NFC-pas, USB-beveiligingssleutel en smartphone met vingerafdruk bij een groot slot
Geen AI: al onze artikelen zijn geschreven door echte mensen, zonder gebruik van AI
Inhoudsopgave
Klik hier voor een samenvatting
Inloggen zonder wachtwoord? Het kan met FIDO

Steeds meer zijn cybercriminelen in staat mailaccounts te hacken doordat gebruikers makkelijke wachtwoorden kiezen. Of maar één wachtwoord gebruiken voor meerdere sites. Of omdat databases met wachtwoorden gestolen worden. Als je een wachtwoord goed wilt gebruiken moet die aan nogal wat eisen voldoen. En je moet het wachtwoord vaak wijzigen.

Gelukkig lijkt het einde van het wachtwoord in zicht. FIDO is een techniek die het wachtwoord overbodig maakt. De doorbraak wordt al volgend jaar verwacht! Lees er alles over in dit artikel.

Inmiddels weet bijna iedereen dat het kiezen van simpele wachtwoorden gevaarlijk is. Toch zijn ‘Password’ en ‘123456’ nog steeds de meest gebruikte wachtwoorden. Zo maken we het een cybercrimineel wel heel eenvoudig om mailboxen en andere apps te hacken! Daarnaast gebruiken we te vaak hetzelfde wachtwoord voor verschillende websites. Ook dat is niet verstandig, want hackers hoeven maar één wachtwoord te achterhalen om in meer van jouw accounts in te breken.

Als je wachtwoorden goed gebruikt, moet je (gemiddeld) 38 verschillende wachtwoorden onthouden. En regelmatig veranderen. En dan nog kan het fout gaan. Hackers slagen er steeds vaker in om databases vol gebruikersnamen en wachtwoorden te stelen. Vervolgens bieden ze die te koop aan op het dark web. Wil je weten of jouw gegevens gelekt zijn? Via de site haveibeenpwned.com kun je het checken!

Gelukkig staat het einde van het wachtwoord voor de deur. Lees hoe je dan echt veilig kunt inloggen!

Inloggen zonder wachtwoord

“Mensen zullen steeds minder gebruik gaan maken van passwords. Die zijn nu eenmaal niet geschikt als beveiliging.” Dit voorspelde Bill Gates, de oprichter van Microsoft, al in 2004. Nu pas lijkt het einde van het wachtwoord echt in zicht. Microsoft werkt namelijk aan een manier om ‘passwordless’ (wachtwoordloos) in te loggen.

Microsoft maakt met meer dan 250 andere fabrikanten, zoals Apple en Google, maar bijvoorbeeld ook PayPal en Dropbox, deel uit van een alliantie. De groep koos de naam FIDO, wat staat voor Fast IDentity Online. Over het algemeen is de regel bij computerexperts, dat hoe makkelijker je kunt inloggen, hoe minder veilig het is. De groep technologiebedrijven wil dat nu juist wel mogelijk maken. Heel simpel online inloggen, maar wel veilig. En zonder wachtwoord.

De FIDO-alliantie begon in 2013 te werken aan een manier om afscheid te nemen van het wachtwoord. Inmiddels is het project zover dat de technologie te gebruiken is. In 2023 wordt de grote doorbraak verwacht.

Tweefactorauthenticatie verbetert beveiliging

Nu is er sinds de opmerking van Bill Gates bijna twintig jaar geleden gelukkig al gewerkt aan veiliger vormen om in te loggen. Veel mensen zijn bekend met tweefactorauthenticatie, vaak afgekort tot 2FA. Je combineert bij 2FA iets dat je weet (het wachtwoord of een pincode), met iets dat je hebt (een telefoon) of bent (door middel van je vingerafdruk, of iris-scan). Steeds meer websites en apps werken ermee. Met tweestapsverificatie voeg je dus een extra beveiliging toe aan je accounts.

Als je, bijvoorbeeld, op de website van een dokterspraktijk een herhaalrecept aanvraagt, moet je bij het inloggen niet alleen de combinatie van gebruikersnaam en wachtwoord ingeven. Je ontvangt vaak ook nog een code in de mail, of in een SMS-bericht op de mobiele telefoon. Het ingeven van de code is een tweede factor die de veiligheid vergroot. Dit maakt het voor aanvallers die je account proberen te hacken lastiger, omdat ze immers naast je wachtwoord ook een sms-code nodig hebben. Lees voor meer informatie over 2FA ons uitgebreide artikel.

