Standaard voor wachtwoordloos inloggen in Nederland niet populair
Microsoft kreeg onlangs een FIDO2-certificering voor de Windows 10 'Hello'-inlogprocedure. Gebruikers kunnen zelf kiezen of ze met gezichtsherkenning, een PIN-code of gebruikersnaam/wachtwoord-combinatie willen inloggen. Inmiddels hebben veel grote organisaties een FIDO2-erkenning of ondersteunen ze WebAuthn, de basis van FIDO2. Denk aan bedrijven als Google (met Android), Dropbox, en Salesforce.
Een van de belangrijkste organisaties in Nederland die een veilige authenticatie moet verzorgen is Logius, het bedrijf achter DigiD dat toegang geeft tot alle overheidsdiensten, dienstverleners in de zorg en verzekeringsmaatschappijen. Logius komt echter niet voor in de database van FIDO2-gecertificeerde organisaties.
Gevraagd naar de reden daarvoor zegt Logius-woordvoerder Tycho Carbaat: "Strikt genomen is DigiD een besloten stelsel, waar niet iedereen zomaar aan mag deelnemen. Een organisatie moet namelijk gerechtigd zijn om op basis van een BSN te werken. Vanuit Europese richtlijnen ligt er een focus voor DigiD op het koppelen met identiteitsbewijzen en niet zozeer met biometrische eigenschappen of privésleutels/devices. Een certificering voor FIDO past hier op dit moment niet in: DigiD is geen commercieel of open beschikbaar authenticatieproduct.
Bij een query op de FIDO2-database blijkt van de Nederlandse grootbanken alleen ING een FIDO2-certificaat te hebben. Berend Jan Beugel van de Nederlandse Betaalvereniging zegt daarover: "We zijn van mening dat de inlogdiensten van onze bancaire leden zeer veilig en betrouwbaar zijn, ook zonder FIDO-certificaten. Steeds meer Nederlandse banken maken gebruik van beproefde standaard biometrische functies van smartphones en tablets om veilig, makkelijk en vlot in te loggen en transacties goed te keuren, zonder wachtwoorden of cijfercodes."
Toch is de aandacht er wel
Beugel zegt dat de dat de Betaalvereniging samen met haar leden probeert zinvolle standaarden voor cybersecurity in te voeren. "FIDO heeft onze aandacht. We sluiten zeker niet uit dat in de toekomst ook de FIDO-standaarden collectief worden omarmd. Er zijn geen collectieve afspraken voor FIDO-certificering."
Ook bij Logius is de aandacht voor FIDO2 er wel. "Wij zijn een voorstander van het gebruik van open en veilige standaarden, ook voor DigiD. Momenteel onderzoeken wij het gebruik van o.a. AuthN, zeker omdat dit de beveiliging ten goede kan komen. Voor het wijzigen van een inlogmethode en het tempo waarop dat gebeurd is het voor ons belangrijk dat we alle burgers in scope moeten houden, ook degene die niet beschikken over de allerlaatste software en/of devices of niet heel digitaal vaardig zijn."
Windows 10 en Firefox-account
De FIDO (Fast Identity Online) Alliance is een consortium van bedrijven dat het gebrek aan interoperabiliteit tussen sterke authenticatietechnologieën probeert aan te pakken. De FIDO2-standaardenset garandeert een simpele login die gebruik maakt van een sterke asymmetrische cryptografie, waarbij voor elke website een ander sleutelpaar wordt gegenereerd. Met dit sleutelpaar worden de gegevens die de gebruiker opstuurt, gecontroleerd op echtheid. Door de verschillende sleutelparen worden gebruikers beschermd worden tegen phishing en zogeheten 'replay'-aanvallen.
Doordat de FIDO2-specificatie interoperabiliteit garandeert tussen verschillende inlogsystemen, kunnen Windows 10-gebruikers straks ook Hello gebruiken om in te loggen op hun Mozilla Firefox-account of andere apps of websites die de standaard ondersteunen. Microsofts nieuwe Chromium-gebaseerde Edge-browser maakt ook gebruik van FIDO2.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee