Security-experts bezorgd over veiligheid wachtwoordloze WebAuthn-inlogstandaard

Beveiligingsonderzoekers van Paragon Initiative waarschuwen voor problemen met het nieuwe WebAuthn-protocol dat wachtwoordloze authenticatie mogelijk maakt. De standaard zou steunen op een aantal verouderde algoritmes die al jaren kwetsbaar zijn voor aanvallen.

WebAuthn werd in april van dit jaar officieel gelanceerd door het World Wide Web Consortium (W3C), het orgaan dat alle webstandaarden beheert, met input van de FIDO Alliance. De FIDO Alliance werd in 2013 opgericht om interoperabele authenticatiestandaarden te creëren over de hele industrie heen. Meer dan 260 technologiebedrijven zijn lid van het consortium.

Het consortium bracht onder meer de U2F-standaard voor het gebruik van security keys bij tweestapsverificatie tot stand, alsook het UAF-protocol dat de basis vormt voor WebAuthn. WebAuthn laat een gebruiker toe om op een website aan te melden met behulp van een security key, biometrische oplossing, of het wachtwoord van zijn of haar apparaat.

Het idee is dat WebAuthn de noodzaak vervangt om voor elke website een apart account met uniek wachtwoord aan te maken. In plaats daarvan registreert de gebruiker zich op een site met behulp van een apparaat (via een attestation key). Vervolgens kan hij of zij zich telkens met dat apparaat identificeren of authenticatiesleutels genereren om zich op een ander toestel aan te melden.

Verouderde algoritmes

Chrome, Firefox en Edge ondersteunen alledrie reeds WebAuthn, omdat het protocol op het eerste zicht zeer tastbare beveiligingsvoordelen biedt. Een team cryptografie-experts van Paragon Initiative stelde tijdens een security-audit evenwel vast dat er verschillende problemen zijn met de standaard. In het bijzonder met de algoritmes die de attestation keys genereren.

De onderzoekers sommen alle problemen op in een technische analyse. Ze wijzen erop dat W3C in zijn WebAuthn-specificatie het gebruik van verouderde algoritmes adviseert, zoals Elliptic Curve Direct Anonymous Attestation (ECDAA) en RSASSA-PKCS1-v1_5. Met name die laatste is bijzonder problematisch omdat er verschillende exploits voor bestaan.

“PKCS1v1.5 is slecht. De exploits zijn bijna oud genoeg om legaal alcohol te drinken in de Verenigde Staten. Gebruik het niet!”, waarschuwt Paragon.

Ook het ECDAA-algoritme, dat door de FIDO Alliance werd gecreëerd, is volgens de security-experts niet zonder problemen. De onderzoekers beschrijven mogelijke exploits waarbij een aanvaller de hardwaretoken van een gebruiker vanop afstand kunnen klonen, al erkennen ze wel dat zulke aanvallen “niet-triviaal” zijn. Toch is het team van mening dat ECDAA onvoldoende op punt staat om te worden gebruikt voor zo’n belangrijke functie als WebAuthn.

Verwarrende documentatie

Volgens Paragon, dat tegenover ZDNet nader inging op zijn bevindingen, ligt de verwarrende WebAuthn-documentatie van de FIDO Alliance aan de grond van het probleem. Uit legacy-overwegingen wordt PKCS1v1.5 daarin als “verplicht” gecategoriseerd en ECDAA als “aanbevolen”.

Implementeerders zouden daardoor verkeerdelijk kunnen denken dat deze algoritmes de minimale drempels voor implementatie zijn en alleen deze ondersteunen. Er zijn evenwel veel meer geschikte algoritmes om uit te kiezen.

“Na een grondige lezing van de blogpost vinden we het positief dat er geen fundamentele tekortkomingen in het protocol zijn ontdekt”, reageert de FIDO Alliance tegenover ZDNet. “We erkennen de geldige punten die zijn aangebracht over potentiële kwetsbaarheden die door implementeerders zouden kunnen worden geïntroduceerd als best pratices niet worden gevolgd. We zijn beginnen nadenken over welke richtlijnen we voor hen willen documenteren.”