Traditionele authenticatie met een gebruikersnaam en wachtwoord is al jaren de basis van digitale identiteit en veiligheid. Toch zijn er al decennialang problemen met wachtwoorden. Dat geldt niet alleen voor individuen, maar vooral ook voor bedrijven.
Nog altijd zijn simpele wachtwoorden een zwakke schakel in de beveiligingsketen. Want met één gestolen wachtwoord van een werknemer verschaft een cybercrimineel zich eenvoudig toegang tot de bedrijfsinfrastructuur en gevoelige gegevens.
Toch vindt ongeveer de helft van de Nederlanders een uniek wachtwoord voor al hun accounts en apparaten te veel gedoe. Dit blijkt uit onderzoek van I&O Research dat in opdracht van het ministerie van Economische Zaken werd uitgevoerd onder iets meer dan duizend Nederlanders.
We maken slechte wachtwoorden aan, die over het algemeen gemakkelijk geraden worden. Denk aan namen, geboortedatums en gebruikelijke combinaties zoals ‘1234’ en ‘welkom123’. De beste wachtwoorden zijn lange en willekeurige combinaties van letters (hoofd- en kleine letters!), cijfers en leestekens. Om die reden leggen we een lijstje aan met alle inloggegevens die we hebben. Vaak gebeurt dat in een simpel Word-bestand. Dat is ten zeerste af te raden. Bijna alle malware scant documenten op interessante data, inloggegevens zijn dan absoluut niet veilig. Daarnaast gebruiken we ook vaak hetzelfde wachtwoord voor meerdere diensten. Gezien ons leven zich steeds vaker digitaal afspeelt, is dit niet verstandig. Het wordt daarom tijd om te kijken naar gebruiksvriendelijke alternatieven en anders over wachtwoorden te gaan denken.
Alternatieven
Er zijn vele nieuwe mogelijkheden om de wachtwoorddruk te doen afnemen. Wachtwoordmanagers zijn bijvoorbeeld een handig alternatief. Dit is een programma dat sterke wachtwoorden verzint en inloggegevens kan versleutelen, om deze vervolgens in een digitale kluis te bewaren. Het voordeel hiervan is dat inloggegevens altijd en overal zijn op te roepen. Een nadeel is dat gebruikers volkomen afhankelijk zijn van de betrouwbaarheid van de service. Het kopen, installeren en beheren van nog een extra softwareprogramma kan een hindernis zijn, en het gebruik ervan tussen verschillende apps en apparaten verloopt meestal nog niet helemaal naadloos.
Voor organisaties bestaat er een betere oplossing, namelijk het inzetten van een single sign-on (sso)-oplossing. Dit heeft alle voordelen van een wachtwoordmanager en maakt het leven een stuk eenvoudiger. Gebruikers hoeven geen meerdere wachtwoorden te onthouden en in te voeren. Daarnaast is het niet meer nodig om vergeten wachtwoorden te resetten. Bovendien maken sso-oplossingen achter de schermen gebruik van moderne protocollen, zoals SAML 2.0 en OpenID Connect. Hierdoor hebben gebruiker ook voor verbindingen met moderne applicaties geen wachtwoorden meer nodig. Sso maakt het toevoegen van sterke multi-factorauthenticatie gemakkelijk en helpt toegang tot alle geïntegreerde applicaties te beschermen.
Vingerafdruk
Een andere mogelijkheid is biometrische authenticatie, waarmee gebruikers zichzelf kunnen identificeren via een vingerafdruk, irisscan of een gezichtsscan. Dat is heel veilig want alleen de gebruiker heeft toegang tot zijn vingerafdruk of oog. Zo bestaan er usb-sticks met een vingerafdruklezer waardoor het niet meer nodig is een wachtwoord in te stellen voor de sleutel. Biometrische beveiliging is al goed te combineren met andere beveiligingsoplossingen om digitale identificatie gebruiksvriendelijk te maken.
Een wat bekender alternatief is – het al genoemde – multi-factorauthenticatie. Deze methode is een stuk veiliger omdat naast een gebruikersnaam en wachtwoord ook nog een extra code ingevoerd moet worden die zich per login-sessie aanpast. Deze code is te verkrijgen via een speciaal apparaatje met afleesscherm of via een app. Op deze manier wordt inloggen een stuk veiliger, want zelfs als een wachtwoord onderschept wordt zal de cybercrimineel nog altijd in bezit moeten komen van de extra gegeneerde code om in te kunnen loggen.
