Sinds jaar en dag gebruiken we wachtwoorden om mensen toegang te geven tot hun werkomgeving of webportaal. Wachtwoorden zijn echter helemaal niet gebruiksvriendelijk en ook niet veilig. Op termijn gaan ze daarom verdwijnen.
Over deze blogger
Oorspronkelijk afkomstig uit Nieuw Zeeland, begon Ian Intragen in 2006 nadat hij bij verschillende bedrijven in de VS en Londen werkzaam was. Als Principal Consultant van Intragen heeft Ian gewerkt aan veel van de grootste projecten in Nederland en door heel West-Europa. Met een brede ervaring met kleine en grootschalige implementaties, zowel in de private als publieke sector, brengt hij een pragmatische aanpak voor problemen die rondom identity & access management-projecten optreden. Voordat hij bij Intragen begon werkte Ian voor wereldwijde leveranciers en adviesbureaus op het gebied van infrastructuur en security.
Over fraude in de financiële sector is wel eens gezegd dat het altijd gebeurt, als je maar gaat zoeken. Om de zoveel tijd kijken we even wat scherper, komt er weer een dubieuze praktijk aan het licht en kunnen we er weer over lezen in de krant. Voor security in het IT-domein is dit ook het geval. Je weet dat de beveiliging van webportalen en netwerken vaak zwak is en er massaal inbraken plaatsvinden. We onderzoeken het niet, want we hebben liever een vals gevoel van veiligheid. Maar dat betekent niet dat de aanvallen er niet zijn.
Zwak
De schijn van veiligheid wordt voor een deel in stand gehouden doordat mensen denken dat ze veilig zijn wanneer ze een werkomgeving beveiligd hebben met een wachtwoord. Wachtwoorden hebben echter het grote nadeel dat mensen er onzorgvuldig mee omspringen. Mensen gebruiken steeds weer dezelfde. Ze schrijven ze op post-its en plakken ze op hun computerscherm. En als ze de kans krijgen, kiezen ze voor single sign-on. Erg prettig voor de gebruiker maar vanuit security oogpunt wel een extra risico, want door permanent ingelogd te zijn hoeft de aanvaller alleen het apparaat te kraken om toegang te krijgen tot het webportaal.
Laatst kwam ik bij een bedrijf waar ze weer mooi lieten zien hoe onveilig wachtwoorden eigenlijk zijn. Een medewerker, eentje van de financiële administratie, had al zijn wachtwoorden in een documentje opgeslagen en dit in Dropbox gezet. Aangezien er ook andere collega’s bij de wachtwoorden moesten, had hij de map gedeeld met collega’s. Lekker makkelijk, kan iedereen erbij. Maar een wachtwoord is in zo’n geval natuurlijk niks waard.
I&AM nieuwe stijl
Beveiligen met wachtwoorden is niet gebruiksvriendelijk, vaak zwak en ik denk zelfs dat het op den duur gaat verdwijnen. Bij het toegangsbeheer zou veel meer gekeken moeten worden naar de gebruikerscontext en een combinatie van identiteitsbepalende gegevens. Hoe meer metagegevens je daarvoor inzet, des te zorgvuldiger je daarin bent. Denk daarbij aan persoonsgegevens als geboortejaar, naam etc., maar ook aan de apparaten waarmee je werkt, het tijdstip wanneer je normaal inlogt en de locatie waar je contact maakt. Al die zaken helpen mee om een betrouwbare identificatie mogelijk te maken.
Access management gaat over de vraag wie je welke sleutels wil geven. HR hoeft bijvoorbeeld niet dezelfde toegang te hebben als de financiële administratie. Als je het identificeren goed doet, is access management eenvoudigweg een zaak van verifiëren. Het netwerk herkent de apparaten die contact willen maken en kan daarbij automatisch ophalen welke gebruiker dit is, wat zijn of haar functie is, welke databanken deze persoon gebruikt en waar hij niet hoort te zijn. Door de gebruiker in zijn handelingen te volgen en te kijken of een en ander matcht met zijn of haar identiteit, kan je inschatten hoe verdacht iemand zich gedraagt. Als je bijvoorbeeld ziet dat iemand plotseling om 3:00 ’s nachts of vanuit Nigeria inlogt, zouden er de alarmbellen moeten afgaan en zou aanvullende toegangscontrole moeten plaatsvinden (bijvoorbeeld even bellen of een controlevraag).
Hoewel dit plaatje een mooi toekomstbeeld is, is de praktijk nog ver weg. Om tot het juiste identiteitsbeeld te komen moeten afdelingen gegevens gaan combineren. Dat gebeurt meestal nog niet. Systeembeheerders die zich bezighouden met netwerkconnectiviteit houden zich niet bezig met access management en de business heeft onvoldoende scherp welke gegevens welk beveiligingsniveau nodig hebben. Wachtwoorden blijven daarom vandaag de dag nog meer de regel dan de uitzondering.
