Gisteren, donderdag 3 mei 2018, was het World Password Day, bedoeld om meer bewustwording rond veilige wachtwoorden te realiseren. Het World Wide Web Consortium (W3C) en de Fast identity online (Fido)-alliantie verwachten echter binnenkort een einde aan het gebruik van wachtwoorden. Zij promoten andere beveiligingstechnieken die beter inspelen op de huidige gebruikstoepassingen als gevolg van de digitalisering en de steeds geavanceerdere cybercrime.
Wachtwoorden worden langzaam maar zeker vervangen door authenticatie en technologieën die efficiënter beveiligen. Hackers hebben door de jaren heen hun tactieken verbeterd om in systemen te komen. Zelfs met sterke wachtwoorden ben je niet meer veilig. Bedrijven moeten dus al meerdere beveiligingslagen aanbrengen, gebaseerd op dubbele authenticatie waarbij gebruikers bijvoorbeeld via een token of app zichzelf kunnen identificeren.
Verbetering
Deze authenticatie aan de rand van het netwerk verbetert de beveiliging, maar voorkomt niet noodzakelijkerwijs dat criminelen een netwerk binnenkomen. Ze kunnen gebruikers misleiden via phishing-technieken en zo hun inloggegevens bemachtigen. Met een gestolen identiteit een netwerk binnenkomen is nog altijd een veelgebruikte, succesvolle methode. Daarom is netwerkbeveiliging voorbij de access point van belang.
Bovendien vereisen de huidige dreigingen een strenge beveiliging van privileged accounts, ofwel inloggegevens met meerdere rechten, zodat criminelen niet zomaar bij gevoelige informatie kunnen of systemen kunnen aansturen. Hierom is het van belang dat medewerkers ook alleen toegang krijgen tot de systemen en bestanden die voor hun werk van belang zijn. De meeste onderzoeken wijzen echter uit dat dit in veel bedrijven helemaal niet geregeld is: er is te weinig monitoring waardoor aanvallen worden gemist.
Het wordt nog lastiger als u zich realiseert dat privileged accounts zich niet beperken tot menselijke gebruikers. Inloggegevens, accounts en secrets zijn overal in de organisatie, ook in de vorm van machines. Ze kunnen in de cloud staan, in applicaties of de supply chain. In aanvulling op multifactor authenticatie moeten deze accounts daarom worden beschermd door de lokale beheerrechten te verwijderen van access points, het elimineren van hard-coded credentials, het beheer van wachtwoorden in digitale kluizen en het monitoren en vastleggen van activiteiten van de meest gevoelige accounts.
Machine learning als beveiliging
Organisaties kunnen ook steeds meer op machine learning vertrouwen. De processing mogelijkheden en voorspellende data-analyse vormen een sterke beveiligingslaag, terwijl ze lastig en tijdsintensief werk wegnemen bij it-teams. Machine learning is van nature erg schaalbaar en speelt realtime in op de ontwikkeling van risico’s, biedt inzicht in bestaande en mogelijke kwetsbaarheden. De algoritmen bepalen in seconden of een verbinding of activiteiten te vertrouwen is en of er monitoring of directe interventie nodig is.
De recente technologische ontwikkelingen drukken wachtwoorden langzaam maar zeker weg. Ze worden vervangen door geautomatiseerde, veiligere methoden. Cybersecurity moet cybercrime voorblijven, ook als dat betekent dat we afscheid moeten nemen van een gewoonte die al decennia oud is, maar nu niet meer voldoet.
Zou de authentificatie van IEDERE (inter)net(werk) gebruiker het probleem niet vereenvoudigen? In de reële wereld heeft iedereen een identiteit. In de -afgeleide- virtuele wereld zou dat ook (weer) kunnen gelden…
Het werkelijke probleem is niet de techniek om hoe we die techniek ge/misbruiken.
Waar heb ik vaker gehoord dat het einde in zicht is, was dat niet bij IPv4?