Natuurlijk, ik help je graag bij het ontwerpen van een beveiligde wachtwoordloze authenticatieoplossing voor je SPA met circa 500 gebruikers, met de focus op hoge bescherming tegen phishing en credential stuffing. Hier zijn adviezen en best practices: 1. Gebruik WebAuthn voor wachtwoordloze authenticatie - WebAuthn (Web Authentication API) stelt gebruikers in staat om zich te authenticeren met hardwaretokens (bijv. YubiKey), biometrische gegevens of platform authenticators (zoals Windows Hello, Touch ID, Face ID). - Voordelen: sterk cryptografisch beveiligd, resistent tegen phishing omdat authenticatie gebonden is aan de website/domein. 2. Biometrische verificatie integreren - Maak gebruik van platform authenticators die biometrische gegevens gebruiken (bijv. vingerafdruk, gezicht). - Zorg dat de biometrische gegevens nooit worden gedeeld met de server; alleen de cryptografische challenges worden uitgewisseld. 3. Mobiele authenticatie-apps en push-notificaties - Implementeer multi-factor authenticatie (MFA) via push-notificaties (zoals WebAuthn in combinatie met authenticatie-apps). - Gebruik TOTP (Time-based One-Time Password) of push notificaties als aanvullende verificatie, vooral voor terugkerende gebruikers. 4. Best practices voor beveiliging en gebruiksgemak - Gebruik veilige verbindingen (HTTPS) en beveilig je authenticatie-API’s met CORS en CSRF-bescherming. - Maak de onboarding en registratie eenvoudig: begeleid gebruikers bij het registreren van hardware tokens of biometrische authenticators. - Bied mogelijkheid tot account herstelfuncties zonder wachtwoorden, bijvoorbeeld via verificatie van meerdere authentificators of alternatieve verificatiemethoden. - Implementeer fallback-opties, zoals een PIN-code of recovery codes, voor noodgevallen. 5. Minimaliseer phishing-risico’s - Door WebAuthn te gebruiken, wordt phishing erg moeilijk omdat authenticatie gebonden is aan het juiste domein. - Vermijd het gebruik van e-mail of SMS voor primaire authenticatie, tenzij gecombineerd met WebAuthn of MFA. 6. Gebruik van beveiligde opslag en sleutelbeheer - Bewaar geen wachtwoorden; sla alleen verificatiegegevens op die niet te herleiden zijn tot de gebruiker. - Gebruik hardware security modules (HSMs) of veilige enclaves voor het beheer van cryptografische sleutels. 7. Overweeg een identity provider (IdP) - Maak gebruik van bestaande identiteitsproviders die wachtwoordloze authenticatie ondersteunen, zoals Azure AD, Google, Apple ID, die WebAuthn en andere MFA-methoden bieden. 8. Test en blijf optimaliseren - Voer regelmatig beveiligingsaudits en usability tests uit. - Houd rekening met toegankelijkheid en gebruikersvriendelijkheid, zodat veilige authenticatie niet ten koste gaat van het gebruiksgemak. Kort samengevat: - Implementeer WebAuthn voor hardware- en biometrische authenticatie. - Voeg MFA toe via push-notificaties of TOTP. - Zorg voor eenvoudige onboarding en account herstel. - Beveilig alle communicatie en opslag. - Vermijd wachtwoorden en gebruik phishing-resistente methoden. Wil je specifieke implementatievoorbeelden of tools?

Absoluut. Hier is een gedetailleerd advies voor het ontwerpen van een beveiligde, wachtwoordloze authenticatie-oplossing voor uw SPA, afgestemd op uw specifieke eisen. ### Kernadvies: Kies voor WebAuthn (FIDO2) Gezien uw eisen (SPA, 500 gebruikers, anti-phishing, anti-credential stuffing) is **WebAuthn** de superieure en meest toekomstbestendige keuze. Het is een open standaard van het W3C die is ontworpen om precies deze problemen op te lossen. --- ### 1. Gekozen Technologie: WebAuthn (FIDO2) **Waarom WebAuthn?** * **Bestand tegen Phishing:** Authenticatie is gebonden aan de originele domeinnaam (bijv. `uw-app.nl`). Een phishing-site op `uw-app-fake.nl` kan de inlogpoging niet misbruiken. * **Immuniteit voor Credential Stuffing:** Er zijn geen gedeelde geheimen (wachtwoorden) die kunnen lekken en elders worden geprobeerd. Elke aanmelding is cryptografisch uniek. * **Geen gevoelige gegevens op de server:** De server slaat alleen publieke cryptografische sleutels op. De privésleutel blijft altijd veilig op het apparaat van de gebruiker. **Hoe implementeert u dit?** * **Aan de client-side (SPA):** Gebruik de `navigator.credentials.create()` en `navigator.credentials.get()` JavaScript API's. * **Aan de server-side:** Gebruik een bibliotheek voor uw programmeertaal (Node.js, Python, Java, .NET, etc.) die de WebAuthn-specificatie implementeert. Populaire opties zijn `SimpleWebAuthn` (Node.js, erg developer-vriendelijk), `py_webauthn` (Python), of `webauthn4j` (Java). --- ### 2. Authenticatoren: De "Iets dat je hebt" Factor WebAuthn ondersteunt verschillende soorten "authenticators". U kunt gebruikers de keuze geven of één optie forceren. * **Platform-authenticators (Aanbevolen):** * **Wat het is:** Functionaliteit die is ingebouwd in het besturingssysteem. * **Voorbeelden:** Windows Hello (gezichtsherkenning, vingerafdruk, PIN), Apple's Touch ID & Face ID, Android's Biometrische beveiliging. * **Voordeel:** Uitstekende gebruikerservaring (UX). Gebruikers