Helemaal veilig is deze vorm van 2FA helaas niet. Cybercriminelen kunnen namelijk SIM-swap-aanvallen gebruiken om jouw sms-berichten te onderscheppen. Bij SIM-swapping nemen hackers jouw 06-nummer over en gebruiken dat om online accounts te kapen. Het vervelende is dat je dit vaak pas in de gaten hebt als het te laat is. Door SIM swapping vallen er in ons land jaarlijks tientallen slachtoffers. Gelukkig kan het veiliger. Met FIDO.

Wat is FIDO?

Icoon van een FIDO USB Stick

Om in te loggen met FIDO hoef je geen authenticatiecode in te voeren die afkomstig is van een app of sms. Je stopt gewoon een beveiligingssleutel, de token in de USB-poort. Meestal heeft de sleutel een vingerscan. De USB-sticks zijn voor ongeveer 20 euro te koop en worden al een paar jaar gebruikt. De UbiKey (foto) is heel bekend, maar er zijn meer leveranciers.

Een voorwaarde is wel, dat het programma of de website die je bezoekt FIDO ondersteunt. Dat is inmiddels vaak het geval. Van Facebook tot Dropbox kun je deze sleutels als extra beveiliging gebruiken.

We zullen zo aan de hand van Facebook uitleggen hoe FIDO werkt. Daarbij is het leuk te weten, dat smartphones die met de meest actuele software werken ook als token gebruikt kunnen worden. Die hoef je natuurlijk niet met de USB-poort te verbinden. Maar de site waarop je in wilt loggen (bijvoorbeeld Facebook) laat dan een QR-code zien. Als je die met de camera van jouw telefoon scant, log je veilig in. Omdat hierbij dus geen SMS- of mailbericht verstuurd wordt, is dit een heel veilige manier van tweefactorauthenticatie. Overigens kunnen ook pasjes gebruikt worden om als token te werken, als de computers over een geschikte ontvanger beschikken.

Zo registreer je FIDO voor jouw Facebook-account

Om in te loggen heb je dus een hardware token nodig, of een smartphone die met de laatste versie van Android of iOS werkt. Als je jouw Facebook-account geschikt wilt maken voor FIDO, dan volg je deze stappen.

  1. Klik rechtsboven op jouw profielfoto en klik op ‘Instellingen en privacy’:
    Homescherm van Facebook waarbij "Account" en "Instellingen en privacy" in het menu zijn uitgelicht
  2. Vervolgens kies je in het nieuwe menu ‘Instellingen’:
    Homescherm van Facebook waarbij "Instellingen" in het menu is uitgelicht
  3. Je komt nu op een ander scherm, selecteer hier ‘Beveiliging en aanmelding’:
    Het scherm "Instellingen" op Facebook waarbij "Beveiliging en aanmelding" is uitgelicht
  4. In het volgende scherm scroll je naar beneden en klik je op de knop ‘Bewerken’ bij ‘Tweestapsverificatie gebruiken’:
    De "Beveiliging en aanmelding" instellingen in Facebook waarbij "Bewerken" achter "Tweestapsverificatie gebruiken" is uitgelicht
  5. Scroll weer naar beneden en klik op ‘Instellen’ achter ‘Beveiligingssleutel’:
    Het scherm "Tweestapsverificatie" op Facebook waarbij "Instellen" achter "Beveiligingssleutel" is uitgelicht
  6. Je krijgt nu een melding te zien dat je een beveiligingssleutel kunt gebruiken om je Facebook-account te beschermen. Klik op ‘Beveiligingssleutel registreren’ en doorloop de stappen van jouw specifieke beveiligingssleutel:
    Optie in Facebook om een beveiligingssleutel te registreren

Deze manier van inloggen kun je vervolgens op elke andere computer gebruiken. Toegang is dus alleen mogelijk met de juiste token of telefoon.

De onderstaande illustratie laat schematisch zien hoe het registreren werkt:

Uitleg van hoe registreren met FIDO werkt in 5 stappen, met illustraties

Hoe werkt FIDO?

FIDO bestaat uit twee inlogsleutels: een privé-sleutel en een publieke sleutel. De privé-sleutel bevat de pincode, of jouw vingerafdruk of gezichtsscan. Die privé-sleutel staat op je mobiele telefoon, op een USB-stick (zoals bij de UbiKey en andere hardwaresleutels) of op een pasje. Dat is dus eigenlijk jouw sleutelkastje.

Als je jezelf nu aanmeldt bij een website of een mailaccount, dan moeten de publieke sleutel die bij de aanbieder van de website staat en jouw privé-sleutel bij elkaar passen. Net als een hangslot en een sleutel. Op die manier kun je bij apps inloggen zonder dat je er veel moeite voor hoeft te doen.

Uitleg van hoe inloggen met FIDO werkt in 6 stappen, met illustraties

Computerspecialisten gaan ervan uit dat deze manier van inloggen de beste bescherming tegen hackers biedt.

