Werken zonder wachtwoord blijft toekomstmuziek. Obstakels als de digitale complexiteit van systemen en bedenkingen bij beleidsmakers remmen een snelle overgang naar nieuwe identificatiemogelijkheden. Het duurt nog zeker twee jaar voordat ‘wachtwoordvrij werken’ de standaard wordt.
Dat stelt KPMG. ‘Hoewel 78 procent van de Nederlandse werkgevers toewerkt naar een wachtwoordvrije omgeving, denkt 56 procent van de beleidsmakers op het gebied van ict, hr en financiën dat niet eerder dan in 2024 te bereiken’, aldus de onderzoekers. De grootste obstakels zijn de digitale complexiteit van systemen en het draagvlak voor veilige alternatieven zoals vingerafdrukken, irisscans en andere biometrische oplossingen.
De onderzoekers legden in een tijd waarin thuiswerken de norm is het vergrootglas op wachtwoorden en identificatie. ‘Het gebruikersgemak plus het voorkomen van productiviteitsverlies zijn de belangrijkste drijfveren op weg naar een wachtwoordvrije omgeving’, stellen ze vast.
Tot nu toe heeft drie procent van de Nederlandse bedrijven met meer dan 250 medewerkers een wachtwoordvrije werkomgeving, blijkt uit het onderzoek.
Plannen
Een krappe zestig procent van de ondervraagde organisaties geeft aan dat er plannen zijn om tot een wachtwoordvrije omgeving te komen. Waar overheidsinstanties alleen een wachtwoordvrije werkomgeving willen realiseren voor medewerkers, hebben zorgverleners, dienstverleners en handel- en productiebedrijven dat ook op hun wensenlijstje staan voor klanten en leveranciers.
KPMG: ‘Dankzij het toegenomen thuiswerken en daarmee de verdergaande digitalisering in het onderlinge contact met klanten, medewerkers en leveranciers wordt identiteits- en toegangsbeheer steeds belangrijker.’ Ze wijzen erop dat cyberincidenten op de loer liggen nu medewerkers vaker vanuit huis inloggen op bedrijfsnetwerken en digitaal samenwerken met externe partijen.
Obstakels
Met name privacybescherming (40 procent), wantrouwen bij medewerkers (35 procent), gegevensverlies (33 procent) en betrouwbaarheid van technologie (32 procent ) staan de inzet van vingerafdrukken of stem- en gezichtsherkenning als mogelijke alternatieven voor wachtwoorden in de weg.
KPMG: ‘De zorg over privacy bij de inzet van biometrie is begrijpelijk. Als je wachtwoord bekend wordt, kun je dat vrij eenvoudig en snel wijzigen. Tegelijkertijd moeten we helaas constateren dat wachtwoorden een achterhaalde verdedigingsstrategie zijn.’ Volgens de onderzoekers is tachtig procent van de cyberaanvallen gerelateerd aan slechte wachtwoorden en kost het tijd om draagvlak voor nieuwe toegangstechnologie zoals vingerafdrukken of gezichtsherkenning te realiseren en de betrouwbaarheid te waarborgen.
Over het onderzoek
Het KPMG-onderzoek over de status van identiteits- en toegangsbeheer onder meer dan tweehonderd bedrijven met meer dan 250 medewerkers vond dit najaar plaats. Respondenten zijn beleidsmakers op het vlak van it, hr en finance en afkomstig uit de sectoren overheid, zorg, handel, industrie en zakelijke dienstverlening zoals banken en verzekeraars.
Ik zou naar voren willen brengen dat het wachtwoord niet het probleem is bij het efficiënt werken, het is vaak de beroerde omgeving. Hierbij moet je denken aan de lappendeken van systemen waar werknemers tussen moeten laveren om hun werk te doen.
Vaak systemen die van derde partijen zijn gekocht en die niet in staat blijken om aan te sluiten op een systeem (als die al bestaat) die single sign-on (SSO) faciliteert.
Daarnaast zijn er ook omgevingen waar vanwege zeer hoog beveiligingsvoorschriften 2FA niet voldoende blijkt maar zelfs nog een derde of vierde beveiligingsniveau geëist wordt.
Probeer eerst het probleem op te lossen voordat een oplossing wordt geopperd die weer andere problemen met zich mee gaat brengen. Eerst die echte SSO-omgeving, en kijk dan of er nog een probleem is met efficientie. Volgens mij bestaat dat laatste namelijk voornamelijk in de hoofden van de Excelsheet-ridders (even het woord ‘manager’ vermijden).
@CPT Eens met je SSO opmerking. Wat betreft 2FA: heb nu al 3 verschillende authenticator apps op mijn Android moeten laden.
Als ik een malware vervaardiger zou zijn, dan zou ik er een authenticator omheen bouwen.
@KJ: vanwaar 3 authenticator apps? Zijn die alleen voor TOTP?
@Will
Omdat ieder zijn eigen oplossing heeft, ik heb dus ook meerdere authenticators voor diensten die ergens in de cloud draaien omdat mijn werkgever deze uitbesteed heeft.
@Ewout: wat bedoel je met “ieder zijn eigen oplossing”?
Bij een 2FA op basis van TOTP speelt de authenticator geen rol – zo is mijn ervaring tot nu toe.
Maar als je push-berichten wil gebruiken meestal weer wel.
Even voor mezelf sprekend: ik heb alle clouddiensten via TOTP en via twee authenticators lopen. Dat wil zeggen dat ik voor alle clouddiensten via twee authenticators TOTP codes kan genereren.