FIDO2 – Uw Digitale Identiteit aan uw sleutelbos

Je digitale identiteit niet in de Cloud, maar fysiek bij je dragen? Met de Windows 10 – April 2018 Update is er door Microsoft een gelimiteerde Preview gestart met FIDO2 Authenticatie. FIDO2 is een nieuw internet-breed authenticatie protocol waarmee wachtwoorden verleden tijd worden en die werkt met fysieke authenticatie tokens. FIDO is de afkorting van Fast IDentity Online. Je draagt hiermee uiteindelijk je digitale identiteit die je gebruikt in de Cloud, fysiek bij je. Afhankelijk van het type token, bijvoorbeeld in de vorm van een sleutelhanger, ontgrendel je deze identiteit bijvoorbeeld door met je vinger de token aan te raken.

Het gedoe en gevaar van wachtwoorden!

Naast dat het inloggen op computers en websites met gebruikersnaam en wachtwoord veel tijd kost, gaat het natuurlijk niet alleen om het ongemak. Slecht of selectief geheugen van gebruikers in combinatie met hoge complexiteitseisen van wachtwoorden, zorgt voor veel hinder en ergernis. Veel mensen, vooral in de ICT, gebruiken hiervoor password managers zoals LastPass en KeePass. Dit zijn zeker handige ‘workarounds’, maar nemen het probleem van wachtwoorden niet weg.

Het komt met grote regelmaat voor dat er een website in het nieuws waarvan de database met persoonsgegevens, bankgegevens of logingegevens is gelekt omdat die is gehackt of dat er onzorgvuldig mee is omgegaan door medewerkers van de website. Een van de meest bekende waarvan wachtwoorden zijn gelekt is die van LinkedIn in 2012. Omdat mensen vaak hetzelfde wachtwoord (of varianten ervan) gebruiken voor meerdere toepassingen zorgt dit ervoor dat hun digitale identiteit geschaad en beschikbaar kan zijn voor kwaadwillende. Op het Dark web is ook een levendige handel in deze gegevens. Je kunt dit voor jezelf (of voor je gehele organisatie) controleren op o.a. de website gotcha.pw.

Daarnaast kunnen ook wachtwoorden opgeslagen en/of doorverwezen worden door websites. De meeste websites gebruiken tegenwoordig een beveiligde SSL verbinding, echter zijn er nog steeds websites die dit niet gebruiken. Kwaadwillenden kunnen relatief gemakkelijk een niet beveiligde verbinding “afluisteren”. Om het bovenstaande gedoe en gevaren aan te pakken is FIDO2 ontwikkeld.

FIDO2? En FIDO(1) dan?

FIDO2 is de opvolger van de FIDO U2F standaard. Op dit ogenblik ondersteunen veel grote websites zoals Google, Dropbox en Salesforce deze standaard. Deze open authenticatie protocollen van de FIDO Alliance zijn mede ontwikkeld door onder andere Google en Yubico met als doel de vervanging van minder (of niet) veilige authenticatie standaarden zoals wachtwoorden, met een meer veilige methode. FIDO U2F gaat uit van het inloggen met een 2e factor (dus bijvoorbeeld Fingerprint), maar FIDO2 voegt het concept van de privé en publieke certificaten toe; multi-factor authenticatie met asymmetrische cryptografie.

Wat is Asymmetrische Cryptografie?

Asymmetrische Cryptografie (Asymmetric Cryptography) is een methode die al lang bestaat en wordt onder andere gebruikt voor certificaten voor websites en computers (PKI). De methode gaat er van uit dat er een digitaal sleutelpaar is. Eén van de twee sleutels is publiekelijk en wordt gebruikt om de informatie te vercijferen (encrypten), dit is de public key. De tweede sleutel is de geheime privé-sleutel en wordt gebruikt om de vercijferde informatie te ontcijferen (decrypten), dit heet de private key. Dit principe kan hiernaast ook gebruikt worden om bijvoorbeeld e-mails te ondertekenen of een identiteit te bevestigen. Door een controlegetal of andere data te encrypten met de private key en het resultaat mee te sturen, kan de ontvanger door middel van de public key het resultaat controleren en bevestigen of de data juist is en/of bevestigen dat diegene is wie hij of zij zegt dat hij of zij is. FIDO2 gebruikt dit principe, maar genereert voor elke website en dienst een ander sleutelpaar. Dit betekent dat wanneer bijvoorbeeld een website van een webshop gehackt wordt, de hackers deze gegevens niet kunnen gebruiken om ergens anders in te loggen.

Hoe werkt deze technologie dan in de praktijk?

