Sinds jaar en dag gebruiken we wachtwoorden om mensen toegang te geven tot hun werkomgeving of webportaal. Wachtwoorden zijn echter helemaal niet gebruiksvriendelijk en ook niet veilig. Op termijn gaan ze daarom verdwijnen.
Over deze blogger
Oorspronkelijk afkomstig uit Nieuw Zeeland, begon Ian Intragen in 2006 nadat hij bij verschillende bedrijven in de VS en Londen werkzaam was. Als Principal Consultant van Intragen heeft Ian gewerkt aan veel van de grootste projecten in Nederland en door heel West-Europa. Met een brede ervaring met kleine en grootschalige implementaties, zowel in de private als publieke sector, brengt hij een pragmatische aanpak voor problemen die rondom identity & access management-projecten optreden. Voordat hij bij Intragen begon werkte Ian voor wereldwijde leveranciers en adviesbureaus op het gebied van infrastructuur en security.
Over fraude in de financiële sector is wel eens gezegd dat het altijd gebeurt, als je maar gaat zoeken. Om de zoveel tijd kijken we even wat scherper, komt er weer een dubieuze praktijk aan het licht en kunnen we er weer over lezen in de krant. Voor security in het IT-domein is dit ook het geval. Je weet dat de beveiliging van webportalen en netwerken vaak zwak is en er massaal inbraken plaatsvinden. We onderzoeken het niet, want we hebben liever een vals gevoel van veiligheid. Maar dat betekent niet dat de aanvallen er niet zijn.
Zwak
De schijn van veiligheid wordt voor een deel in stand gehouden doordat mensen denken dat ze veilig zijn wanneer ze een werkomgeving beveiligd hebben met een wachtwoord. Wachtwoorden hebben echter het grote nadeel dat mensen er onzorgvuldig mee omspringen. Mensen gebruiken steeds weer dezelfde. Ze schrijven ze op post-its en plakken ze op hun computerscherm. En als ze de kans krijgen, kiezen ze voor single sign-on. Erg prettig voor de gebruiker maar vanuit security oogpunt wel een extra risico, want door permanent ingelogd te zijn hoeft de aanvaller alleen het apparaat te kraken om toegang te krijgen tot het webportaal.
Laatst kwam ik bij een bedrijf waar ze weer mooi lieten zien hoe onveilig wachtwoorden eigenlijk zijn. Een medewerker, eentje van de financiële administratie, had al zijn wachtwoorden in een documentje opgeslagen en dit in Dropbox gezet. Aangezien er ook andere collega’s bij de wachtwoorden moesten, had hij de map gedeeld met collega’s. Lekker makkelijk, kan iedereen erbij. Maar een wachtwoord is in zo’n geval natuurlijk niks waard.
I&AM nieuwe stijl
Beveiligen met wachtwoorden is niet gebruiksvriendelijk, vaak zwak en ik denk zelfs dat het op den duur gaat verdwijnen. Bij het toegangsbeheer zou veel meer gekeken moeten worden naar de gebruikerscontext en een combinatie van identiteitsbepalende gegevens. Hoe meer metagegevens je daarvoor inzet, des te zorgvuldiger je daarin bent. Denk daarbij aan persoonsgegevens als geboortejaar, naam etc., maar ook aan de apparaten waarmee je werkt, het tijdstip wanneer je normaal inlogt en de locatie waar je contact maakt. Al die zaken helpen mee om een betrouwbare identificatie mogelijk te maken.
Access management gaat over de vraag wie je welke sleutels wil geven. HR hoeft bijvoorbeeld niet dezelfde toegang te hebben als de financiële administratie. Als je het identificeren goed doet, is access management eenvoudigweg een zaak van verifiëren. Het netwerk herkent de apparaten die contact willen maken en kan daarbij automatisch ophalen welke gebruiker dit is, wat zijn of haar functie is, welke databanken deze persoon gebruikt en waar hij niet hoort te zijn. Door de gebruiker in zijn handelingen te volgen en te kijken of een en ander matcht met zijn of haar identiteit, kan je inschatten hoe verdacht iemand zich gedraagt. Als je bijvoorbeeld ziet dat iemand plotseling om 3:00 ’s nachts of vanuit Nigeria inlogt, zouden er de alarmbellen moeten afgaan en zou aanvullende toegangscontrole moeten plaatsvinden (bijvoorbeeld even bellen of een controlevraag).
Hoewel dit plaatje een mooi toekomstbeeld is, is de praktijk nog ver weg. Om tot het juiste identiteitsbeeld te komen moeten afdelingen gegevens gaan combineren. Dat gebeurt meestal nog niet. Systeembeheerders die zich bezighouden met netwerkconnectiviteit houden zich niet bezig met access management en de business heeft onvoldoende scherp welke gegevens welk beveiligingsniveau nodig hebben. Wachtwoorden blijven daarom vandaag de dag nog meer de regel dan de uitzondering.
Wat is jouw voorstel, Edo? Het is heel makkelijk om te roepen dat het leven je zo moeilijk gemaakt wordt, maar denk ook eens na over ‘de andere kant’. Hoe beveilig je een systeem op een manier die zowel veilig als gebruiksvriendelijk is? Dat valt nog niet mee.
Er zitten trouwens een aantal denkfouten in jouw post. Ten eerste is het niet de klant ZIJN systeem. Hij MAG het onder voorwaarden gebruiken. Nogal een verschil. Bovendien, als jij in Nigeria moet zijn, voor welke reden dan ook, dan is dat binnen het systeem bekend. Maar als er met jouw gegevens ingelogd vanuit Alaska, terwijl je in Nigeria zit, is dat verdacht. Moet jouw gebruiksgemak dan boven de veiligheid van bedrijfsgegevens gaan?
In afwachting van een andere oplossing voor beveiliging heb ik een ander gedachte. Hoeveel tijd kost het om als leidinggevende even langs je medewerkers te lopen en te checken dat pass words niet te kijk hangen. Daarbij is het ook belangrijk om alle medewerkers er van te doordringen van de gevaren. Ik krijg de indruk dat er weinig aan gedaan wordt op de werk vloer.
Ik ben het met Ian Yoxall eens dat het systeem van authenticatie achterhaald is. De unieke mens kan met biometrische kenmerken worden geïdentificeerd. Zwakke plek hierbij is diefstal tijdens verzenden van die biometrische gegevens. Biometrie in combinatie met A, B en C sleutels van zowel zender als ontvanger( net zoals dat bij Pin transacties gebeurd) kan het diefstalrisico voldoende verkleinen. Ook het gebruik van TAN codes kan hierbij helpen, mits de biometrie niet in mobieltjes staan opgeslagen (diefstal van mobieltjes). Een duurdere oplossing is het vaststellen van levende biometrische kenmerken zoals geavanceerde gezichtsherkenning van levende mensen via een camera, zodat gebruik van foto’s wordt uitgesloten.
Echter voor heel veel toepassingen is een simpele authenticatie voldoende. Een automatisch profiel van een device in combinatie met Email adres voldoet ook. Web sites waar niets besteld kan worden en waar geen geld wordt uitgewisseld hebben een laag risico profiel. De schade van identiteitsfraude bestaat hoogstens uit een post die je niet zelf hebt gedaan. Met eerder genoemde device profiel en Email maken grappenmakers het zich wel erg moeilijk ok een post namens iemand anders te versturen. Het risico op fraude is klein genoeg voor deze authenticatievorm.