loggen in met de biometrie of PIN die ze al voor hun apparaat gebruiken. Geen extra apps nodig. * **Roaming-authenticators (Cross-Platform):** * **Wat het is:** Fysieke security keys of sleutelhangers. * **Voorbeelden:** YubiKey, Google Titan Security Key. * **Gebruik:** Primaire optie voor gebruikers zonder biometrische hardware, of als ultieme beveiliging voor hoog-risico accounts (bijv. beheerders). Ze worden via USB, NFC of Bluetooth verbonden. * **Mobiele apparaten als authenticator:** * U kunt gebruikers hun telefoon (via een app of OS-functionaliteit) laten gebruiken om in te loggen op een desktop. Dit vereist vaak dat de telefoon in de buurt is voor Bluetooth-verificatie. **Advies:** Ondersteun **zowel platform- als roaming-authenticators**. De meeste gebruikers zullen de biometrie van hun laptop of telefoon prefereren (gemak), maar bied security keys aan voor wie dat wil. --- ### 3. Implementatiestrategie & Best Practices #### Fase 1: Registratie (Aanmelding) 1. Gebruiker vult een gebruikersnaam/inlognaam in. 2. Uw SPA vraagt de server om een registratie-uitdaging. 3. De server genereert een unieke uitdaging en stuurt deze naar de SPA. 4. De SPA roept `navigator.credentials.create()` aan. De browser vraagt de gebruiker een authenticator te selecteren (bijv. Touch ID) en te bevestigen (vingerafdruk scannen). 5. De authenticator genereert een cryptografisch sleutelpaar. De **publieke sleutel** wordt teruggestuurd naar de server. 6. De server verifieert de handtekening en slaat de publieke sleutel en metadata van de authenticator veilig op, gekoppeld aan de gebruikersaccount. #### Fase 2: Authenticatie (Inloggen) 1. Gebruiker voert zijn gebruikersnaam/inlognaam in. 2. Uw SPA vraagt de server om een authenticatie-uitdaging. 3. De server zoekt de geregistreerde sleutels voor die gebruiker, genereert een uitdaging en stuurt deze. 4. De SPA roept `navigator.credentials.get()` aan. De gebruiker selecteert dezelfde authenticator en bevestigt (bijv. met vingerafdruk). 5. De authenticator tekent de uitdaging met zijn privésleutel. Het antwoord wordt teruggestuurd. 6. De server verifieert met de opgeslagen publieke sleutel. Als de handtekening klopt, is de gebruiker ingelogd. #### Essentiële Best Practices voor Beveiliging en Gebruiksgemak 1. **Gebruiksvriendelijke Fallback:** Bied een alternatief voor als iemand zijn enige authenticator verliest (bijv. een YubiKey). Implementeer een **beveiligd account-herstelproces**. Dit kan een back-upcode zijn (die de gebruiker veilig moet opslaan) of een manuele identiteitsverificatie door een beheerder (haalbaar voor 500 gebruikers). 2. **Meerdere Authenticators Toestaan:** Moedig gebruikers aan om **minimaans twee authenticators** te registreren (bijv. hun laptop Touch ID *én* hun telefoon of een security key). Dit voorkomt lock-out en verhoogt de beveiliging. 3. **UI/UX-clarity:** Leid de gebruiker duidelijk door het proces. Gebruik duidelijke knoppen zoals "Inloggen met Face ID" of "Beveiligingssleutel registreren". Leg uit waarom het veiliger is. 4. **Server-side beveiliging:** * Valideer de `origin` en `rpID` (Relying Party ID) strikt op de server om phishing te voorkomen. * Sla de counter van de authenticator op om te controleren op kloonende apparaten. * Gebruik HTTPS altijd en overal (WebAuthn vereist dit in productie). 5. **Gebruikersidentificatie:** Bij het inloggen moet de gebruiker eerst een identifier (gebruikersnaam/e-mail) invoeren. Overweeg om dit later optioneel te maken door "Discoverable Credentials" (voorheen resident keys) te gebruiken, waar de gebruiker alleen een authenticator hoeft aan te raken en de website zich herinnert. --- ### Aanbevolen Technologiestack * **Frontend (SPA):** Vanilla JavaScript of een framework-specifieke library. `SimpleWebAuthn` heeft uitstekende browser-bibliotheken. * **Backend:** Kies een WebAuthn-bibliotheek voor uw stack. * **Node.js:** `SimpleWebAuthn` (zeer aanbevolen, uitstekende documentatie) * **Python:** `py_webauthn` * **Java:** `webauthn4j` * **.NET:** `Fido2NetLib` * **Database:** Elke database kan de publieke sleutels opslaan. Zorg ervoor dat het veld groot genoeg is (varchar(1024) of equivalent). ### Conclusie en Volgende Stappen Voor uw SPA met 500 gebruikers en de focus op het bestrijden van phishing en credential stuffing, is een **WebAuthn-gebaseerde oplossing met platformauthenticators (biometrie)** de ideale keuze. 1. **Start met experimenteren:** Zet een testomgeving op en probeer `SimpleWebAuthn` uit. 2. **Implementeer registratie en login:** Bouw de kernfunctionaliteit. 3. **Implementeer beheer:** Bouw een interface voor gebruikers om meerdere authenticators toe te voegen en te verwijderen. 4. **Test grondig:** Test op verschillende devices (Windows, macOS, Android, iOS) en met verschillende browsers (Chrome, Firefox, Safari, Edge). 5. **Plan de migratie:** Bepaal hoe bestaande gebruikers (als die er zijn) van wachtwoorden naar wachtwoordloos kunnen overstappen. Deze aanpak biedt een optimale balans tussen onovertroffen beveiliging en een soepel gebruiksgemak.