Apart toch. Ik moet mijn PC, laptop en mobiel ook elke keer ontgrendelen. En bij bijna iedere betaling een pincode ingeven. En bij kritische functies heb ik ook nog 2FA aanstaan.
Nou, mijn laptop, mobiel en smartwatch ontgrendelen zich door gezichtsherkenning en chain of trust. En jij voert ook niet telkens het wachtwoord in je mailprogramma in om je mails te kunnen lezen, maar werkt met stored credentials.
Het probleem hier is dat de chain of trust (hier de smartphone die als authenticatie wordt aangeboden) van afstand wordt verlengd, waardoor je veiligheid onder gedrang komt. Vergelijk het met een laptop die gezichtsherkenning doet met een webcam, en je gezicht op een foto herkent die de inbreker voor de webcam houdt, om toegang te krijgen tot je bestanden (en je mailbox!) op je laptop.
Het is altijd een balans tussen veiligheid en comfort. Ja, je kan 3 sloten op je deuren monteren, maar als je met 2 zakken van de Albert Heijn aan de deur staat heb je spijt van die 3 sloten. PIN-to-drive maakt het onwaarschijnlijker dat iemand met je Tesla zal wegrijden, maar hoe vaak komt dit per jaar voor dat een Tesla van een oprit verdwijnt?
Het probleem is ook dat
passwordless vaak veiliger is, omdat je gebruikers niet meer simpele, makkelijk te raden paswoorden gaan gebruiken. Je kan dus als
master key een paswoord van 24 karakters hebben, dat super irritant is om dagelijks 14 keren in te typen, maar wel onkraakbaar is voor computers. Dus 1 keer om de paar weken voer je dat super lange paswoord in, en van daaruit ontstaat een chain of trust tussen het toestel waarop je je met dat lange paswoord heb geauthenticeerd, en alle toestellen die hun authenticatie daarvan lenen. Net zoals ik op mijn Apple Watch geen lang paswoord moet invoeren, maar gewoon mijn iPhone kan unlocken door er naar te kijken, en ik mijn iPhone kan unlocken door er naar te kijken omdat ik in het recente verleden eens dat lange paswoord weer heb ingevoerd.
Nog gekker wordt het als mensen die lange paswoorden helemaal gaan vergeten (het meest veilige paswoord is het paswoord dat iedereen vergeten is!) en je MFA gaat doen met 2 factoren authenticatie waar geen paswoord mee gemoeid is, zoals biometrische data en vraag-antwoord over geauthenticeerde toestellen (zoals sommige MFA vragen om hetzelfde symbool aan te duiden op je eigen device als op de website waarop je wil inloggen).
Lang verhaal kort: PIN-to-drive maakt het wat veiliger, maar is niet gebruiksvriendelijker. Een betere beveiliging qua afstand (door bv meten van antwoord-tijden) en/of extra authenticatie met bv je telefoon (biometrisch, vraag/antwoord) zou misschien wenselijk zijn. Stel je voor dat je smartphone aan gezichtsherkenning doet op het moment dat je in de auto zit en de telefoon op de draadloze lader zit, en je de auto in D wil zetten...
arstechnica.com
electrek.co
En als je dan toch de auto eens een keer op een locatie laat staan die je minder vertrouwt, voor de zekerheid ook Bluetooth van je telefoon uit zetten.
NFC relay attack zeker ook mogelijk maar dan moeten ze echt recht naast je staan. En als je de keycard in zo'n RFID beschermde portemonnee bewaard kunnen ze eigenlijk niks. Alleen dan natuurlijk lastig om de keycard steeds eruit te moeten halen. Maarja, ik gebruik zelf toch liever mijn telefoon voor het gemak dus dan maar pin to drive gebruiken. 
