Aurich Lawson | Getty-afbeeldingen
Mijn recente artikel over wachtwoorden heeft veel belangstelling getrokken, en sommige van de meer dan 1.100 reacties hebben vragen doen rijzen over hoe het wachtwoordsysteem eigenlijk werkt en of het te vertrouwen is. Als reactie daarop heb ik deze lijst met veelgestelde vragen samengesteld om een aantal mythen te ontzenuwen en enig licht te werpen op wat we wel en niet weten over wachtwoorden.
V: Ik vertrouw Google niet. Waarom zou ik wachtwoorden gebruiken?
A: Als u Google niet gebruikt, zijn Google-wachtwoorden niets voor u. Als u geen Apple- of Microsoft-producten gebruikt, is de situatie vergelijkbaar. Het oorspronkelijke artikel was gericht op de honderden miljoenen mensen die deze grote platforms gebruiken (zij het met tegenzin).
Dat gezegd hebbende, het wachtwoordgebruik breidt zich snel uit buiten de grote technische spelers. Binnen een maand of twee zullen bijvoorbeeld 1Password en andere derde partijen wachtwoordsynchronisatie ondersteunen die inloggegevens op al uw vertrouwde apparaten invult. Hoewel Google verder is dan welke andere service dan ook bij het toestaan van logins met wachtwoorden, stellen nieuwe services gebruikers in staat bijna wekelijks in te loggen op hun accounts met een wachtwoord. Kortom, u kunt wachtwoorden gebruiken, zelfs als u Google, Apple of Microsoft niet vertrouwt.
V: Ik vertrouw geen enkel bedrijf om mijn inloggegevens te synchroniseren. Ik bewaar ze alleen op mijn lokale apparaten. Waarom zou ik ooit wachtwoorden gebruiken?
A: Zelfs als je het niet vertrouwt Elk cloud-service om uw inloggegevens te synchroniseren, staat de FIDO-specificatie iets toe dat een apparaattoegangssleutel wordt genoemd. Zoals de naam al doet vermoeden, werken deze wachtwoorden op één apparaat en worden ze door geen enkele service gesynchroniseerd. Apparaatwachtwoorden worden doorgaans gegenereerd met behulp van een FIDO2-beveiligingssleutel, zoals een Yubikey.
Als u echter wachtwoorden synchroniseert via een browser, wachtwoordbeheerder, iCloud-sleutelhanger of een van de Microsoft- of Google-equivalenten, moet u er rekening mee houden dat u al een cloudservice vertrouwt om uw inloggegevens te synchroniseren. Als u cloudservices niet vertrouwt om uw wachtwoorden te synchroniseren, moet u ze ook niet vertrouwen om uw wachtwoorden te synchroniseren.
V: Het lijkt ongelooflijk gevaarlijk om wachtwoorden te synchroniseren. Waarom zou ik synchronisatie van welke service dan ook vertrouwen?
A: Momenteel dwingt de FIDO-specificatie synchronisatie met end-to-end encryptie niet strikt af, wat per definitie betekent dat niets anders dan een van de vertrouwde eindgebruikersapparaten toegang heeft tot de privésleutel in niet-gecodeerde (dwz bruikbare) indeling. Het synchronisatiemechanisme van Apple is bijvoorbeeld gebaseerd op dezelfde end-to-end-codering die iCloud Keychain al gebruikt voor wachtwoordsynchronisatie. Apple heeft het ontwerp van deze service hier, hier, hier, hier en hier tot in detail gedocumenteerd. Onafhankelijke beveiligingsexperts hebben nog geen discrepanties gemeld in de bewering van Apple dat het niet over de middelen beschikt om inloggegevens te ontgrendelen die zijn opgeslagen in iCloud-sleutelhanger.
V: Ik gebruik/vertrouw Apple niet. Hoe zit het met de andere diensten? Waar is hun documentatie?
A: Google heeft hier documentatie. 1Password heeft documentatie over de infrastructuur die het gebruikt voor wachtwoordsynchronisatie (hier en hier). Nogmaals, als je al vertrouwen hebt Elk Cloudgebaseerd platform voor wachtwoordsynchronisatie, het is een beetje laat om nu om documentatie te vragen. Er is ook weinig of geen extra risico voor het synchroniseren van toegangssleutels.
V: Was er niet recentelijk een artikel over nieuwe macOS-malware die iCloud-sleutelhangergegevens kon stelen?
A: Dit kan een verwijzing zijn naar MacStealer, malware die onlangs werd geadverteerd op ondergrondse misdaadforums. Er zijn geen meldingen dat MacStealer in het wild wordt gebruikt en er is geen bevestiging dat de malware bestaat. We weten alleen van advertenties beweren dat dergelijke malware bestaat.
Dat gezegd hebbende, ad hawking MacStealer zegt dat het in de vroege bètafase zit en wordt geleverd in de vorm van een standaard DMG-bestand dat handmatig op Macs moet worden geïnstalleerd. Het DMG-bestand is niet digitaal ondertekend, dus het kan niet worden geïnstalleerd tenzij een eindgebruiker de macOS-beveiligingsinstellingen overtreedt. Zelfs dan moet een slachtoffer zijn iCloud-wachtwoord in de app invoeren nadat deze is geïnstalleerd, voordat er cloudgebaseerde gegevens kunnen worden geëxtraheerd.
Op basis van de beschrijving van MacStealer door Uptycs, het beveiligingsbedrijf dat de advertentie heeft gedetecteerd, denk ik niet dat mensen zich veel zorgen hoeven te maken. En zelfs als malware een bedreiging vormt, strekt die bedreiging zich niet alleen uit tot wachtwoorden, maar tot al het andere dat al honderden miljoenen mensen in iCloud-sleutelhanger opslaan.
V: Toegangssleutels geven controle over uw inloggegevens voor Apple/Google/Microsoft, een externe synchronisatieservice of de website waarmee u verbinding maakt. Waarom zou ik dat ooit doen?
A: Ervan uitgaande dat u een wachtwoord gebruikt om u aan te melden bij een service zoals Gmail, Azure of Github, vertrouwt u deze bedrijven al om hun authenticatiesystemen zo te implementeren dat de gedeelde geheimen waarmee u zich kunt aanmelden niet worden onthuld . Als u zich bij een van deze sites aanmeldt met een wachtwoord in plaats van een wachtwoord, hebben de sites dezelfde controle – niet meer en niet minder – over uw inloggegevens dan voorheen.
De reden is dat het privésleutelgedeelte van een wachtwoord nooit de versleutelde apparaten van een gebruiker verlaat. Authenticatie vindt plaats op het gebruikersapparaat. Het gebruikersapparaat stuurt vervolgens een cryptografisch bewijs naar de aangesloten website dat de privésleutel zich op het aangesloten apparaat bevindt. De bij dit proces betrokken cryptografie zorgt ervoor dat de bon niet vervalst kan worden.