De gebruiker gaat zoals in onderstaand voorbeeld met zijn smartphone of computer (User Device) naar een website of toepassing die FIDO2 ondersteund, dit noemen we de Relying Party of RP. Het besturingssysteem of Platform van de smartphone vraagt aan de Authenticator om in te loggen, hiervoor moet de token ontgrendeld worden door bijvoorbeeld je vingerafdruk. De gegevens die van de gebruiker nodig zijn om in te loggen worden vervolgens in de vorm van een bericht (assertion) opgestuurd naar de RP Applicatie server. Deze server bekijkt de gegevens en vraagt aan de FIDO server de bijbehorende publieke sleutel op van de gebruiker. Mocht het totaal kloppen is de gebruiker geauthentiseerd en wordt automatisch ingelogd op de website of toepassing.

En FIDO2 en Windows 10?

Microsoft heeft met de FIDO Alliance samengewerkt om FIDO2 sleutels te genereren voor Windows Hello met als doel om makkelijk en veilig in te kunnen loggen op gedeelde apparaten. Windows Hello is het authenticatiemechanisme van Windows 10 om aan te melden met biometrische gegevens. Tot op heden was het nadeel hiervan dat de biometrische gegevens van de gebruiker hiervoor worden opgeslagen op de computer zelf. Met deze FIDO2 sleutels op de fysieke authenticatie tokens kun je vervolgens veilig inloggen op elke Azure Active Directory gekoppelde Windows 10 computer van de organisatie, zonder dat er een gebruikersnaam-wachtwoord combinatie ingevoerd hoeft te worden én dat de biometrische gegevens niet op de computer zijn opgeslagen. Nadat er is ingelogd op de Windows 10 computer kan er vervolgens in elke website of dienst worden ingelogd die is gekoppeld aan de Azure Active Directory óf gebruik maken van andere gegevens op de token.

De FIDO Alliance

De FIDO Alliance is in 2012 opgericht door onder andere PayPal en Lenovo om een authenticatie protocol te ontwikkelen ter vervanging van wachtwoorden. De FIDO Alliance heeft meerdere doelen om authenticatie te verbeteren, waaronder het verbeteren van de gebruikerservaring, sneller en gemakkelijker maken van het gebruik van een Authenticator en het verbeteren en veiliger maken van authenticatie an sich. In April 2012 hebben ze het werk van Yubico en Google geadopteerd omdat dit volledig overeen kwam met de filosofie van multi-factor en password-less inloggen. De FIDO Alliance heeft op dit ogenblik meer dan 260 leden, waaronder naast Google en Yubico ook Amazon, Intel, ING, Lenovo, Microsoft, RSA en Samsung Electronics.

 Bronnen:

https://www.yubico.com/2018/04/new-security-key-fido2/
https://www.yubico.com/solutions/fido-u2f/
https://fidoalliance.org/specs/fido-v2.0-rd-20170927/fido-overview-v2.0-rd-20170927.html
https://fidoalliance.org/participate/members-bringing-together-ecosystem/
https://www.w3.org/Submission/2015/SUBM-fido-key-attestation-20151120/
https://blogs.windows.com/business/2018/04/17/windows-hello-fido2-security-keys/
https://cloudblogs.microsoft.com/enterprisemobility/2018/04/17/password-less-sign-in-to-windows-10-azure-ad-using-fido2-is-coming-soon-plus-other-cool-news/
https://blog.tokenize.com/fido-2-0-what-is-it-and-why-are-we-excited-31a66df6e113
https://tweakers.net/nieuws/137523/microsoft-kondigt-ondersteuning-van-fido2-hardwaresleutels-in-windows-hello-aan.html

You may be interested

SLTN bezoekt Microsoft Inspire
Microsoft
0 shares284 views
Microsoft
0 shares284 views

SLTN bezoekt Microsoft Inspire

Albert Hooijer - jul 24, 2018

De Microsoft Inspire partnerconferentie werd dit jaar gehouden in Las Vegas. Enkele honderden Nederlandse partners waren aanwezig, waaronder ook Albert…

We brengen u niet naar de cloud!
Cloud
0 shares382 views
Cloud
0 shares382 views

We brengen u niet naar de cloud!

Leonard Verspui - jun 25, 2018

Regelmatig komen op de radio advertenties voorbij van bedrijven die een probleemloze overgang naar de cloud beloven. De tekst van…

Meerdere smaken op de tap in plaats van water uit de kraan
Algemeen
0 shares266 views
Algemeen
0 shares266 views

Meerdere smaken op de tap in plaats van water uit de kraan

Leonard Verspui - jun 25, 2018

Als iedereen straks gebruik maakt van een cloud werkplek, waar zit dan nog jullie onderscheidend vermogen? Dit is een van…