Identity & Access management (I&AM) zou wat mij betreft in combinatie met je digitale DNA profiel (Meta gegevens) een sterke en beveiligde manier moeten zijn om in de nabije toekomst veilig te kunnen werken. Bij het toegangsbeheer zoals hierboven in het artikel genoemd zou dan veel meer gekeken moeten worden naar de gebruikerscontext en een combinatie van identiteitsbepalende gegevens.
Een aanvulling hierop zou nog een wachtwoord wat bestaat uit plaatjes of hotspots of een combinatie van beide een goede beveiligde omgeving moeten geven. Volgens de wetenschappers is het menselijke brein beter in staat om plaatjes dan cijfers en wachtwoorden te onthouden.
Deze methoden en technologieën bestaan al reeds enkele jaren en worden steeds verder uitgewerkt en geïntegreerd voornamelijk op mobile devices en tablets. Nu nog een bedrijf vinden die voorop wil lopen in het digitale landschap misschien zelf een StartUp die in deze markt een slimme App ontwikkeld en inspeelt op deze behoefte. En consultants die weten hoe deze verandering tot stand kan worden gebracht en een gehele cultuur verandering tot stand kan brengen. Het vraagt immers ook een andere kijk op beveiliging en bewustzijn bij de gebruikers.
Waarom niet eenvoudigweg een vingerafdruk als “wachtwoord”? Of een irisscan. Hoeft toch niet zo’n moeilijk apparaatje te zijn.
@ Ir. G. Kruisman: Mijn vingerafdruk/irisscan zit in het hele overheidssysteem; paspoort, database van USA (ga daar niet of vakantie als je van privacy houdt…), etc.
Dan heb ik liever mijn zelf gekozen wachtwoorden i.c.m. multiple-factor authentication, gekoppeld aan apparaten die ik toestemming heb gegeven.
De bron van alle problemen is gewoon de achterlijke gebruiker, die onzorgvuldig met zijn gegevens/wachtwoorden omgaat.
@ R. van Peer, de klant “achterlijk” noemen is een mooi voorbeeld van de IT mentaliteit van de jaren 2000.
Die liggen al lang achter ons.
De klant een “gebruiker” noemen is een andere aanwijzing dat u niet helemaal begrijpt waar het in de IT wereld naar toe gaat.
De klant heeft altijd gelijk. Mensen zijn niet in staat om tientallen sets van credentials te onthouden. En dan ook nog elke 3 maanden een nieuw complex wachtwoord?? Die worden dus opgeschreven of vereenvoudigd. In de jaren 90 hadden we nog maar een paar wachtwoorden nodig en je pincode. Dat zijn er nu wel even meer. Dus niet de klant is achterlijk, het systeem deugt niet.
Wat er ook gebeurt, uiteindelijk zijn het allemaal wachtwoorden die we gebruiken. Het zijn alleen de combinaties van meerdere wachtwoorden en waar de wachtwoorden vandaan komen en naar toe gaan…
Een vingerafdruk, een irisscan of een inidicatie van welk ander lichaamsdeel dan ook wordt uiteindelijk gedigitaliseerd en is zo een reeks eenen en nullen, net zoals het in te tikken wachtwoord. Nadelen: de reeks is altijd veranderlijk binnen grenzen (de scan of afdruk moet scheef ook werken) maar daar buiten niet te veranderen (2 ogen, 10 vingers). Voor de creative hacker valt daar wel mee te werken, vooral omdat er de tijd is: deze wachtwoorden verlopen niet.
Wat wel een voordeel is van dit soort wachtwoorden is dat ze niet makkelijk overdraagbaar zijn. Al moet ik zeggen dat ik op mijn laptop met vingerafdruktoegangscontrole ik van mijzelf maar 8 vingers heb gescand, de overige 2 zijn voor mijn huisgenoten, zodat mijn laptop als video-player gebruikt kan worden zonder dat zij mijn wachtwoord hoeven te weten.
Uiteindelijk is het met elke toegangscontrolle zo dat de gebruikers slimmer zijn dan de regels en er altijd van uit gegaan moet worden dat er anders gebruik gemaakt wordt dan gewenst.
