Inloggen zonder wachtwoord meest veilig

19 jun 2017

Joris Snoek - Project lead
Vragen? Let me know!
020 - 261 14 99

Nooit meer wachtwoorden onthouden, hoe relaxed zou dat zijn? Het blijkt dat wachtwoordloos werken zelfs de meest veilige manier is. Hoe dan?

Ik was laatst aan het experimenteren met Medium: een mooi blog platform met ingebakken sociale functies. Wellicht dat we ons blog gingen migreren, want ik lees veel positieve verhalen. Uiteindelijk hebben we besloten om dit niet te doen.

Anyway, dat was niet de inhoud voor dit blog. Wat mij opviel aan Medium: je kunt nergens een wachtwoord beheren. Het inloggen én registreren via e-mail gaat als volgt:

Dit herken ik van alle klant-systemen die wij in beheer hebben: om veiligheidsoverwegingen registeren wij nooit wachtwoorden van hen. Als we inloggen doen we dat dus nooit met een wachtwoord, we doen dat via een eenmalige inlog-link net als Medium.

Je blijft een aantal dagen ingelogd, zolang je dus actief blijft hoef je dus niet elke keer opnieuw de login-link op te vragen.

Wake up

Ik vertelde dit aan diverse mensen en de eerste reactie is vaak: huh? Maar wat als iemand toegang heeft tot je e-mail? Dan kan diegene toch zo inloggen? Wake up: als iemand je e-mail heeft gehackt kan hij óveral inloggen. Bij álle accounts van ál je systemen. Omdat alle internet diensten werken met een ‘wachtwoord vergeten’ functie die een eenmalige inlog-link via e-mail stuurt, waarmee je je wachtwoord kan wijzigen.

Authenticatie: serious business

Alle internet platformen willen hun inlog-proces zo veilig en makkelijk mogelijk maken, vanuit alle apparaten. Maar in parktijk zijn wachtwoorden niet veilig en niet makkelijk in gebruik. Ze zijn lastig te herinneren, makkelijk te gokken en iedereen hergebruikt ze (ook al zou je dat niet moeten doen). Én ze zijn moeizaam te typen op een smartphone, vooral als je verplicht wordt om speciale tekens te gebruiken -wat een ellende is dat bij invoer!

Wachtwoorden houden je accounts dus niet echt veilig.

Zonder wachtwoorden veiliger

Het gaat tegen je gevoel in, maar wachtwoordloos is veiliger dan een systeem met wachtwoorden. Zodra iemand je wachtwoord hackt dan heeft diegene toegang tot betreffende website totdat jíj je wachtwoord wijzigt, wat vaak dus eeuwig betekent. Het zou kunnen zijn dat je nooit doorkrijgt dat iemand jouw account misbruikt.

Als je een e-mail-only systeem gebruikt zijn volgende aandachtspunten van belang:

  • Laat de login-link snel verlopen: na 15 minuten.
  • Zorg dat de login link maar één keer gebruikt worden.
  • Stuur een notificatie e-mail als iemand probeert in te loggen vanaf een afwijkende locatie (browser of fysiek).

Verleggen van security

Als jouw website werkt zonder wachtwoorden dan verleg je het veiligheidsaspect naar de e-mail provider, het lijkt dan alsof je een makkelijke broeier bent. Maar veiligheid bij e-mail providers zou sowieso uber-prio highest nummer één aandachtspunt moeten zijn.

Jouw website is zo veilig als de e-mail provider van gebruikers.

Makkelijker nieuwe gebruikers binnen lepelen

Nog een marketing voordeel: bij e-mail only inloggen gaat registratie net zo makkelijk en met evenveel moeite als inloggen. Hierdoor is de drempel om te starten laag: geen gebruikersnaam, wachtwoord en afbeelding verzinnen.

Wachtwoord frustraties

Door wachtwoordloos te werken, ban je tevens volgende irritaties uit:

  • Invoer op smartphone: wel eens een wachtwoord in proberen te voeren op een smartphone? Vooral met speciale tekens.. wat een hel is dat!
  • Brute force attacks: Volwassen systemen zijn beschermd tegen brute force attacks met behulp van ‘flood control’, waardoor je niet meer kan inloggen na 5 pogingen. Noodzakelijk om de boel veilig te houden maar irritant voor de gebruikers, want nu moeten ze een tijd wachten voordat ze opnieuw in kunnen loggen. Dit is wachten op helpdesk-calls.
  • Password strengt meters: deze worden gebruikt om ervoor te zorgen dat mensen sterke wachtwoorden kiezen. Maar in praktijk zijn er maar weinig gebruikers die dit snappen, veelal wordt het zelfs compleet genegeerd.

Two factor authentication

Een goede extra functie voor inloggen is het gebruik van Two factor authentication. Dit een extra veiligheid maatregel, de twee factoren zijn: “something you know” (een wachtwoord) en “something you have” (meestal een smartphone). Maar het blijkt dat veel users dit niet inschakelen op platforms die dit ondersteunen.

Het is aan te raden de login van je e-mail sowieso te beveiligen middels two-factor authenticatie, want

E-mail gehackt = hacker heeft toegang tot ál je systemen.

Website gehackt? Geen probleem

Tenminste… niet in de context van wachtwoorden dan: als je een e-mail only login systeem hebt dan staan er geen wachtwoorden in de gehackte database opgenomen, dus zijn er geen wachtwoorden van bezoekers te achterhalen. ¯\ (ツ)

En gezien veel mensen één wachtwoord gebruiken voor ál hun accounts, heeft de hacker dan flink wat toegang gescoord.

In een database van volwassen websites staan wachtwoorden sterk versleuteld en salted, maar middels slimme robots zijn wachtwoorden uiteindelijk altijd te achterhalen.

Beter dus geen wachtwoorden in een database, dan valt er relatief weinig te halen voor hackers.

Wrap up

Zo, ik ga nu eerst maar eens even mijn e-mail wachtwoord wijzigen en two-factor authenticatie inschakelen. Ik kan namelijk geen reden meer verzinnen om verder nog met wachtwoorden te werken op internet. Je e-mail constant optimaal beveiligen en gaan. Of zie ik iets over het hoofd?

Nóg meer
kennis nodig?

Check ons ons blog archief.

Digitale strategie en realisatie

Bel ons op 020 - 261 14 99, mail op hallo@luciuswebsystems.nl, of stuur een bericht: