Over WebAuthn
Wat is WebAuthn?
Ik heb aan chat.openai.com↗ gevraagd wat WebAuthn is.
Ik kreeg dit antwoord:
WebAuthn is een open standaard voor het veilig aanmelden op websites en webdiensten met behulp van een fysiek beveiligingsapparaat, zoals een beveiligingssleutel of een biometrische scanner. Het doel van WebAuthn is om het aanmeldproces te verbeteren door het gebruik van twee-factorauthenticatie te vereenvoudigen en te versterken, zonder dat gebruikers zich zorgen hoeven te maken over het onthouden van complexe wachtwoorden.
WebAuthn werkt door gebruikers te vragen om zich aan te melden met hun beveiligingsapparaat, bijvoorbeeld door een vingerafdruk te scannen of een beveiligingssleutel te gebruiken. Dit zorgt ervoor dat alleen de gebruiker met het beveiligingsapparaat toegang heeft tot de website of de dienst. WebAuthn is ontworpen om gebruikers te helpen beveiligingslekken te voorkomen en te voorkomen dat hun accounts worden overgenomen door aanvallers.
WebAuthn is momenteel beschikbaar in de meeste moderne webbrowsers en wordt ondersteund door een groot aantal websites en webdiensten. Het wordt gezien als een veiligere manier om aan te melden dan traditionele wachtwoorden, en het wordt steeds vaker gebruikt om online accounts te beveiligen.
Iets meer uitleg
Web authentication maakt gebruik van een combinatie van gegevens, waaronder een privé-sleutel en een openbare sleutel.
Het werkt ongeveer zo:
Je registreert je voor de eerste keer bij een website of app.
Je geeft aan met welk apparaat (jouw smartphone bijvoorbeeld) en hoe (vingerafdruk, gezichtsherkenning, code van een codegenerator-app) je laat weten dat jij het bent.
Dat apparaat en de website wisselen gegevens uit waarmee
de website kan controleren of jij het apparaat bij je hebt en dus kan controleren of je bent wie je zegt te zijn en
het apparaat kan controleren of het inderdaad met die website communiceert.
Jullie kennen elkaar nu.
Als je naderhand inlogt:
moet de website bewijzen dat het de echte website is;
moet jij bewijzen dat jij het apparaat bij je hebt;
moet het apparaat bewijzen dat het de goede code kent.
Zo weet jij zeker dat de website de website is, en de website weet zeker dat jij jij bent.
Een (vrij technische) uitleg vindt je in het Engels op de site webauthn.guide↗ en verderop de pagina.
Zelf proberen?
Op de website https://webauthn.io↗ kun je zelf proberen hoe het werkt.
Je moet je eerst registreren. Gebruik hiervoor:
jouw eigen e-mailadres.
de computer waarop je bezig bent of jouw mobiel.
Als je geregistreerd bent, kun je authenticeren (inloggen).
Wat meer in de techniek
Dit is een technisch verhaal. Je kunt het rustig overslaan...
Registratie met WebAuthn
Bij het registreren geef je jouw e-mailadres.
De website waar je registreert,
stuurt jouw smartphone (of tablet of computer) zijn openbare sleutel (waarmee de smartphone later de site kan herkennen) en
vraagt de smartphone om een openbare sleutel waarmee de site hem later kan herkennen.
Jouw smartphone maakt speciaal voor deze website:
een privé-sleutel (Private Key) en
een openbare sleutel (Public Key).
De smartphone stuurt een bericht terug met daarin:
gegevens over de smartphone en
de openbare sleutel voor die site.
De website/app heeft nu dus:
jouw publieke sleutel
en gegevens over jouw smartphone (onder andere merk, Operating System en protocollen die hij ondersteunt).
Daaraan kan hij jou herkennen.
Inloggen met WebAuthn
Bij het inloggen geef je jouw e-mailadres.
De website herkent dat en ziet dat hij al een publieke sleutel van jou heeft.
De site stuurt de smartphone een bericht dat hij met de privé-sleutel voor die site moet ondertekenen.
Op de smartphone moet jij je identificeren met een vingerafdruk, gezichtsherkenning of gegenereerde tijdelijke code.
Daarna stuurt de smartphone het met jouw privé-sleutel ondertekende bericht terug.
Op basis van jouw publieke sleutel kan de website controleren of jouw antwoord klopt, en of jij inderdaad bent wie je je zegt te zijn.
Als alles klopt, ben je ingelogd.
Je hebt dus geen wachtwoord meer nodig, alleen een e-mailadres en een apparaat met een pincode, vingerafdrukscanner, camera of codegenerator-app.
Meer in Wachtwoorden:
Over WebAuthn