoordinformatie die bedrijven voor het authenticeren aan moeten houden, te stelen. Websurfers kunnen zich tot op zekere hoogte wapenen tegen deze zwakheden van wachtwoorden door een wachtwoordmanager te gebruiken. Maar dat vinden velen geen prettig idee, en lang niet iedereen wil daarvoor betalen. Bovendien vormt zo'n wachtwoordmanager zelf ook weer een nieuw aanvalsdoel voor hackers.
Medium heeft daarom gekozen voor een veel simpeler oplossing: inloggen met je e-mailadres. Na aanmelden krijg je een mailtje met een link die je moet aanklikken om op de website te komen. Die link blijft 15 minuten geldig, daarna vervalt-ie. En hij is maar één keer te gebruiken; voor iedere nieuwe sessie moet opnieuw een link worden aangevraagd.
Veiliger met gemailde link of token
Het is een aanpak die meer voorstanders kent. Passwordless bijvoorbeeld heeft een open source framework ontwikkeld voor eenmalige authenticatie met een token dat gemaild wordt. Makkelijker voor de website-uitbater, die met een veel simpeler inlogpagina en -routine kan volstaan, makkelijker voor gebruikers, die het wachtwoord niet meer kunnen vergeten, veiliger omdat gebruikers niet zelf hun wachtwoord hoeven te verzinnen of hoeven te vernieuwen na een hack of omdat het te lang hetzelfde is gebleven en ook omdat de 'Wachtwoord vergeten'-routine vaak ook weer eigen kwetsbaarheden introduceert.
Ook volgens Talbot is deze methode veiliger. Hij noemt nog als voordeel dat de rechtmatige bezoeker automatisch in zijn mailbox ziet dat iemand onder zijn naam probeert in te loggen. En dat deze methode kwetsbaar zou zijn voor kraken van je mail, is in de meeste gevallen een schijnprobleem. Wanneer een hacker bij je mail kan, kan hij via de 'Wachtwoord vergeten'-routine immers toch een nieuw wachtwoord aanmaken, redeneert Talbot.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee