Vier van de vijf mensen gebruiken eenzelfde password vaker voor meerdere doeleinden. Dat terwijl 81 procent van de digitale inbraken veroorzaakt worden door slechte of gestolen wachtwoorden. Is dat een verwijt aan gebruikers? Nee, zeker niet want gemak dient de mens. Moeilijke wachtwoorden of een grote hoeveelheid wachtwoorden is alleen maar gedoe waar niemand op zit te wachten.
Het wachtwoordgebruik heeft zijn beste tijd gehad. Maar wat wordt het alternatief in een tijd waarin digitale veiligheid steeds verder onder druk komt te staan? Hackers worden slimmer. Tegelijkertijd worden we steeds afhankelijker van digitale gegevens en systemen. Kortom, op zoek naar een alternatief voor het wachtwoord dat zowel optimale veiligheid biedt als prettig werkt voor de gebruiker.
Gartner verwacht dat 60 procent van de grootzakelijke organisaties en zelfs 90 procent van de kleinere bedrijven en instanties in 2020 zeker de helft van hun it-landschap wachtwoordvrij heeft. Gebruikers zijn wachtwoorden meer dan zat. Ze willen bovendien een single-sign-on (sso) omgeving waarmee ze via elk willekeurig device toegang hebben tot de cloud, eigen applicaties, data en systemen. Veel organisaties doen nu al een beroep op de zogeheten multi-factor authenticatie (mfa). Vaak gebaseerd op één van de drie scenario’s; inzet van extra informatie bijvoorbeeld een pin-code, een fysieke toevoeging in de vorm van een card en reader of sms-code of het gebruik van biometrie via een vingerafdruk, irisscanner of geluidsherkenning. Maar allemaal nog steeds naast het gebruik van wachtwoorden.
Vier criteria
Helaas is er niet één alternatief dat geschikt is voor elke type organisatie of gebruikersgroep. One-size-fits-all is niet van toepassing op identity & access management (iam). Bepaal daarom de keuze voor een veilig wachtwoordvrij alternatief op basis van deze criteria:
Vertrouwen versus risico’s: stel vast welke risico’s van toepassing zijn bij het gebruik van gegevens en systemen in relatie tot het vertrouwen dat toegekend wordt aan gebruikers.
Total cost of ownership (tco): de beheerkosten moeten in verhouding staan tot de operationele investering voor optimale toegangsbeveiliging.
Gebruikerservaring: Eenvoudige toegang voor gebruikers is in de meeste gevallen de belangrijkste drijfveer voor het iam-beleid. Stel vast wat de gebruiker nodig heeft en welke ervaring daarbij het beste past.
Technische overwegingen: Uiteraard moet gekeken worden hoe iam-oplossingen te integreren in het bestaande it-landschap en wat daar al dan niet voor nodig is.
Authenticatie
Zo is het een overweging waard te kiezen voor een oplossing waarbij er sprake is van voortdurende authenticatie, ongeacht via welk device de gebruiker toegang zoekt tot welke applicatie of bijvoorbeeld een cloud-omgeving. Deze manier van access management valideert de identiteit van de persoon op een transparante manier zonder dat de gebruiker daar zelf extra inspanning voor hoeft te doen. Als het risico niet te groot is, wordt sso toegepast waardoor inloggen voor de gebruiker volledig transparant wordt.
Geautomatiseerd beleid stelt vast wanneer authenticatiechecks nodig zijn. Bijvoorbeeld als een gebruiker besluit grote hoeveelheden data van de server te halen. Deze sensor-gebaseerde databeveiliging geeft ook voortdurend inzicht in gebruikersgedrag, zonder dat medewerkers daar zelf last van ervaren. Kortom, er zijn genoeg veilige alternatieven voor het wachtwoordgebruik. Hoog tijd om zelf aan de slag te gaan met het alternatief dat het beste bij uw organisatie past.
