Het World Wide Web Consortium legde een nieuwe kandidaat-webstandaard vast om in te loggen via biometrische gegevens. Intussen wordt die geïmplementeerd in verschillende browsers en lijkt die op termijn ook het Windows-wachtwoord te zullen gaan vervangen.
Het World Wide Web Consortium, opgericht door internetpionier Tim Berners-Lee, is een organisatie die de webstandaarden voor het internet ontwerpt. Vorige week heeft zij WebAuthn (een afkorting van ‘Web Authentication’) de status verleend van ‘kandidaat-aanbeveling’ als nieuwe webstandaard. Dat betekent dat het consortium bedrijven en ontwikkelaars nu aanmoedigt om deze web-API te implementeren en dat WebAuthn dus een goeie kans maakt om uit te groeien tot onze nieuwe inlogmethode.
WebAuthn belooft gebruikers te beschermen tegen phishing, want als er geen wachtwoorden meer nodig zijn, valt er niets te stelen. “Wachtwoorden zijn één van de zwakste schakels in het waarborgen van een veilig internet, maar daar komt nu een einde aan. WebAuthn zal de manier veranderen waarop mensen inloggen op het web”, zei Jeff Jaffe, de CEO van het World Wide Web Consortium.
Mozilla heeft de WebAuthn-standaard al geïmplementeerd in haar Firefox-browser, terwijl Google en Microsoft nu hetzelfde doen in Chrome en Edge. Vrijdag zullen security-specialisten van Microsoft en Google de nieuwe authenticatie-methodes in hun browsers toelichten op de jaarlijkse RSA-conferentie.
WebAuthn kan op verschillende manieren werken. Eén mogelijkheid is dat u uw gebruikersnaam ingeeft op een website. In plaats van vervolgens uw wachtwoord in te vullen, krijgt u een notificatie op je smartphone en volstaat een vingerafdruk om in te loggen. Een andere mogelijkheid is dat u gebruik maakt van een speciale USB-stick, zoals de Yubikey.
De WebAuthn-API is een belangrijk onderdeel van de open authenticatiestandaard FIDO2. De andere component daarvan is het Client to Authenticator Protocol (CTAP). Die laat toe om in te loggen via USB, bluetooth of NFC.
Microsoft gaat nu dergelijke FIDO2-logins ondersteunen voor haar clouddienst Azure AD, vanaf de volgende update van Windows 10. De wachtwoordvrije ondersteuning is in eerste instantie dus bedoeld voor de zakelijke markt, om bijvoorbeeld in te loggen op gedeelde pc’s. Microsoft wil in een latere fase de wachtwoordvrije ondersteuning ook voor iedereen beschikbaar maken, bijvoorbeeld via een smartphone-app, NFC, of via bluetooth.
