Dossier

FIDO2: naar een internet zonder wachtwoorden

23 mei 2019

23 mei 2019
Niemand vindt wachtwoorden tof. We moeten ze onthouden en omdat het er vaak zoveel zijn, vergeten we ze. FIDO2 is een nieuwe standaard die komaf moet maken met wachtwoorden om in te loggen op je accounts. Hoe gaat dat in zijn werk?

Hoe gaat FIDO2 dan in zijn werk?

FIDO2 werkt op basis van asymmetrische encryptie enerzijds en biometrische authenticatie (vingerafdruk, gezichtsherkenning ...) anderzijds. 

Bij asymmetrische encryptie zijn er twee stukjes informatie: een private sleutel en een publieke sleutel. De private sleutel bewaar je ergens lokaal – dus niet toegankelijk via het internet – bv. op je computer. Die sleutel kan je gebruiken om een authenticatie-aanvraag (bv. van een website) te tekenen. De publieke sleutel, die online op die website wordt bewaard, zal op zijn beurt het resultaat van die aanvraag controleren en gebruiken om jouw identiteit te bevestigen. 

Een concreet voorbeeld

Een voorbeeld maakt het een en ander duidelijk. Inloggen via FIDO2 werkt alleen indien jij en de website waarbij je wilt aanmelden over een unieke combinatie van een private en publieke sleutel beschikken. Stel dus dat je via FIDO2 wilt aanmelden bij de website van PayPal, dan zal jouw toestel eerst dat unieke paar aanmaken. De private sleutel wordt lokaal op jouw toestel bewaard, de publieke sleutel wordt verstuurd naar en bewaard op de servers van PayPal. 

In een FIDO2-aanmeldproces functioneert jouw eigen (lokale) toestel als zogenaamde authenticator: het is enkel jouw toestel dat kan aantonen dat het over de private sleutel beschikt die uiteindelijk nodig is om je op de website met de gekoppelde publieke sleutel (in dit geval PayPal) aan te melden. 

Als je via je computer wilt inloggen op de website van PayPal, dan gebeurt het volgende: PayPal stuurt een authenticatie-aanvraag – zie dit als een zeer groot willekeurig getal – naar jouw browser met het verzoek om de aanvraag te tekenen via jouw private sleutel. Je browser stuurt die vraag door naar je computer (de authenticator), die vervolgens aan jou toestemming vraagt om de aanvraag te mogen tekenen. Via bv. een scan van je gezicht of een swipe-beweging op je smartphone ontgrendel je de private sleutel en via een complex controleproces zorgen je computer en de PayPal-website ervoor dat je uiteindelijk ingelogd wordt op de website.