Bent u de laatste tijd nog online geweest?
Dan is het volgende u waarschijnlijk meer dan eens overkomen toen u zich wilde aanmelden bij een nieuwe website:
Ook bieden sommige services de mogelijkheid om u aan te melden via Twitter, Linkedin of Microsoft. Bij andere websites of services kunt u zich niet eens meer op de ouderwetse manier aanmelden via een e-mailadres of een zelfstandig account.
Misschien dacht u wel: Prima, jullie je zin, en wilde u de voorwaarden al accepteren, maar bedacht u zich op het laatste moment: Wacht eens even, is dit wel veilig?
Deze functionaliteit heet OAuth (Open Authorization) en werkt als volgt.
Stel, u wilt zich aanmelden bij peopleeatingcupcakes.com omdat u de onbedwingbare behoefte hebt om andere mensen cupcakes te zien eten…
Waarom ook niet? Wij hebben daar geen oordeel over.
Normaal gezien wordt u door peopleeatingcupcakes.com verzocht een account te maken. Daarvoor zou u normaal gesproken (alweer) een gebruikersnaam nodig hebben en een e-mailadres moeten opgeven waar een bevestigingsbericht naartoe kan worden gestuurd. Gewoon om zeker te weten dat u echt bestaat en geen spambot bent die geïnteresseerd is in het eten van cupcakes.
Door Facebook of Google te gebruiken om u aan te melden kunnen u en de website die stap overslaan. U vertrouwt er gewoon op dat die services voor u instaan en uw account beheren.
Daarbij is het volgende cruciaal: de nieuwe service krijgt nooit de beschikking over uw wachtwoord.
Wanneer u zich aanmeldt, stuurt peopleeatingcupcakes.com u naar Facebook of Google, waar u zich moet aanmelden. Facebook of Google sturen vervolgens een token terug naar de website, waarin in feite het volgende staat: "Ja, deze persoon is wie zij of hij zegt te zijn. Ga maar door."
Vervolgens kunt u zich in de wondere wereld van de cupcake etende mens storten.
Want er moet wel een addertje zijn. We hebben het tenslotte over Facebook en Google.
In de meeste gevallen krijgt de service die u gebruikt toegang tot bepaalde aspecten van uw accounts.
Dat is op zijn minst uw openbare Facebook-profiel of uw e-mailadres. Maar in sommige gevallen gaat het om meer, bijvoorbeeld toegang tot uw lijst met contactpersonen of de mogelijkheid om iets op uw prikbord te plaatsen.
Facebook staat een bepaalde mate van beheer toe over wat u precies wilt delen, en dat geldt waarschijnlijk ook voor Google. Houd er wel rekening mee dat sommige services afhankelijk zijn van die gegevens. Als u weigert toegang te geven tot bepaalde gegevens, kan het zijn dat uw account niet meer werkt.
In veel opzichten wel, ja. Het is een stuk veiliger om u bij andere websites aan te melden via Google of Facebook dan om een zelfstandig account en wachtwoord te maken. Dat zit zo:
Het is weer een wachtwoord minder
Neem het maar van ons aan: beveiligen is lastig.
Tenzij u een programma voor wachtwoordbeheer gebruikt, geldt dat hoe meer wachtwoorden u instelt – en u zou voor elke website die u gebruikt een uniek wachtwoord moeten opgeven – hoe groter de kans is dat ze zwak zijn.
Als een van deze websites wordt gehackt, kunnen de hackers patronen ontdekken in de manier waarop u wachtwoorden samenstelt. Nog erger: als u geen unieke wachtwoorden hebt gebruikt, beschikken ze nu over de sleutel tot al uw accounts.
Met OAuth kunt u ervoor zorgen dat u een sterk wachtwoord instelt. Vervolgens is dat wachtwoord het enige wachtwoord dat u hoeft te onthouden.
U bent afhankelijk van de beveiliging van Facebook of Google
En wat ik net al zei: beveiligen is lastig.
Peopleeatingcupcakes.com is misschien een fantastische website. Maar ze hebben waarschijnlijk niet de middelen om net zoveel in beveiliging te investeren als de Facebooks en Googles van deze wereld.