Veilig bij verlies en diefstal

Nu denk je misschien dat het ook gevaarlijk is wanneer je veel privé-sleutels op je telefoon bewaart. Maar: als jouw telefoon gestolen wordt, kan de dief toch geen gebruikmaken van jouw inlogmethode. Hij beschikt immers niet over jouw pincode. En ook de vingerscan of gezichtsherkenning kan niet gebruikt worden.

Daarnaast kun je op afstand je telefoon vergrendelen of de gegevens wissen. Je FIDO-sleutels gaan dan ook niet verloren, want ze worden automatisch opgeslagen in een back-up. Jouw nieuwe telefoon installeert de gegevens gewoon weer.

Inloggen zonder wachtwoord

FIDO is dus een handige en heel veilige manier van inloggen. Toch werd ook bij FIDO tot voor kort nog een wachtwoord gebruikt. De nieuwe stap die de FIDO-alliantie nu zet is dan toch het inlossen van de belofte van Bill Gates: inloggen zonder wachtwoord.

Toch is ook dat niet meer helemaal nieuw: bij veel mobiele telefoons heb je zelden een wachtwoord nodig, maar werk je met gezichtsherkenning of een vingerscan. Zo kun je dan bijvoorbeeld veilig betalingen doen.

Op dit moment bieden zowel Apple, Google als Microsoft wel al deels ondersteuning voor FIDO, maar het kan beter. Zo moet je nu bij iedere website je apparaat aanmelden voor inloggen zonder wachtwoord. De nieuwe FIDO-standaard maakt het mogelijk om direct in te loggen met Face ID, Touch ID of een pincode. Ook kun je op op veel verschillende apparaten inloggen,  ongeacht of die op Windows, macOS, iOS, Android of een ander ondersteund platform werken.

Inloggen met Passkey

Vooruitlopend op een brede acceptatie van FIDO, ondersteunen verschillende fabrikanten al wachtwoordloos inloggen, zoals Microsoft bij Windows 10. Apple ontwikkelde Passkey. In de omschrijving van deze functie herkennen we moeiteloos de omschrijving van FIDO:

“Een passkey bestaat uit een sleutelpaar en biedt daarmee een veel betere beveiliging dan een wachtwoord. Eén sleutel is openbaar en geregistreerd bij de website of app die je gebruikt. De andere sleutel is privé en wordt uitsluitend op je apparaten bewaard. Door middel van krachtige, op industriestandaarden (FIDO) gebaseerde cryptografische technieken zorgt dit sleutelpaar voor een sterke en vertrouwelijke relatie tussen je apparaten en de website of app.”

Maak je een account met Passkey, dan komt er geen wachtwoord aan te pas. Het enige wat je doet is je vinger of gezicht scannen. Apple regelt het genereren en opslaan van de passkey, zonder dat jij er als gebruiker iets mee te maken hebt.

Veilig werken mét wachtwoord

Het einde van het wachtwoord lijkt in zicht, maar voorlopig gebruiken we ze nog. Zorg er dus voor dat ze zo veilig mogelijk zijn. Zorg dat ze lang genoeg zijn en ook getallen en leestekens bevatten. Creëer daarnaast voor elk account een ander wachtwoord. En maak gebruik van een wachtwoordmanager. Lees ook ons uitgebreide artikel over hoe je sterke en veilige wachtwoorden maakt en beheert.

Conclusie: FIDO als veilig alternatief voor wachtwoorden

Voorlopig zullen wachtwoorden nog wel een paar jaar blijven bestaan. Niet alle apps, apparaten en websites zijn op korte termijn geschikt voor het gebruik van de nieuwste versie van FIDO, de wachtwoordloze authenticatie. Ook de eerdere versies van het systeem voegden al veel extra bescherming toe aan het traditionele gebruik van het wachtwoord.

Maar gelukkig wordt intussen wel gewerkt aan het einde van het wachtwoord. FIDO is een stuk veiliger dan wachtwoorden. Het zal voor hackers lastiger worden om bij accounts in te breken. En FIDO is ook nog eens heel makkelijk te gebruiken.

Veilig inloggen zonder wachtwoorden: veel gestelde vragen

Hieronder vind je veel gestelde vragen over FIDO. Klik op een vraag om het antwoord te lezen.

Hoe werkt FIDO?

Met FIDO (Fast IDentity Online) kun je inloggen zonder wachtwoord. De techniek bestaat uit twee inlogsleutels: een privé-sleutel en een publieke sleutel. De privé-sleutel bevat de pincode, of jouw vingerafdruk of gezichtsscan. Die privé-sleutel staat op je mobiele telefoon, of op een USB-stick. De publieke sleutel staat bij de app of mailbox waarbij je wilt inloggen.

