Het is tijd dat het wachtwoord sterft

Een wachtwoordloze toekomst wordt ons al tijden lang voorgehouden. Een paar van de allerslimste mensen op het internet - met een paar van de diepste zakken - werken er hard aan. Er liggen tientallen ideëen op tafel, waarvan sommige zo uit een scifi-film lijken weggelopen. Toch typen we nog steeds massaal "aap_1987" om in te loggen. Maar waarom?

Het is tijd dat het wachtwoord sterft. Let's do this.

Het wachtwoord is de Achilleshiel van online veiligheid. Het klopt fundamenteel niet meer met het internet vandaag de dag omdat A) we de honderden verschillende codes van onze ontelbare accounts niet kunnen onthouden en B) we dat eigenlijk niet meer hoeven te doen omdat browsers en apps ze automatisch opslaan. Wat ook weer verontrustend is omdat die persoonlijke codes kwetsbaar zijn voor hackers. En die maken daar graag gebruik van.

Het goede nieuws is dat experts een betere methode hebben bedacht. Meerdere betere methodes. Het slechte nieuws is dat al die methodes niet samenwerken - er zijn verschillende protocollen voor verschillende technologie, en websites moeten dus besluiten welke ze gebruiken. Honderden verschillende authetificatiesystemen leren is niet praktischer dan honderden passwords uit je hoofd te leren, dus totdat de industrie een standaard bepaalt zijn we nog nergens. De race is dus begonnen.

FIDO, wat staat voor "fast identity online," wil tweestaps authentificatie de norm maken door hardware zoals je telefoon te gebruiken om fysiek bewijs te leveren. Om te checken of jij de eigenaar bent van je apparaat, zou het systeem kunnen kiezen uit allemaal high-tech biometrische data waar we steeds over horen: irisscanners, stem- of gezichtsherkenning, dingetjes die naar je hartslag luisteren of zelfs je gedachten lezen. Het zou ook gebruik kunnen maken van dingen als Smart Cards of speciale beveiligingschips in telefoons.

Voor de tweede stap maakt het systeem een "cryptographic string," zoals een pincode, om je apparaatgebonden identiteit bij de website of app te verifiëren. De FIDO-software bezit de sleutel, maar stuurt nooit de passwordinfo het internet op. In principe werkt het hetzelfde als een pinpas met een pincode. Of een website die een code sms't wanneer je ergens in probeert te loggen: je bewijst je identiteit met iets dat alleen jij weet en iets dat je hebt.

Het knelpunt zit 'm erin dat bedrijven het systeem moeten gebruiken - door bijvoorbeeld de software op hun server te downloaden - op een grote schaal. Dan kunnen gebruikers ervoor kiezen om het te gebruiken. De FIDO Alliance hoopt dat als Microsoft aan boord komt, waar ondere andere Google en Blackberry al zitten, er meer hoop komt om het systeem overal te implemeteren.

Maar FIDO is niet de enige die erop uit is om het password te vervangen. Andere bedrijven, waaronder een hele rits startups en wat techgiganten, hebben hun eigen plannetje om het verouderde wachtwoord de wereld uit te helpen.

De New York Times schreef gisteren al over een paar van die bedrijfjes, waaronder Clef, een startup uit San Francisco. Clef is een mobiele app die een versleutelde code van een telefoon naar een computer stuurt door de camera van de telefoon. Websites die gebruik maken van de technologie tonen een QR-code-achtige "Clef Wave," elke keer dat iemand in wil loggen. Door de telefoon voor de Wave te houden word de gebruiker ingelogd.

Andere startups zoals OneID of LaunchKey gebruiken ook smartphones en digitale sleutels als logins (voel je de trend?), maar ze maken allemaal geen kans als ze niet overal gebruikt worden. Clef denkt dat ze een manier hebben om dit probleem te omzeilen. In plaats van websites één voor één te werven, ontwikkelden ze een universele loginfunctie. Ze hebben onlangs Waltz, een browser plugin, gelanceerd waarvan ze beweren dat het de app overal laat werken.

"Het probleem was adoptie - het werkte maar op een paar sites - dus ik maakte Waltz. Zo hoeven we niet te wachten tot de ontwikkelaars bij Facebook of Amazon Clef gaan implementeren," zei Joe Wegner, de webdesigner die de plug-in ontwikkelde.

Ook al maken beveiliginsexperts zich zorgen dat er teveel lekken in het authentificatiesysteem van de browserapp zitten, is Waltz vast niet de laatste startup die het wachtwoord opnieuw wil uitvinden. Wie slaat uiteindelijk de laatste nagel aan de doodskist van het wachtwoord? Wordt het het meest gebruiksvriendelijke design uit Silicon Valley? Facebook of Google die sites pushen om hun systeem te gebruiken? De ontwikkelaars die protocollen voor het internet ontwikkelen? Wordt het de komende twee jaar een potje touwtrekken? Ik hoop het niet. Wachtwoorden moeten dood.

@meghaneal