Voor veel mensen is het vervelend en lastig gedoe, maar inloggen met gebruikersnamen en wachtwoorden is nog niet verdwenen. Wel worden de digitale hulpmiddelen steeds beter.
Bij alle websites die ik heb opgeleverd, probeer ik altijd de gebruikers een wachtwoordmanager te laten gebruiken. Zelf gebruik ik al jaren LastPass, maar er zijn er meer (1Pass, KeePass enz.). Het vereenvoudigt je online leven aanzienlijk en je houdt het veilig.
Maar de zaken evolueren, ze veranderen in de loop van de tijd. Dat gaat ook op voor WordPress websites die inmiddels zo’n groot aandeel hebben dat het hacken van die sites ook handel is. Waarschijnlijk lucratiever dan de mijne.
Enige overeenkomst met een wapenwedloop is er zeker. Toch een hack van je eigen website wil je voorkomen. Vandaar dat ik ook al jaren websites oplever met beveiligingsplug-ins die je daarbij helpen. De plug-in Really Simple Security begon als een klein hulpprogramma om je website in de https-modus te forceren (SSL), zodat je een veilige verbinding maakt met bezoekers.
Doorontwikkelen
De ambities van de ontwikkelaars reikten echter verder en inmiddels is het een slimme veiligheidsplug-in geworden, waar ik op mijn eigen sites de pro-versie heb. Really Simple Security heeft zich verbonden met Site Diagnose, ooit een aparte plug-in, nu onderdeel van de standaard WordPress installatie. Hierdoor wijst dat programma naar het 2FA-protocol om het inloggen nog veiliger te maken.
Deze tweestapsverificatie zorgt dat je een extra laag in de beveiliging van het inloggen aanbrengt. In principe gaat het er om dat je persoonlijk bevestigt dat jij inlogt en niet iemand anders. Het werkt óf via een eenmalige pincode naar je e-mailadres óf via een app op je mobiele telefoon. Verschillende online diensten (oa. Apple, Facebook en Google) werken er al mee.
Onlangs ben ik er mee aan de slag gegaan. Zoals gezegd heb je er een app op je telefoon voor nodig. Keuze genoeg, voor Android en iOS of beide besturingssystemen. Google, Microsoft, Cisco en anderen aanbieders leveren zo’n Authenticator app. Na enig vergelijkend warenonderzoek ben ik uitgekomen bij 2FAS (open source, geen account nodig en slaat je data niet op).
2FA inloggen zelf gebruiken
Voor mijn eigen website heb ik dus Really Simple Security Pro geïnstalleerd en die gebruikt om het 2FA-protocol in te schakelen. Zonder de pro-versie kun je de eenmalige code alleen via e-mail krijgen.
Eerste stappen – Op mijn mobiel (iPhone) heb ik de 2FAS app gedownload. Op het moment dat ik inlog op de gebruikelijke manier – gebruikersnaam en wachtwoord – verschijnt er een nieuw scherm met een QR-code. Die dien je met de app op je telefoon te scannen.
Aanmelden en inloggen – Je krijgt dan via de app de 6-cijferige code om je inlog te authenticeren, te bevestigen dat jij het bent. De website is dan aangemeld bij de app en de volgende keer krijg je direct de 6 cijfers.
Dat ging bij twee websites eigenlijk vlekkeloos, maar bij één dus niet. Met hulp van een medewerker van de Really Simple Security-plug-in kwam ik er achter wat ik over het hoofd had gezien. Een andere plug-in had de zogenaamde REST API van WordPress geblokkeerd. Dat is een software interface die je website in staat stelt te communiceren met andere software, dus om dynamische info uit te wisselen. Zoals die eenmalige cijferreeks.
Mijn beveiliging was nu op orde, dacht ik. Klaar.
En toen kwam er een verrassing binnen.
Passkeys
Ik kreeg een e-mail van LastPass waarin een toekomst zonder wachtwoorden werd beloofd. Het was via hun account beschikbaar als bètafunctie. Het is een werkwijze die ik jaren geleden hoorde bepleiten door Steven Pemberton, inmiddels gepensioneerd onderzoeker en wiskundige bij het Centrum Wiskunde & Informatica (Amsterdam). Hij werkte mee aan verschillende codetalen van het internet via het World Wide Web Consortium (W3C). Pemberton was onze vaste spreker in januari bij Freelance Fridays, ‘mijn’ freelancersavond in Pakhuis de Zwijger.
Ik citeer de heldere uitleg van LastPass uit hun e-mail:
Een passkey is een nieuwe en veilige technologie om u aan te melden bij apps en websites, zonder een traditionele gebruikersnaam en wachtwoord. Het maakt gebruik van een digitaal sleutelpaar: één openbare sleutel, en één privésleutel.
De openbare sleutel wordt opgeslagen door de app of de website, en de privésleutel wordt opgeslagen in LastPass. Het systeem combineert deze sleutels om u aan te melden en zorgt dat u zo veilig toegang krijgt.
De openbare sleutel wordt opgeslagen door de app of de website, en de privésleutel wordt opgeslagen in LastPass. Het systeem combineert deze sleutels om u aan te melden en zorgt dat u zo veilig toegang krijgt.
Voorlopig wil nog even genieten van mijn 2FA inspanningen, maar op de passkeys zal ik nog wel een keer terugkomen, vermoed ik.
Foto: Markus Spiske via Unsplash
Geef een reactie