Android-webgebruikers kunnen zichzelf verifiëren met behulp van vingerafdrukken wanneer Google-accounts biometrie gaan toestaan
Houders van een Google-account kunnen binnenkort hun vingerafdrukken gebruiken om hun accounts te verifiëren en in te loggen op hun Android-webapps. De Android OS-maker is nu begonnen met het pushen van een vereenvoudigde authenticatietechniek aan steeds meer diensten die ooit een gebruikersnaam en wachtwoord verplicht stellen voor veilige toegang. De push voor vingerafdrukverificatie komt nadat er verschillende gevallen van succesvolle hacks waren vanwege een slechte wachtwoordkeuze.
Terwijl ze proberen alternatieve beveiligingsverificatiemethoden te bedenken, lijken bedrijven en online serviceproviders genoegen te hebben genomen met biometrische of meer specifiek vingerafdrukverificatie. Pincode, vingerafdruk en zelfs Face ID zijn steeds vaker voorkomende methoden die smartphonegebruikers gebruiken om toegang te krijgen tot hun apparaten. Nu zullen web-apps en andere online platforms vergelijkbare technieken voor vingerafdrukverificatie mogelijk maken. Naast het vereenvoudigen en versnellen van het inloggen, wordt verwacht dat de nieuw geaccepteerde methodologie dit ook doet de beveiliging verhogen vanwege het unieke karakter van het biometrische authenticatiesysteem dat niet gemakkelijk kan worden gehackt of gedupliceerd.
World Wide Web Consortium (W3C) keurt WebAuthn API goed:
Het World Wide Web Consortium (W3C) en Fast Identity Online of FIDO Alliance hadden samen geprobeerd manieren te vinden om de online beveiliging te verbeteren. De groep, die uit verschillende technologiebedrijven bestaat, maakt zich terecht zorgen over de extreem slechte wachtwoordhygiëne die internetgebruikers volgen. Veelgemaakte fouten, zoals het gebruik van dezelfde wachtwoorden op meerdere platforms, het gebruik van eenvoudige wachtwoorden, het niet wijzigen van wachtwoorden, het niet gebruiken van tweefactorauthenticatie en andere slechte gewoonten, hebben ervoor gezorgd dat hackers de beveiliging van verschillende online platforms kunnen binnendringen.
Om de toenemende dreiging van het kraken van wachtwoorden te bestrijden, is de WebAuthn-API gemaakt. Bedrijven als Amazon, Apple, Alibaba, Mozilla, PayPal, Yubico en Google hebben WebAuthn ondersteund, dat deel uitmaakt van de FIDO2-authenticatiespecificatie. De API maakt in wezen wachtwoordvrije logins op mobiele webservices mogelijk. Om dit te realiseren, wordt een gebruiker die op zijn telefoon inlogt op een specifieke website, gevraagd zijn apparaat bij die website te registreren. Na succesvolle registratie kan de gebruiker een eerder geconfigureerde lokale authenticatiemethode gebruiken, zoals een pincode voor schermvergrendeling of een biometrisch mechanisme om toegang te krijgen.
De WebAuthn-API moet online accounts uiteindelijk veiliger maken door de identiteit van de gebruiker met zo min mogelijk hindernissen te bevestigen. Bovendien hoeven gebruikers die voor deze handige en veilige methode kiezen, hun biometrische gegevens slechts één keer bij een bepaald platform te registreren. Native apps en webapplicaties zouden dan gewoon de nieuwe inlogmethode accepteren.
Overigens is Google al begonnen met het uitrollen van het op WebAuthn API gebaseerde wachtwoordvrije authenticatiesysteem voor een aantal van zijn diensten. Gebruikers hebben toegang tot al hun opgeslagen wachtwoorden via Passwords.Google.Com zonder hun inloggegevens voor Google in te voeren. Hoewel dit het enige werkende exemplaar is van de nieuwe wachtwoordvrije methode, zou Google dit binnenkort moeten uitbreiden naar andere services. Simpel gezegd, binnenkort kunnen gebruikers van Google Android-smartphones, die hun inloggegevens op de verschillende Google-platforms hebben opgeslagen, alleen met hun biometrische gegevens of vingerafdruk inloggen.
Ontvangen Google of andere services echte vingerafdrukken?
Met het toenemende gebruik van WebAuthn API en biometrische authenticatie maken gebruikers zich terecht zorgen of hun biometrische gegevens door andere platforms online zouden worden geopend en opgeslagen. Om dit probleem weg te nemen, heeft Google ervoor gezorgd dat biometrische authenticatie nooit de smartphone verlaat waarop ze worden gebruikt. Met andere woorden, noch Google, noch andere bedrijven ontvangen een kopie van de vingerafdrukken van gebruikers. Alles wordt lokaal uitgevoerd en alleen een "bewijs" wordt verzonden. "Alleen een cryptografisch bewijs dat u het correct hebt gescand, wordt naar de servers van Google verzonden. Dit is een fundamenteel onderdeel van het FIDO2-ontwerp, ”merkte Google op.
Google Android-smartphones met Android Nougat 7.0 en hoger zouden gebruikers binnenkort de mogelijkheid moeten bieden om in te loggen zonder inloggegevens te gebruiken. Onnodig toe te voegen, gebruikers zullen verplicht zijn om in te loggen op hun persoonlijke Google-account op het apparaat en om een schermvergrendelingscode in te stellen. Met andere woorden, onbeveiligde Android-smartphones krijgen geen kans. Bovendien beperkt Google de mogelijkheid om toegang te krijgen tot webplatforms met biometrische gegevens alleen via de Chrome-browser. Het is vrij waarschijnlijk dat de zoekgigant binnenkort andere apps zal toevoegen.
WebAuthn API en FIDO2-aanmelding worden binnenkort standaard?
Google had allang geleden de tweefactorauthenticatie geïntroduceerd. Het bedrijf blijft gebruikers aansporen om de functie te activeren om de beveiliging verder te verbeteren. Er zijn verschillende voorzorgsmaatregelen om regelmatig gebruikte apparaten te detecteren en gebruikers via e-mail en sms te waarschuwen voor toegang vanaf onbekende apparaten. Hoewel er andere inlogmethoden zijn, is de biometrische authenticatie verreweg de eenvoudigste, meest gebruikte en snelste. Daarom zou de acceptatie ook het snelst moeten zijn, aangezien de meeste Android-smartphonegebruikers hetzelfde al gebruiken om toegang te krijgen tot hun apparaten.
Interessant is dat veel laptops en andere draagbare apparaten een vingerafdrukscanner hebben. Daarom is de hardwarevereiste al aanwezig. Met de push van Google zouden veel andere bedrijven snel moeten beginnen met het adopteren en accepteren van de vingerafdruk van gebruikers als login.