Google heeft een FIDO2-certificaat bekomen voor Android. Dat kondigen de techgigant en de Fast Identity Online Alliance aan op het Mobile World Congress in Barcelona. De certificering betekent dat toestellen met Android vingerafdrukken en beveiligingssleutels kunnen gebruiken om in accounts in te loggen.

Inloggen met je vingerafdruk of een beveiligingssleutel is natuurlijk niet nieuw, en het is al langer mogelijk in bijvoorbeeld mobiele banking-apps of een programma als Itsme. Wel trekt de certificatie voor Android die optie nu open voor alle Android-ontwikkelaars. Zo moet het binnenkort mogelijk worden om op veel meer apps in te loggen zonder wachtwoord.

De FIDO2-standaard wordt al langer ondersteund door Google Chrome, Microsoft Edge en Mozilla Firefox browsers en kijkt onder meer na of een site 'echt' is, en geen phishing site. Daarnaast houdt de standaard in dat authenticatiegegevens, zoals je vingerafdrukken, lokaal op het toestel worden opgeslagen. "Een belangrijk en vaak vergeten onderdeel van deze technologie is dat ze niet alleen gebruikers toelaat om via biometrische gegevens in te loggen, maar ook dat ze authenticatie verhuist van een 'gedeeld geheim' model - waarbij jij en de dienst die je gebruikt allebei dat 'geheim', zoals je wachtwoord, kennen - naar een assymetrisch model waar je alleen moet bewijzen dat jij het geheim kent. De dienst die je gebruikt kent daarbij dat geheim zelf niet", zo zegt Christiaan Brand, identity en security product manager bij Google, aan techsite The Verge. Het idee is hier onder meer dat je gegevens niet in groten getale gestolen kunnen worden, bijvoorbeeld wanneer je mailserver door een datalek getroffen wordt.

Veiliger optie

De aanpassing komt alvast niet uit de lucht vallen. Wachtwoorden, zeker het soort dat je kan onthouden, zijn vaak de zwakke schakel in een beveiliging. Zo'n wachtwoord kan soms met wat persoonlijke kennis geraden worden, of kan met genoeg computerkracht worden gekraakt. Na de grote reeks wachtwoordlekken die de techwereld de voorbije jaren al over zich heen kreeg, is het dan ook logisch dat ontwikkelaars al langer richting andere opties kijken. Biometrische gegevens zijn hier één piste, omdat ze in principe moeilijker online te stelen zijn (toch als ze lokaal worden opgeslagen). Veel sites en apps zijn ondertussen ook al overgestapt op twee-staps-verificatie (waarbij je bijvoorbeeld een sms'je krijgt), en Google bracht vorig jaar al zijn eigen beveiligingssleutel uit, een stuk hardware dat ingeplugd moet zijn in je computer om te kunnen inloggen.

Door Android, 's werelds meest gebruikte besturingssysteem, hiervoor open te stellen, kan Google wel eens een gevoelige invloed hebben op de adoptie van deze beveiligingssystemen. De certificering slaat momenteel alleen op toestellen die Android 7 of nieuwer draaien, wat neerkomt op de helft van de Android gebruikers, ofwel een miljard toestellen. De aanpassing zal gebeuren met een automatische update.