Wat is 2 staps authenticatie?
Dat ‘welkom123’ niet zo’n veilig wachtwoord is als ‘QuUf84%B!k’ begint eindelijk door te dringen, lijkt het.
Mark Risher, het hoofd van de afdelingen beveiliging en online-identiteit bij Google: ‘Wachtwoorden zijn een overblijfsel uit de tijd dat er één computer stond op een universiteit, of een bibliotheek’.
Dan denk je: dit wordt een verhaal over dat we een wachtwoordmanager moeten gebruiken en veel betere wachtwoorden moeten kiezen dan ‘12345’ of ‘geheim’, zoals nogal wat Belgen doen.
Omdat je al die wachtwoorden niet allemaal kunt onthouden en lang niet iedereen een veilige manier heeft om ze op te slaan, zitten we nu met, volgens Risher, gemiddeld 75 wachtwoorden in grofweg drie categorieën.
1.‘Die voor je bank is meestal behoorlijk veilig, en nog net te onthouden.
2. Voor je Facebook-account volgt er een combinatie van een naam en een getal, al iets veiliger
3. Voor een hele rij diensten waarvoor het een goed idee leek de naam van je huisdier achterstevoren te spellen, al veel onveiliger.
Datalekken
Recente datalekken en politierapporten tonen aan dat een hacker maar één keer in hoeft te kunnen breken in je 2dehands-account om zogenaamd op jouw naam een telefoon te verkopen en er vandoor te gaan met het geld van een argeloze koper.
Security key
Dit alles moet anders, vindt Google. Maar dan een dat alleen jij kunt gebruiken, omdat hij gekoppeld is aan je account.
Probeer je in te loggen met je Google-account op je computer, dan krijg je een pushbericht op je telefoon waarmee je dat bevestigt.
Je mobiel, die je waarschijnlijk toch al het grootste deel van de dag bij je hebt, wordt dus de pas die je langs een virtuele paslezer houdt om bij je account te kunnen.
Met ergens veilig opgeslagen een back-upcode om je account te herstellen voor als je telefoon zoekraakt.
Hiervoor bestaan overigens ook open standaarden als WbAuthn, waaraan Google ook meewerkt.
Maar het is voor een hacker een stuk moeilijker om je te hacken als hij je telefoon vast moet hebben, moet ontgrendelen én bij het apparaat waarop je probeert in te loggen in de buurt moet zijn.
Inloggen met je Google-account gaat wel wat verder dan alleen bij je Google Docs of Gmail kunnen.
Voor wie dat wil, wordt het Google-account een security key voor je leven, belooft Mark Risher namens Google.
Risico
Want je moet wel heel veel vertrouwen hebben in Google om al je wachtwoorden aan hen te geven en in te ruilen voor een security key – van Google.
Jacobs wijst ook op het risico van veel verantwoordelijkheid bij één partij, of het nou Google of een concurrent is.
Eind vorig jaar waren vrijwel alle diensten van Google, van YouTube tot Google Maps tot Google Meet en Gmail, voor ingelogde gebruikers een half uur lang onbruikbaar door een storing.
En dan is er de manier waarop Google geld verdient, voornamelijk door advertenties te verkopen op basis van het gedrag van gebruikers.
De Europese Unie presenteerde onlangs haar plan voor zo’n e-ID, een online-identiteit voor inwoners van de lidstaten buiten de grote Amerikaanse techplatforms om.
Die Amerikaanse agenda is vaak niet dezelfde agenda die ik als als gebruiker heb.