Als je jezelf aanmeldt dan moeten de publieke sleutel die bij de aanbieder van de website staat en jouw privé-sleutel bij elkaar passen.

Hoe werkt een Security Key?

Een Security Key kan een fysieke beveiligingssleutel zijn (ook wel inlogsleutel of USB-sleutel genoemd) die je in de USB-ingang van je apparaat doet om in te loggen. Maar ook een mobiele telefoon of een pasje kunnen gebruikt worden als Security Key. Het zorgt, dankzij FIDO, voor veilig inloggen zonder wachtwoord. Wil je meer weten over hoe dit precies werkt? Lees dan ons uitgebreide artikel over FIDO.

Is FIDO echt veilig?

Het is in elk geval een stuk veiliger dan het werken met wachtwoorden. Specialisten zien het op dit moment als de meest veilige manier. Met FIDO hebben hackers minder kans op succes.

Waarom zijn wachtwoorden onbetrouwbaar?

Als je wachtwoorden goed gebruikt, moet je (gemiddeld) 38 verschillende wachtwoorden onthouden. Voor elke website of bankrekening een ander wachtwoord. Ook moet je regelmatig de wachtwoorden aanpassen. En een goed wachtwoord moet aan heel veel eisen voldoen. Vaak hebben we die discipline niet. En als we ons wel keurig aan die regels houden kan het nog steeds mis gaan. Hackers slagen er namelijk steeds vaker in om databases vol gebruikersnamen en wachtwoorden te stelen. Lees ons uitgebreide artikel over FIDO voor meer informatie hierover.

Mels Dees

Mels Dees

ICT-journalist

Mels was ooit een whizzkid, zoals dat toen heette en werkte zelfs enige tijd als programmeur. Inmiddels is Mels al 22 jaar ICT-journalist met een speciale interesse in security.

Meer artikelen uit de sectie Veilig surfen

Laat een reactie achter

4
reacties
  1. Theo

    Hallo, het is een beetje laat maar ik las het zeer interessante en waardevol artikel nu pas. Sorry 😔. Mag ik nog iets vragen aub? Het gaat om het volgende. Ikzelf heb mijn belangrijkste online account voorzien van 2Fa met de Yubikey. Verder gebruik ik bij elk online account een verschillend alias mailadres (SL)en een voor elk account verschillend lang en complex wachtwoord (wachtwoordmanager). Andere, minder belangrijke accounts, heb ik ook voorzien van 2Fa waar mogelijk. Maar, ik heb me laten wijsmaken dat, dit alles minder belangrijk of zelfs nutteloos is als de gegevens niet met encryptie worden opgeslagen en/of de servers niet met encryptie beveiligd zijn. Dus als de gegevens eigenlijk in platte tekst bewaard worden. Is dit correct? Alvast heeft veel dank voor een reactie en mijn verontschuldigingen voor deze late reactie. Theo

    Beantwoorden
    • Şafak Çiftçi

      Hallo Theo, de bekende wachtwoordmanagers gebruiken in principe allemaal encryptie. Dus als je een betrouwbare wachtwoordmanager gebruikt, zouden de gegevens versleuteld moeten zijn opgeslagen. Zo niet, dan kan ik je aanraden om er een te kiezen die we in dit artikel bespreken: https://www.vpngids.nl/wachtwoordmanagers/beste-wachtwoordmanager/. De encryptie van wachtwoorden is met name belangrijk op het moment dat er een beveiligingslek is of jouw account wordt gehackt. Derden kunnen deze wachtwoorden dan niet lezen, omdat ze versleuteld zijn.

      2FA is daarnaast een goede manier om nog een extra stap toe te voegen aan het inlogproces. Dit maakt het voor anderen nog extra moeilijk om in jouw accounts te komen. Ook daarover hebben we een artikel indien je op zoek bent naar alternatieven: https://www.vpngids.nl/veilig-internet/surfen/beste-authenticator-apps/.

      Beantwoorden
  2. Peter K.

    Dag Mels, Helder verhaal. Dankjewel. Een vraag nog: je kunt Fido dus zien als een extra bescherming bij het inloggen op je eigen account bij een organisatie. Helder. Maar het voorkomt dus niet dat je e-mailadres op straat, komt als het bedrijf in kwestie een datalek heeft waarbij je mailadres gedeeld wordt. Via die weg kan een phisher nog steeds hengelen om extra gegevens, of een actie van je vragen die hem een stap verder helpt. Toch? Ik bedoel: het is een extra slot maar niet een complete bescherming tegen misbruik van je gelekte mailadres.

    Beantwoorden
    • Tamara van Seggelen VPNGids.nl

      Dat klopt!

      Beantwoorden
Laat een reactie achter