U zou zich het volgende kunnen afvragen: zijn mijn gegevens veilig bij deze website? Zeer waarschijnlijk hebt u wat beveiliging betreft meer vertrouwen in Facebook en Google dan in een willekeurige kleine website.
In het geval van een hack gaat er weinig verloren
Vergeet niet, peopleeatingcupcakes.com kent uw wachtwoord niet. De website heeft alleen een token waarmee uw identiteit bij Google of Facebook kan worden bevestigd. Bij een hack is er geen account met uw gegevens en dus ook geen buit.
U kunt de toegang intrekken
Zelfs als peopleeatingcupcakes.com wordt gehackt, of als u uw portie aan cupcakes wel hebt gehad, kunt u het token gewoon intrekken en de toegang tot uw gegevens opheffen. Dat is waarschijnlijk veel beter geregeld dan het accountbeheersysteem van de cupcakemensen u kan bieden. Vaak bestaat er bij dat soort systemen geen mogelijkheid om accounts te verwijderen.
U kunt tweevoudige verificatie gebruiken
Dit is waarschijnlijk het belangrijkste argument: hoe sterk het ingestelde wachtwoord ook is, het is nooit zo goed als een extra methode om uw identiteit te verifiëren. In de meeste gevallen is dat een eenvoudige, op tijd gebaseerde code die via sms of via een verificatie-app (bijvoorbeeld Authy) naar uw telefoon wordt gestuurd, maar er zijn ook andere methoden.
De meeste services die OAuth bieden, bieden ook meervoudige verificatie. Als u die optie nog niet hebt geactiveerd, is dit het moment om het alsnog te doen.
Maar, hoor ik u zeggen, wat gebeurt er als Facebook of Google wordt gehackt? Kunnen ze dan niet in één keer overal bij?
Tot op zekere hoogte wel. Daarom moet u een sterk wachtwoord instellen en ervoor zorgen dat u tweevoudige verificatie hebt ingesteld voor die accounts.
Maar bedenk dit: als u op een e-mail account vertrouwt om al die verschillende accounts te beheren en dat account wordt gehackt, hebt u hetzelfde probleem. De hacker kan uw e-mailadres gebruiken om de wachtwoorden voor al uw services opnieuw in te stellen.
In die zin is Facebook mogelijk iets veiliger, omdat uw Facebook-account gewoonlijk niet ook als e-mailaccount wordt gebruikt. Er zijn echter manieren om inbraak via e-mail tegen te gaan, ongeacht de service die u gebruikt.
Programma's voor wachtwoordbeheer bieden tal van voordelen.
Maar in dit geval is het niet per se veiliger sterke en unieke wachtwoorden voor elke website in te stellen met een programma voor wachtwoordbeheer dan de OAuth-aanmeldingen via Google of Facebook.
Ten eerste bent u nog steeds afhankelijk van de beveiliging van het kleine peopleeatingcupcakes.com om uw unieke wachtwoord en account te beschermen. Als de beveiliging wordt gekraakt, moet u het wachtwoord wijzigen en dat doet u pas nadat u hebt gehoord dat uw accountgegevens zijn uitgelekt.
En in de tussentijd? U bent gehackt en iemand kan zijn gang gaan met uw account en gegevens.
Ook dat probleem kunt u voorkomen met tweevoudige verificatie. En de beste programma's voor wachtwoordbeheer ondersteunen het gebruik daarvan. Als dat niet voor uw programma geldt, kunt u beter een ander programma kiezen.
Ten tweede wedt u nog steeds op één paard: het programma voor wachtwoordbeheer in dit geval. Het is de vraag of een dergelijk programma veiliger is dan Google of Facebook, maar criminelen die inbreken op dat programma hebben in elk geval toegang tot al uw accounts.
En programma's voor wachtwoordbeheer zijn niet immuun voor hacken.
Ja, zolang u maar een sterk wachtwoord gebruikt en tweevoudige verificatie hebt ingesteld voor uw Facebook- of Google-account. Dat is veiliger dan de meeste alternatieven.
Privacy | Kwetsbaarheid melden | Contact opnemen met beveiliging | Licentieovereenkomsten | Verklaring over moderne slavernij | Cookies | Toegankelijkheidsverklaring | Verkoop mijn gegevens niet | | Alle handelsmerken van derden zijn eigendom van hun respectieve eigenaren.
