Deze week kon je lezen dat het "Login with Facebook" protocol heel gemakkelijk gehackt kan worden via een Javascript, en dat zo de data van de gebruiker onderschept kunnen worden: naam, e-mail adres, leeftijdgroep, geslacht, plaats, profielfoto. Facebook zelf is dit feit, dat door een beveiligingsresearch instellinge aan het licht gebracht werd, aan het onderzoeken.
Nu is het zo dat enorm veel websites gebruik maken van die Facebook login, oAuth. Voor de gebruiker heel gemakkelijk, voor de websites zelf ook, maar o zo kwetsbaar, want je geeft de controle over jouw data af aan Facebook. Nochtans is er wel degelijk iets te zeggen voor het principe zelf van een universele inlogmethode, waarmee je enkel in je account moet loggen en dan overal toegang krijgt zonder moeilijk paswoorden. Alleen - dan zou dat protocol in handen moeten zijn van een neutrale organisatie.
Verschillende aanbieders, o.a. bouwers van browsers, werken trouwens aan een andere optie: dat jouw identiteit als het ware een doosjes zou zijn, waarvan jij de sleutel hebt, en waar websites enkel selectief gegevens kunnen halen, enkel wat zij nodig hebben, en waarvoor jij toestemming geeft. (1)
Microsoft is dan weer bezig met nog een volledig andere oplossing voor het beveiligingsprobleem, en ook die belooft erg interessant te worden. Het heeft deze week een beperkte test opgestart met ondersteuning van het Hello Fido 2 Security Key. Dat verdient wat uitleg. FIDO2 is net als WebAuth een beveiligingsstandaard waarmee je kan inloggen, zonder een wachtwoord te moeten ingeven.
Het principe is dat je werkt met een "sleutel" - dat kan een USB-stick zijn die jou authenticeert, en waarop je klikt telkens een website om een inlog vraagt. Het kan ook gebruikt worden met een vingerafddrukscanner, gelaatsherkenning... Het is de website die bepaalt dat het met die sleutel wil werken, en de browser handelt de conversatie tussen website en sleutel af, ongeacht de sleutel, zolang die maar compatibel is met de FIDO-standaard.
In de Daily Tech News podcast van 18/4 krijg je een goede uitleg over hoe het systeem werkt, en bij WindowsCentral vind je meer informatie.
https://dailytechnewsshow.com
https://techcrunch.com/2018/04/18/login-with-facebook-data-h ...
https://www.windowscentral.com/windows-hello-adding-support- ...
|