Microsoft en FIDO

Sorry for English reader, this one is in Dutch even though I try to keep my techgblogs in English I really was too lazy to translate this one, might still do that one of these days though.

 

Vandaag ben ik weer eens gaan bijlezen op mijn security nieuws, ik liep hier een ruime week in achter, zoals in veel dingen, beetje afgeleid door andere dingen.

Dus heb ik natuurlijk weer wat dingen waar ik een mening over heb, deze heb ik al op Facebook gelucht voor een groot gedeelte maar onderstaande werd wel wat lang voor een Facebook post. En misschien ook wel wat te technisch, vandaar een blogje.

 

Microsoft en FIDO

Nu lees ik zojuist dat Microsoft zich bij de FIDO Alliantie heeft aangesloten (Fast IDentity Online).

Deze alliantie  wil graag het gebruik van wachtwoorden vervangen door andere methodes, met name biometrisch, denk dan aan vingerafdruk scans, gezichtsherkenning via webcam of iris scans, misschien zelfs stem herkenning.

Nu rijst er bij mij de vraag: Waarom reduceren we de hoeveelheid opties?

Kijk, het is handig als je met gezichtsherkenning of een vingerafdruk achter je pc kunt en je betalingen kunt regelen, dat staat buiten kijf.

Maar besef wel dat iemand die kwaad wil jou gewoon voor de camera kan planten.

Een wachtwoord afdwingen is al een stapje moeilijker.

 

En waarom word er niet opgeroepen tot een combinatie van beide?

Een vinger is af te hakken of zelfs gewoon met geweld op een display te drukken door iemand, gezicht en stem kun je vrij makkelijk gaan dwingen.

Dus bij stemherkenning zou ik kiezen voor stemherkenning met een passphrase, maar zelfs dat is lastig want als ik die passphrase een aantal keer per dag herhaal dan zal vroeger of later iemand die horen.

Dus wederom, naast een herkenningsalgoritme d.m.v. vingerafdruk of irisscan of andere biometrische opties die er zijn houd ook het wachtwoord in stand.

 

In mijn mening, en die is toch niet bepaald ongefundeerd als iemand zijnde die zich Security+ Certified Professional mag noemen, is het reduceren van de factoren:

- wie ik ben

- wat ik weet

- wat ik heb

 

Tot alleen maar:

- wie ik ben

 

Een erg slecht idee.

Ik zou willen voorstellen om een goeie 3 factor authenticatie te ontwikkelen, bij voorbeeld zoiets:

1. een USB key die een finger print maakt en kan doorsturen via een bepaald protocol, natuurlijk encrypted, secured etc., laten we het bij de theorie houden voor vandaag en niet de praktische details uitwerken)

2. een wachtwoord

3. een losstaand token (wat geïntegreerd kan worden met je USB key voor finger print uitlezen zolang het in de behuizing maar wel gescheiden is) wat ook ingevoerd moet worden.

 

Natuurlijk is dit een grof ideetje wat ik ter plekke in ongeveer 1 minuut bedenk.

Als ik dat kan, hoe kunnen respectabele bedrijven als Microsoft en Google hier dan niet opkomen?

Deze bedrijven hebben mensen in dienst die vele male intelligenter zijn dan ik, waarom denken die hier niet over na?

Ik krijg er een bijsmaak van dat het ze gaat om hardware te kunnen verkopen en om het online aanschaffen van dingen zo laagdrempelig mogelijk te maken zodat mensen sneller in de verleiding komen om iets te kopen en daar ook minder lang de tijd voor hebben om er eens over na te denken.

Dit in een tijdperk waarin online privacy op grote schaal geschonden word, niet alleen door criminelen en louche bedrijven maar ook door grote, gerenommeerde bedrijven en instanties, om over inlichtingendiensten nog maar te zwijgen, vind ik een erg zorgwekkende ontwikkeling.

Als de grote tech bedrijven in deze wereld dit gaan pushen gaan hardware leveranciers hierin mee, ze zullen wel moeten als ze zaken willen blijven doen met Microsoft, dus krijgt de consument het vanzelf bij de aanschaf van een nieuwe pc door zijn strot geduwd, of hij nou wil of niet. En dan zegt zijn OS vanzelf een keer 'U heeft deze authenticatie optie, u kunt niet meer kiezen voor een wachtwoord'.

Natuurlijk weet de wat geavanceerdere gebruiker hier wel raad mee maar het gros van de mensen is geen geavanceerde gebruiker, hun antwoord zal dus zijn 'ja het moest van de computer zo', dis men gaat het dan vanzelf gebruiken.

Niet alleen hebben we dan een open autenticatie platform wat door iedereen te gebruiken is en dus virtueel een index van alle gebruikers op het internet is die hier aan meedoen wat al ontzettend veel opties tot phishing attacks of andere vormen van datamining oplevert en waar misschien zelfs wel, indien voorzien van de nodige kennis, een man in the middle attack mee is uit te voeren.

Maar wat vooral zo slecht is aan dit plan is dat het 1 authenticatie type vervangt voor 1 ander. En dit keer zonder de added bonus dat het stukje informatie wat nodig is voor authenticatie (als het goed is) alleen in jouw eigen hoofd bestaat of misschien in een password kluis.

Dus, ik ben helemaal voor biometrische authenticatie implementeren, mits technisch goed gedaan want ik wil er niet over nadenken hoeveel vingerafdrukken je per dag overal achterlaat. Maar laat het alsjeblieft vergezeld gaan van iets anders, iets wat alleen jij weet, en het allerliefste nog van nog een derde factor, een sms die je ontvangt, een token code, er is zoveel te verzinnen.

Ik zou de FIDO en Microsoft willen oproepen om nog eens goed na te denken over de veiligheidsimplicaties van dit plan en toch vooral de security trilogie voor inlog procedures in gedachte te houden:

- wie ik ben

- wat ik weet

- wat ik heb

 

Zodat in ieder geval op het inlog niveau veilig gewerkt kan worden, daarna mogen ze bedenken hoe ze kunnen voorkomen dat de NSA alle gegevens die bij Google of Facebook op de servers staan kunnen inzien Wink

 

Deze blog is geschreven gebaseerd op dit artikel: https://www.security.nl/posting/372545/Microsoft+sluit+zich+aan+bij+all…

Ik heb verder geen onderzoek gedaan naar de FIDO of hun plannen zal ik eerlijk zeggen, ik heb ze opgemaakt uit dit artikel en daar mijn reactie op gebaseerd.