2min

Het World Wide Web Consortium (W3C) heeft bekendgemaakt dat WebAuthn nu een officiële internetstandaard is, meldt Venturebeat. Met de standaard is het mogelijk om in te loggen zonder gebruik te maken van een wachtwoord. 

WebAuthn werd in november 2015 voor het eerst aangekondigd door W3C en de FIDO Alliance. W3C is het orgaan dat alle webstandaarden beheert, met input van de FIDO Alliance. De FIDO Alliance werd in 2013 opgericht om interoperabele authenticatiestandaarden te creëren over de hele industrie heen. In april 2018 werd WebAuthn officieel gelanceerd.

Het idee van WebAuthn is dat het niet langer nodig is om voor iedere website een apart account met een uniek wachtwoord aan te maken. In plaats daarvan kunnen gebruikers inloggen in accounts met biometrische gegevens als vingerafdruk- of irisscans, mobiele apparaten of FIDO-beveiligingssleutels. WebAuthn wordt al ondersteund door Android, Windows 10, Google Chrome, Mozilla Firefox en Microsoft Edge. Apple heeft ondersteuning toegevoegd in preview-versies van Safari.

“Het is nu tijd voor webdiensten en bedrijven om WebAuthn te adopteren, om zich voorbij kwetsbare wachtwoorden te bewegen en web-gebruikers te helpen om de beveiliging van hun online ervaringen te verbeteren”, aldus W3C-CEO Jeff Jaffe. W3C heeft zijn eigen creatie nog niet geadopteerd. Wel is de standaard al geïmplementeerd in websites als Dropbox, Facebook, GitHub, Salesforce, Stripe en Twitter.

Nu dat WebAuthn een officiële standaard is, is de hoop dat andere websites deze ook gaan implementeren.

Kritiek

Beveiligingsonderzoekers van Paragon Initiative bleken vorig jaar echter kritisch op het protocol. Zij waarschuwden voor problemen, omdat de standaard zou steunen op een aantal verouderde algoritmes die al jaren kwetsbaar zijn voor aanvallen. Het gaat onder meer om Elliptic Curve Direct Anonymous Attestation (ECDAA) en RSASSA-PKCS1-v1_5.

Over PKCS1v1.5 zei Paragon: “De exploits zijn bijna oud genoeg om legaal alcohol te drinken in de Verenigde Staten. Gebruik het niet!” De onderzoekers stellen dat de verwarrende documentatie van de standaard de grondslag is van het probleem. PKCS1v1.5 wordt daarin vanwege legacy-overwegingen als “verplicht” gecategoriseerd. ECDAA wordt “aanbevolen”.

Implementeerders zouden daardoor ten onrechte kunnen denken dat de algoritmes de minimale drempels voor implementatie zijn, terwijl er veel meer geschikte algoritmes zijn om uit te kiezen.