Nieuwe webstandaard moet komaf maken met wachtwoorden
Het World Wide Web Consortium heeft een nieuwe authenticatiestandaard voor het internet goedgekeurd. WebAuthn moet wachtwoorden vervangen bij het beveiligen van online accounts.
Wachtwoorden, daar zijn experts het ondertussen wel over eens, zijn geen geweldige manier om een account te beveiligen. Om zo veilig mogelijk te zijn, moeten ze lang zijn, en moeilijk te onthouden. Daar komt bij dat veel mensen hetzelfde wachtwoord gebruiken voor verschillende sites, waardoor één lek een hele reeks accounts in gevaar kan brengen.
De IT-wereld is dan ook al een tijdje met alternatieven aan het experimenteren, en eentje daarvan wordt nu een officiële webstandaard. Het World Wide Web Consortium (W3C) heeft WebAuthn goedgekeurd als nieuwe authenticatiestandaard voor het wereldwijde internet. Het systeem moet fysieke en biometrische alternatieven bieden bij het beveiligen van online accounts.
WebAuthn (kort voor Web Authentication) is in principe een API die websites toelaat te communiceren met een beveiligingstoestel, om zo een gebruiker te laten inloggen met iets anders dan een wachtwoord. Dat kan bijvoorbeeld een fysieke beveiligingssleutel zijn, of een vingerafdrukscanner. Door de recente certificering van Android voor de FIDO2-standaard, gaan die opties binnenkort ook richting de vingerafdrukscanner of gezichtsscanner van je telefoon.
Net als bij die FIDO2-standaard is het de bedoeling van WebAuthn om wachtwoorden uit te faseren, ten voordele van iets wat je niet op een post-it schrijft om het te onthouden.
WebAuthn kreeg vorig jaar al de status ‘kandidaat-webstandaard’ en wordt al ondersteund door de meeste browsers, zoals Chrome, Firefox, Edge en Safari. Nu het een officiële webstandaard wordt, lijkt het waarschijnlijk dat het systeem op meer plaatsen, en door meer sites, gebruikt zal worden. Een site als Dropbox heeft de standaard vorig jaar al geïnstalleerd, en laat je dus toe om met een beveiligingssleutel in te loggen, en ook Microsoft heeft de stap al gezet. Nu er steeds meer hacks en schandalen uitkomen rond dat andere wachtwoordalternatief, tweestapsverificatie via je gsm, lijkt dit alvast de volgende nieuwe richting voor internetbeveiliging.
Fout opgemerkt of meer nieuws? Meld het hier