De toekomst van passwords -> UAF en U2F

Wed, 04/02/2015 - 13:22 -- hvancann
FIDO diagram registratie en login protocollen op het web
In mijn werk voor 2Value loop ik geregeld tegen het passwords probleem aan:
1. Klanten geven aan onze associate login gegevens en die moeten we goed beheren
2. Onze associates moeten in 2Value interne systemen kunnen komen
3. 2Value moet vaak websystemen aan elkaar koppelen en klanten lopen tegen een veelvoud van passwords en veiligheidsrisico’s aan.
 
De FIDO Alliance trok in dat opzicht mijn speciale aandacht:
The core ideas driving the FIDO Alliance's efforts are 1) ease of use, 2) privacy and security, and 3) standardization. The primary objective is to enable online services and websites, whether on the open Internet or within enterprises, to leverage native security features of end-user computing devices for strong user authentication and to reduce the problems associated with creating and remembering many online credentials.
en
There are two key protocols included in the FIDO architecture that cater to two basic options for user experience when dealing with Internet services. The two protocols share many of underpinnings but are tuned to the specific intended use cases:
Universal 2nd Factor (U2F) Protocol
The U2F protocol allows online services to augment the security of their existing password infrastructure by adding a strong second factor to user login. The user logs in with a username and password as before. The service can also prompt the user to present a second factor device at any time it chooses. The strong second factor allows the service to simplify its passwords (e.g. 4--digit PIN) without compromising security.
 
Universal Authentication Framework (UAF) Protocol
The UAF protocol allows online services to offer password-less and multi-factor security. The user registers their device to the online service by selecting a local authentication mechanism such as swiping a finger, looking at the camera, speaking into the mic, entering a PIN, etc. The UAF protocol allows the service to select which mechanisms are presented to the user.
 
Voor je meteen doorklikt op de Alliance zelf wil ik drie overtuigingen mee geven die ik heb gekregen de afgelopen maanden.
 
a. De Alliance loopt vooruit en leidt de noodzakelijk inspanning om nieuwe generatie autorisatie mogelijkheden in goede banen. Het werkveld van identity - en access management is complex met veel spraakverwarring onder deelnemers aan discussies. Het is een vakgebied waarin cryptografie een belangrijke technische grondslag levert; de betrokken experts zijn vaak wetenschappelijk en soms ietwat nerdish van aard. De mensen die “iets moeten” met veiligheid en autorisatie over het web zijn daarentegen vaak niet-technische pragmatici. Dat communiceert niet altijd even gemakkelijk en er is een groot verschil in kennisniveau's over zaken waarover consensus moet ontstaan. Dat gaat lang duren?!
b. Voor standaardisatie van autorisatie (registratie en inlog) met behulp van public keys (zonder tussenkomst van een service partij) is actieve participatie van grote marktpartijen nodig. Zowel bij het bedenken en adopteren van standaarden als het toepassen ervan in de eigen producten. Grote marktpartijen hebben daar in beginsel geen direct persoonlijk belang bij, integendeel zelfs. De vraag is dus of ‘grote’ leden van de Alliance meer luistervinken achter op de bagagedrager zijn of roeiers in de boot. De alliance heeft roeiers nodig.
c. Zakelijk gebruik van web- en mobile apps wordt nu nog vaak gezien als oncontroleerbare ‘shadow IT’ (wikipedia-uitleg). Mijn overtuiging is echter dat dit een veel te behoudende visie is. De enige constante factor is versnelling. Versnelling in innovatie ,- in vervanging, - in verandering van zakelijke communicatie. Omarm daarom initiatieven van collega’s die internet en mobile tools gebruiken in hun werk en koppel ze aan elkaar aan de “achterkant” en zorg voor uniforme veilige toegang aan de “voorkant”.
 
Alhoewel ik elke dag weer vast stel dat ik nog veel kan leren in dit zeer specialistische veld van access management, is ons bedrijf 2Value wel goed in staat zelfstandige specialisten die wat kunnen op dit vlak voor klanten te organiseren op projecten:
- Ontwerp
- Verkenning en haalbaarheid
- Implementatie 
… van identity en access management (over het web)
 
Zodra we dergelijke teams op de rit hebben kunnen zetten is er weer een goede reden voor een nieuwe blog.