Het probleem zit niet bij de gebruiker die niet in staat is een wachtwoord te onthouden. Het probleem is dat er tegenwoordig minstens 60 wachtwoorden onthouden moeten worden. En dan allemaal verschillend? En als je al een systeem hebt dan is er wel een weer een één of andere restrictie (leestekens verplicht of juist niet toegestaan, 6 of 8 karakters, niet door de persoon zelf te wijzigen etc). Daarnaast: van het fysieke slot op onze voordeur accepteren we dat hij na 5 minuten kraak niet meer veilig is. Hoe zouden we van de digitale techniek beter kunnen verwachten? Ik zie toch meer in een combinatie van verschillende systemen. Dus een slot, een inbraakalarm en de politie die patrouilleert. 100% halen we echter nooit.
Me dunkt dat er nogal wat haken en ogen aan zitten als je beveiliging gaat bepalenm of je wel bent wie je bent als je toevallig eens een keer buiten het normale patroon in logt.
Doet me denken aan Facebook dat me een keer buitensloot omdat ik op vakantie vanuit een andere computer wilde inloggen: dat ging niet want blablabla, ik moest eerst inloggen op de computer waarmee ik dat normaler wijze deed. En zo blokkeerde VISA mijn kaart eens omdat ik wederom op vakantie een ‘ongewone aankoop’ deed (ik kocht een computer). Gelukkig had ik nog een Amex om mijn hotel te betalen.
Ben het van harte eens met Ir. Hesselink: de voortgaande dwang en regels bij beveiliging zorgen ervoor dat mensen hun paswoorden gewoon op gaan schrijven. Op de meeste kantoren staan ze gewoon op een post-it die aan de monitor hangt of onder het toetsenbord zit geplakt.
Een vingerafdruk of irisscan klinkt heel mooi, maar vingerafdrukken zijn eenvoudig na te maken, zoals een ingenieur bij Philps-Atos-Origin jaren geleden al liet zien en zowel vingerafdruk als irisscan als wachtwoord zijn niet te veranderen. Heeft iemand dat gekraakt dan ben je de sjaak
Password is inderdaad old school, Het beste is om een password phrase te gebruiken of de eerste letters ervan, dat is al jaren usance voor SSL secret keys.
“Dit is mijn login voor de Computable 2015” of DIMLVDC2015 ach en in een combinatie met een leesteken en alternerend hoofd en kleine letter ben je aardig secuur en kun je op 95 % van de sites inloggen!
De zoektocht naar een mooie balans tussen veilig en toch praktisch zal nog lange tijd duren, inderdaad als een van de factors biometrisch is (iris, fingerprint wordt het veiliger).
Voorlopig voor die 60 passwoorden maar een een veilige password manager gebruiken! (dus niet lastpass).
Verder hebben we nog OID en kun je op de meeste site inloggen met facebook (of ander social media).
Verder hoop ik dat in de toekomst voor minder websites moeten registreren, voordat je informatie aanvraagt, want dat maakt dat je allemaal wees-profielen op heel veel websites heb
Alternatief is voor minder belangrijke 9en eenmalige) websites gewoon elke keer een password te verzinnen en een password reset aanvragen als je er toch nog een keer moet zijn. Zorg er wel voor dat je password voor je mail goed is!!
Zakelijk ben ik blij dat wij Single Sign ON (SSO) hebben ingevoerd en VPN met RSA.
Ik wens jullie succes met het vinden van de goede balans veilig en bruikbaar, maar de techniek biedt alle mogelijkheden maar we moeten er inderdaad niet in doorschieten, want verplicht password wijzigen leid tot onveiliger passwords.
Wat een achterlijke ongebruikersvriendelijke gedachte.
Klanten/gebruikers opzadelen met nog meer IT regels die verzonnen worden. Wachtwoorden moeilijker en vaker wisselen eisen, leidt tot het opschrijven noteren en delen er van. Niet handig dus.
Een profiel maken, iemands handelingen volgen en hoe zit het met iemands privacy? En wat als hij net in Nigeria moet zijn vanwege een nieuwe fabriek, ontzeg je dan de klant de toegang tot ZIJN systemen?
Een vingerafdruk/irisscan, en wat als deze ‘gehackt’ wordt, neem je dan nieuwe vingers of nieuwe ogen?
Duidelijk van die IT praat die alleen naar de technische mogelijkheden kijken en niet naar de klanten en gebruikers en wat voor hun belangrijk is.
Ik werk graag middels byod, op elk device moet ik dus een authenticatiemiddel (scanner) hebben. Herkent het ‘netwerk’ die als legitiem? Ik wil op vakantie ook wel eens eventjes werken. Is dat dan niet verdacht?
Een combi van geboortedatum en naam als onderdeel van id vaststelling lijkt me niet slim. Je moet een combinatie van gegevens hanteren die een kwaadwillende niet snel op een papier of dossier samen ziet. Denk aan de kleur van je boot in combi met je eerste muziekalbum o.i.d.