Dirk Geeraerts, vice president sales EMEA, protection & licensing bij Thales
Ik weet niet wat de vice president sales bij Thales wil verkopen maar laten we even kijken naar de dagelijkse praktijk van authenticatie bij allerlei online diensten. Zo moet ik bijvoorbeeld aanloggen bij Computable om een reactie te plaatsen en hetzelfde geldt voor nog zo’n 30 andere portalen waar dit deurbeleid enkel bedoeld is om een anonieme toegang tot informatie te beperken. Aangaande autorisaties en audits moet Dirk nog maar een keer de handleiding in 3-delen lezen die ik hier geschreven heb. Want 6 jaar geleden zette ik de discussie over eID al op de agenda, ik maakte me zorgen over de kosten ervan.
Het lijkt me duidelijk dat de vice president sales bij Thales is gevraagd iets te schrijven voor Computable maar even snel geen concrete ideeen heeft gehad en dus maar wat algemeenheden in het artikel heeft gestopt. Ik zie geen nieuwe inzichten, de ‘vernieuwende’ technieken 2fa, mfa, fysieke kenmerken, etc. zijn al jaren geleden ook geopperd en een single single signon lijkt me onhaalbaar tenzij alle bedrijven en websites van de hele wereld zich verenigen en een enkele (of in elk geval compatible) oplossing kiezen voor authenticatie.
Verder zijn er wat algemene en zeer vage uitspraken. Hoe ziet deze vice president zo’n voortdurende authenticatie met transparantie waarbij de gebruiker niets hoeft te doen voor zich? Geen oplossingen, geen concrete voorstellen en zoals Een Oud Lid al heeft opgemerkt eigenlijk geen nieuwe inzichten.
Jammer.
Ik bevestig de commentaren van de anderen hierboven. Laat me dat eerst illustreren en daarna (uitvoerig) toelichten:
” Kortom, er zijn genoeg veilige alternatieven voor het wachtwoordgebruik. ”
is een stelling die niet bewezen of getoetst kan worden en dus als onjuist beschouwd moet worden. wat meneer had moeten schrijven is:
” Ik persoonlijk denk dat er misschien genoeg veilige alternatieven voor het wachtwoordgebruik zijn. ”
nu dan een kleine detour, om een context te geven, maar ik kom terug op mijn punt:
manglement dat een basis in de logica beheerst in dit land, is een schaars goed, lijkt het wel in mijn ervaringen. je bent tegenwoordig namelijk vlugger directeur of x-y-z-manager van iets, dan dat je de een eerste jaars college van een wiskunde of andere beta studie weet te doorstaan: https://en.wikipedia.org/wiki/Conformity. ondertussen hebben we agenten tekort, soldaten kogels en materieel tekort, verpleeg personeel tekort, docenten tekort, musea runnen puur op vrijwilligers en stagiaires, krijgen bus chauffeurs geen plas pauzes en halen we goedkope arbeid uit het oosten van europa binnen die we in krappe centre-park huisjes op stapelen in deze corona tijden en doen WIJ een run op toilet papier. ondertussen maar plenty lean-mean-agile-just-in-time-we-moeten-vooruit-en-groeien bla bla bla.
nog een heel duidelijke maar ook zeer pijnlijk voorbeeld zo rond de 2 minuten marker:
https://eenvandaag.avrotros.nl/item/tekort-aan-coronatests-dwingt-laboratoria-tot-uiterste-met-kunst-en-vliegwerk-houden-we-het-nog-in/
het is dus heel mooi dat we allemaal een rondje klappen voor de hulpverleners. beter was als al die beroepen en mensen hierboven benoemd, die geen directe overhead zijn maar daadwerkelijk produceren, op eerlijke reële waarde beloond werden zodat bijvoorbeeld agenten en zusters in de stand waar ze werken een huisje kunnen betalen! mag die directeur echt ook een euro verdienen dan wat mij betreft…
terug naar het begin:
de geciteerde zin aan het begin van mijn verhaal is dus een prachtig voorbeeld van de onzin die we af en toe als zoete koek maar blijven accepteren en past geheel in het straatje van de rant die ik daarna niet kon laten. mijn excuus, maar in mijn ogen is ons land inmiddels kapot gemanaged en dat begint met het orakelen van onzin zoals geciteerd!
nog een voorbeeld van afgelopen week die niet vlug kon vinden:
https://youtu.be/k2J-o_QrAxM?t=353