Elimneren
Kortom, de technologische innovaties van de afgelopen tien jaar hebben organisaties een heel scala van nieuwe mogelijkheden gegeven om met identificatie om te gaan. Organisaties kunnen nu al verschillende methodes, zoals biometrie, combineren met traditionele methoden die veilig zijn om te gebruiken en zo inadequate methoden helemaal elimineren. Na jaren van valse voorspellingen is er eindelijk licht aan het einde van de tunnel van de wachtwoordvrije toekomst.
(Auteur Thomas Kramps is regionaal directeur Benelux bij Distology.)
Leuk dat je de voordelen van SSO noemt, maar er is ook een groot nadeel. Heb je eenmaal iemands wachtwoord, dan heb je daarmee toegang tot vele applicaties. En vergeten wachtwoord resetten niet meer nodig? Wat als ik mijn SSO-wachtwoord vergeten ben?
Het gebruik van de vingerafdruk voor authenticatie wordt te makkelijk genoemd. Er zijn vanuit privacy / AVG de nodige bezwaren. De AP heeft al een boete uitgedeeld voor onterecht gebruik van dit middel. Dat had zeker benoemd mogen worden. Daarnaast is een vingerafdruk helemaal niet zo geschikt hiervoor. Je laat het achter op alles wat je aanraakt. Namaken is vervolgens niet per se onmogelijk. En een andere vingerafdruk gebruiken is na 10 vingers niet echt meer mogelijk.
De laatste zin komt een beetje uit de lucht vallen. Leuk statement, maar het wordt in het hele artikel nergens onderbouwd. Al met al geen sterk verhaal.
Waarom weten die regionaal directeuren het altijd zo goed te vertellen, terwijl ze juist zelf verantwoordelijk waren voor het beleid dat al die geslaagde aanvallen zo eenvoudig maakte 😕
Wellicht een open deur – maar toch:
De indentiteit wordt bepaald door (1) – iets wat je weet, (2) – wie je bent en (3) – iets wat je hebt. Een veilige authenticatie vereist minimaal twee van deze factoren.
Als je iets wat je weet (d.w.z. (1) – gebruikersnaam en wachtwoord) weghaalt als middel om iemands identiteit te valideren dan blijven biometrische functies over (d.w.z. (2) – bijvoorbeeld vingerafdruk of gezichtsherkenning). Dit met de aanname dat (3) overeind blijft als tweede factor. Bijvoorbeeld in de vorm van de welbekende 6-cijferige TOTP code. Of een FIDO/U2F-sleutel.
Een vingerafdruk of een gezichtspatroon moet ergens opgeslagen worden. Idealiter op een zodanige manier dat het veilig voor elke applicatie/dienst geraadpleegd kan worden. En dat vanaf elk device. Datzelfde geldt (min-of-meer) ook voor SSO. In alle gevallen is de linking pin tokens en certificaten. Dat geeft nogal wat gedoe rondom een veilige, verantwoorde opslag van allemaal die biometrische gegevens; laat staan de distributie van certificaten om op het juiste moment de juiste tokens te kunnen genereren.
Wegen alle eenmalige en maandelijkse kosten van SSO en passwordless nog wel op tegen dat (beetje?) extra gebruikersgemak? Zeker als dat extra gebruikersgemak ook nog eens beperkt is tot bedrijfsapplicaties en zakelijke endpoints?
Oftewel, zou een (prive en zakelijk!) goed ingeregelde wachtwoordenkluis met overal 2FA uiteindelijk niet veel effectiever en veiliger zijn? Zeker als je de verhouding kosten en gebruikersgemak meeneemt in de afweging?
Vooruit gang is altijd positief en als men bezig is om beveilingen te verbeteren is dat alleen maar goed.
Maar men moet ook altijd net als bij schaken denken wat er tegen over betere beveiligingen staan.
Er van uit gaan dat er ook een zwakte in beveilingen is een pre.
In dit geval kan men vingerafdrukken kopieren… net als in films……
Of een foto van een vingerafdruk laten printen op een 3d printer net als een sleutel
https://beveiligingnieuws.nl/nieuws/productnieuws/keyme-app-maakt-sleutels-na-via-een-foto
En de app maakt net als windows een versleutelde wachtwoord en men weet hoe dat in windows is afgelopen…..
Denk bij het beveiligen out of the box…..
keep up the good work
KilobaiD
Ik was een jaar of vijf op een conferentie over Identity & Access Management. Veel van alternatieve biometrische waren toen ook al beschikbaar. Inmiddels is er nog weinig veranderd. Net even geteld en ik heb nog steeds 234 wachtwoorden in gebruik.