Say Goodbye to Passwords and Usernames
Wat is Usernameless authenticeren ?
Als u reeds gebruik maakt van authenticatie zonder wachtwoord, dan zult u de authenticatie zonder gebruikersnaam leuk vinden. Deze nieuwe mogelijkheid is een uitbreiding van de FIDO 2.0 WebAuthn-specificatie, waarmee gebruikers momenteel FIDO2-conforme beveiligingssleutels kunnen gebruiken.
Dit kunnen externe devices zijn, zoals deze van Yubico, of ingebouwde oplossingen die toegankelijk zijn via Touch ID of Windows Hello om te authenticeren in plaats van een wachtwoord. De nieuwe Resident Key Credential stelt gebruikers in staat om zich te authenticeren bij een applicatie of website zonder dat ze een gebruikersnaam of wachtwoord hoeven in te voeren.
What Is WebAuthn?
WebAuthn is een webstandaard die wordt gepubliceerd door het World Wide Web Consortium (W3C) en is een belangrijk onderdeel van FIDO 2.0 (Fast Identity Online (FIDO) Alliance), waarvan momenteel een aantal grote spelers in de markt lid van zijn. Als onderdeel van W3C begint WebAuthn een brede acceptatie te krijgen door middel van native support binnen de nieuwste Chrome, Firefox, Safari en Edge browsers.
Ondersteuning voor Resident Keys, die voorziet in usernameless authenticatie, is momenteel standaard gesupporteerd in Chrome en Edge en zal binnenkort worden toegevoegd aan andere browsers. Deze uitbreiding van het WebAuthn-protocol zal o.a. ook deel uitmaken van het ForgeRock Identity Platform 7.0 en de ForgeRock Identity Cloud. Het levert hier zowel usernameless user journeys op, evenals attestatie van apparaten, origin domains en rijkere integraties in het Intelligent Authentication framework van ForgeRock.
Eenvoudig in gebruik
Om WebAuthn te gaan gebruiken, wordt een bezoeker van een ingeschakelde website de mogelijkheid geboden om een token aan te maken en te registreren. Sites die zijn ingeschakeld kunnen de gebruiker vragen om het fysieke token in een USB-poort te plaatsen of tegen hun NFC enabled telefoon te tikken.
Wanneer de gebruiker terugkeert naar diezelfde website, wordt er een assertion gemaakt die het bewijs bevat dat de gebruiker de privé-sleutel heeft aangemaakt. De server op de website gebruikt dan de openbare sleutel die tijdens de registratie is aangemaakt tegen die assertion om de gebruiker te verifiëren. Het is niet langer nodig dat de gebruiker vanaf dat apparaat ooit nog een gebruikersnaam en wachtwoord voor die site opgeeft.
Voorbeeld integratie via het ForgeRock Identity Platform - Passwordless
Voorbeeld integratie via het ForgeRock Identity Platform - Usernameless
Wat is een “Resident Key”?
Een Resident Key is een password-less en username-less credential die kan worden opgeslagen in de browser, op het apparaat van de gebruiker of in een authenticator. Sommigen hebben gesuggereerd dat een betere naam een “detecteerbare sleutel” kan zijn, omdat wanneer een gebruiker terugkeert naar een ingeschakelde website, die site dan het ontbreken van of de aanwezigheid van sleutels met betrekking tot de website in de browser van de gebruiker, op het apparaat van de gebruiker, of in een authenticator zou ontdekken.
De gebruikerservaring zou vergelijkbaar zijn (hoewel technisch zeer verschillend) met het gebruik van single sign-on (SSO) vandaag de dag. Een gebruiker kan naar een inlogpagina navigeren. In plaats van een gebruikersnaam of wachtwoord in te typen, zou de gebruiker het gebruikte device aansluiten en vervolgens een authenticator gebruiken, zoals een externe sleutel zoals Yubico of ingebouwde oplossingen die toegankelijk zijn via TouchId of Windows Hello. De gebruiker is dan ingelogd zonder dat hij of zij verdere actie hoeft te ondernemen.
Extra Security
Omdat de WebAuthn wordt gereguleerd door het W3C, is er achter de schermen meer aan de hand dan alleen authenticatie. Door bijvoorbeeld tokens op te slaan op het apparaat en niet op een externe server, kan WebAuthn helpen om sterkere webbeveiliging te bieden tegen phishing en man-in-the-middle-aanvallen.
Hoe gebeurd dit dan net ?
Wanneer een gebruiker voor het eerst een passwordless of usernameless credential maakt, wordt een publieke sleutel gedeeld met de legitieme website. Als er een phishingaanval is, zal het aanmeldingsproces niet werken; door te worden doorverwezen naar een niet-WebAuthn-geactiveerde kopie van een site (attackers website copy), zal de sleutel van de gebruiker falen en zal deze worden gevraagd om een gebruikersnaam en wachtwoord in te geven. Deze onderbreking van een frictionless login experience zou de gebruiker op zijn minst moeten waarschuwen dat er iets mis is. En door de noodzaak voor gebruikers om wachtwoorden en gebruikersnamen te typen te elimineren, zou dit elke potentiële password-stealing man-in-the-middle eavesdropping aanval verder moeten tegengaan.
Wil je meer te weten komen over ForgeRock Go?
To Be Continued…