Wachtwoorden zijn nog altijd de zwakste schakel in internetbeveiliging. Want het valt niet mee je aan alle richtlijnen te houden, een wachtwoordkluis te beheren en het onderscheid tussen privé en zakelijk gebruik te bewaken. Zeker niet bij de gedachte dat de gemiddelde gebruiker zo´n veertig online accounts heeft. Kortom, het wordt tijd voor het einde van het wachtwoordtijdperk. Maar wat dan?
In een digitale samenleving waarin hackers steeds slimmer worden, en we tegelijkertijd afhankelijker worden van het internet, moet het wachtwoordalternatief net zo veilig, zo niet nog veiliger zijn. Inmiddels doen steeds meer organisaties een beroep op multi-factor authenticatie (mfa). Naast het gebruik van het wachtwoord, vraagt het systeem dan om extra informatie, bijvoorbeeld een pincode. Maar dat kan ook een fysieke toevoeging zijn in de vorm van een cardreader. Of nog persoonlijker, de inzet van een vingerafdruk, irisscanner of andere biometrische toepassing. Deze zogeheten ‘something you know-have-or-are’-varianten zijn prima aanvullingen op een veilige toegang tot apparatuur, applicaties of bijvoorbeeld een cloudomgeving waar je gegevens uithaalt.
Het eenmalige wachtwoord dat wordt afgegeven op basis van codes die via cryptografie worden gegenereerd, is eveneens een alternatief dat het voor gebruikers een stuk makkelijker maakt. Hiermee zijn we echter nog steeds niet van het wachtwoord af. Helaas is er niet zoiets als het enige echte goede alternatief voor een wachtwoordvrije omgeving. Gartner voorziet dat het merendeel van de bedrijven en instanties in 2022 de helft van hun it-huishouding wachtwoordvrij heeft gemaakt. Tegelijkertijd zijn de meeste organisaties nog flink zoekende hoe dat te realiseren. Juist omdat er geen ‘one-size-fits-all’- oplossing bestaat die geschikt is voor elke type organisatie. Vier voorname afwegingen zijn nodig om tot het wachtwoordvrije alternatief te komen dat het beste bij het bedrijf of de overheidsinstantie past.
Wachtwoordvrij alternatief
Ten eerste is het zaak te beoordelen welke risico’s zowel individuen als de organisatie zelf lopen. Ben je in staat veel vertrouwen toe te eigenen aan gebruikers of zijn de risico’s daar te groot voor? Bovendien moeten beheerkosten (total cost of ownership) in goede verhouding staan tot de investeringen die nodig zijn voor optimale gebruikersbeveiliging. Verder is het van belang dat de gekozen technische oplossing binnen het bestaande it-landschap past. Misschien wel het allerbelangrijkste is de ervaring van de gebruiker. De praktijk leert dat eenvoudige toegang voor gebruikers eigenlijk altijd de belangrijkste drijfveer is voor de keuze ter bescherming van de digitale werkomgeving. De gebruiker wil af van die vele wachtwoorden. Alleen wel zo dat er niet voor elke andere omgeving een andere manier van aanmelden is. Dat is geen werkbare situatie.
Ook het National Institute of Standards and Technology (NIST) pleit voor investeringen in een wachtwoordvrije omgeving. Zo lijkt sensor-gebaseerde databeveiliging een oplossing. Ongeacht type apparatuur, applicatie of cloudomgeving, is daarbij sprake van structurele authenticatie. De identiteit van de persoon wordt op een transparante manier gevalideerd zonder extra inspanning van de gebruiker. Systemen worden automatisch geprogrammeerd op basis van benodigde authenticatiechecks. Als de gebruiker bijvoorbeeld grote hoeveelheden gegevens van de server haalt, zegt het systeem dat het tijd is voor een identiteitscontrole. Zo bedenkt niet de persoon, maar de computer wanneer het nodig is om verantwoorde toegang tot apparatuur, data en applicaties te checken. Wat het alternatief ook gaat worden, het wordt hoog tijd daar nu mee aan de slag te gaan.
Bastiaan Bakker, directeur business development bij Motiv
Lees je het artikel dan blijkt dat wachtwoorden nog wel even blijven.
extra factoren erbij, inloggen wordt nog lastiger.
organisaties die voor iets pleiten, anderen die weer wat voorspellen en gebruikers willen makkelijk. Al eerder gehoord.
later, later. later wordt alles beter : “Zo bedenkt niet de persoon, maar de computer wanneer het nodig is om verantwoorde toegang tot apparatuur, data en applicaties te checken”.
De computer als oom agent : en wat zijn wij hier aan het doen ?
Er wordt volgens mij heel snel over een simpel feit gestapt: Als we met z’n allen van het ouderwetse wachtwoord afwillen, moeten we het met z’n allen ook eens worden over een alternatief die dan ook met z’n allen gaat worden ondersteund.
Zo niet, dan gaan we met z’n allen naar een situatie waar we nu al in zitten met de VPNs: elk bedrijf heeft zo ongeveer hun eigen VPN leverancier die natuurlijk net weer niet compatible is met de VPN oplossing van een andere leverancier en dus eindigen we als consument/gebruiker met net zoveel VPN clients als er leveranciers zijn elk met een eigen autenticatie-mechanisme. Voor de gebruikers wordt het er in elk geval niet makkelijker op. Waar deze in de huidige situatie nog kan proberen het wachtwoord (ongeveer) gelijk te houden voor alle web-pagina’s, kan dat in de VPN situatie (of in de in het artikel gesuggereerde oplossing) leiden tot een autenticatie-moeheid.
Iets wat de e-business in elk geval geen goed kan doen.