PayPals securitymanager Michael Barrett heeft tijdens een conferentie inloggen met alleen een wachtwoord dood verklaard. Hij stelt dat er dit jaar nog smartphones op de markt komen die gaan werken met het nieuwe authenticatie-protocol van de Fast Identitiy Online (FIDO) Alliance, waar PayPal bij betrokken is. FIDO moet authentificatie veiliger maken dan met traditionele wachtwoorden.

Vingersensor in iPhone

Barrett liet doorschemeren dat Apple het FIDO-protocol gaat ondersteunen. "Er gaan geruchten dat Apple later dit jaar komt met een telefoon met een vingerafdrukscanner erop. Er zal dit jaar nog een smartphone met vingerafdrukscanner op de markt komen. Niet één, maar meerdere." Wanneer PayPal zelf de FIDO-standaard wil gebruiken, vertelde Barrett niet.

Apple kocht vorig jaar het bedrijf AuthenTec, dat zich bezighoudt met vingerafdruktechnologie. Dit bedrijf maakt beveiligingstoepassingen zoals toegangscontrole en vingerafdrukscanners. AuthenTec heeft naar eigen zeggen meer dan 100 miljoen vingerafdruksensoren ingezet.

Inloggen met een swipe

FIDO werkt op basis van een tweetraps-authenticatie. Enerzijds met een voor iedere gebruiker uniek 'geheim' (bijvoorbeeld de koppeling met het internetaccount) en anderzijds een login, dat zowel biometrisch, met usb of met een pincode kan. Zo kunnen gebruikers bijvoorbeeld met een 'swipe' van de vinger inloggen op een beveiligde webpagina.

Hierbij is altijd een browser plug-in nodig die informatie uitwisselt tussen de token en de FIDO- authenticatieserver waar de website mee werkt. Het gevolg van de combinatie van meerdere mogelijke tokens zorgt ervoor dat de nieuwe standaard door één gebruiker op meerdere (mobiele) apparaten en platformonafhankelijk kan worden gebruikt. Daarbij wordt log-in data niet ergens op de back-end opgeslagen, wat diefstal moet voorkomen.