Veel gebruikers ervaren wachtwoorden als extreem belastend. Een authenticatieprotocol voor websites, WebAuthn genaamd, zou ze achterhaald kunnen maken. Gebruikers kunnen het gebruiken om met hun smartphone of computer in te loggen op een dienst zoals een sociaal netwerk of een online winkelplatform. Het proces is snel en eenvoudig bij gebruik van biometrische gegevens zoals vingerafdruk of gezichtsherkenning, die vaak al zijn opgeslagen om het apparaat te ontgrendelen. "Het is niet verwonderlijk dat hierdoor de indruk kan ontstaan ​​dat de biometrische gegevens worden verzonden naar de website waarop u wilt inloggen, vergelijkbaar met een wachtwoord. Maar dit is een misvatting", zegt Leona Lassak van Ruhr-Universität Bochum (RUB ).

Een team van RUB, het Max Planck Institute for Security and Privacy (MPI-SP) in Bochum en de University of Chicago heeft deze en andere misvattingen aangepakt. In verschillende online onderzoeken lieten ze 414 gebruikers de nieuwe WebAuthn-aanmelding uitproberen en vroegen ze naar hun eerste indrukken en zorgen over de beveiliging, bruikbaarheid en privacy.

Leona Lassak van het Horst Görtz Institute for IT Security aan de RUB en Dr. Maximilian Golla van de MPI-SP zullen samen met Annika Hildebrandt en professor Blase Ur van de University of Chicago de resultaten publiceren op de USENIX Security-conferentie op 11 augustus 2021 De krant is sinds 21 juni 2021 online beschikbaar.

Hoe WebAuthn werkt

WebAuthn maakt deel uit van de nieuwe FIDO2-standaard, die erop gericht is wachtwoorden overbodig te maken. Wanneer gebruikers zich momenteel willen aanmelden bij een service, hoeven ze alleen een gebruikersnaam en wachtwoord in te voeren. In de toekomst zouden gebruikers zichzelf in plaats daarvan eenvoudig kunnen authenticeren door hun apparaat te gebruiken. Om ervoor te zorgen dat een willekeurige persoon die een verloren smartphone vindt, zich niet kan aanmelden bij allerlei diensten, moeten gebruikers het inlogproces bevestigen met hun smartphone-pincode of biometrische gegevens. Sommige diensten zoals het Amerikaanse eBay of Microsoft bieden al de WebAuthn-login aan.

Leona Lassak legt het probleem uit:"Voor de gebruiker lijkt het alsof ze met hun vingerafdruk inloggen op de online dienst. In feite ontgrendelt hun vingerafdruk alleen een zogenaamde cryptografische sleutel, die wordt opgeslagen op het apparaat van de gebruiker en vervolgens wordt gebruikt voor de daadwerkelijke login."

Verwarring onder nieuwe gebruikers

Bijna 70 procent van de respondenten wist niet zeker of geloofde ten onrechte dat hun biometrische gegevens zouden worden gedeeld met de website waarop ze probeerden in te loggen. "Het is belangrijk om deze misverstanden aan te pakken, omdat ze de bereidheid van mensen om de nieuwe beveiligde login te gebruiken, in gevaar brengen. " zegt Annika Hildebrandt, een auteur van de Universiteit van Chicago.

Een ander probleem doet zich voor als de vingerafdruksensor niet werkt. Het is zelfs mogelijk om als alternatief de pincode van de smartphone in te voeren. Omdat de gebruikersinterface deze optie echter niet erg duidelijk maakt, dacht 60 procent van de gebruikers dat ze in dit geval de toegang tot hun account zouden verliezen. De onderzoekers vroegen ook of deelnemers hun rekeningen veilig zouden vinden als hun smartphone zou worden gestolen. 93 procent van de respondenten voelde zich voldoende beschermd vanwege hun biometrische gegevens, maar wist niet dat een aanvaller ook toegang kon krijgen tot hun accounts door de pincode van de smartphone te raden.

Misvattingen aanpakken

De onderzoekers lieten zeven focusgroepen teksten en afbeeldingen ontwikkelen die tot doel hebben deze misvattingen te voorkomen en de gecompliceerde functionaliteit van WebAuthn te communiceren. Op basis van deze teksten hebben de onderzoekers zes notificaties geïmplementeerd en vergeleken in een online onderzoek.

"Het meest effectief om misvattingen aan te pakken, is expliciet communiceren dat de vingerafdruk- en gezichtsgegevens nooit naar de website worden verzonden", legt Annika Hildebrandt uit. Het was minder effectief om de nadelen van wachtwoorden te benadrukken of de betrouwbare bedrijven te noemen die hebben bijgedragen aan de ontwikkeling van de WebAuthn-standaard.

Toenemende adoptie

Ondanks alle misverstanden en zorgen, beoordeelden de deelnemers de biometrische login hoger dan traditionele wachtwoorden, omdat ze vooral onder de indruk waren van de snelheid en het gebruiksgemak. In de toekomst willen de onderzoekers de acceptatie van WebAuthn verder vergroten om de voordelen ervan voor alle gebruikers toegankelijk te maken.