In deze tijd van thuiswerken worden we continu geconfronteerd met wachtwoorden. Zowel bij het opzetten van een conference call als bij het inloggen op bedrijfsapplicaties of het op afstand informatie met elkaar delen via een beveiligde verbinding. In deze blog ga ik in op de geschiedenis, het heden en de toekomst van wachtwoorden. Kunnen we uiteindelijk misschien wel zonder wachtwoorden?
Een wachtwoord wordt gebruikt om veilig toegang te verschaffen aan de juiste persoon tot een computer, applicatie of andere deel van een netwerk. Dit is een geheimschrift dat alleen door de gebruiker en het systeem onthouden wordt en zo ontstaat er een wederzijdse afspraak. Toegang wordt alleen verleend aan degene die het wachtwoord goed invoert.
Nu komt ook gelijk de kwetsbaarheid, een wachtwoord is iets wat iemand weet. Het moet daarom een veilig wachtwoord zijn dat door niemand anders kan worden meegelezen. Het is dan ook van belang om een willekeurige combinatie van letters (kleine letter en hoofdletter), cijfers en leestekens te kiezen. En die moet ook nog kunnen worden onthouden door de gebruikers. Je raadt het al… dat is moeilijk, tijdrovend en gebeurt dus veel te weinig.
Wat zijn de problemen waar bedrijven tegenaan lopen in de omgang met wachtwoorden?
Op dit moment is het managen van wachtwoorden, het bewustmaken van medewerkers en het toegang verlenen op basis van deze gegevens een complexe aangelegenheid. Dit zorgt voor een hoop problemen op de IT-afdelingen door veel onnodige support calls. De overige afdelingen of medewerkers voelen zich vaak niet aangesproken en willen bij het vergeten van een wachtwoord zo snel mogelijk een nieuwe, zonder de gebruikelijke toespraak van de IT-medewerker over de gevaren. Op deze manier besteden IT-afdeling onnodig veel tijd en geld aan het oplossen van deze eenvoudig te voorkomen wachtwoordproblemen.
Daarnaast zijn er ook veel dreigingen van buitenaf. Zo volgt de ene ‘spearphising’ aanval waarbij gebruikersnaam en wachtwoord worden gestolen de andere op. Of wordt er door een ‘brute force attack’ wachtwoorden geraden, die vaak dezelfde zijn voor meerdere applicaties. Een crime voor de security manager, helemaal in deze tijd van thuiswerken.
>> MELD JE GRATIS AAN VOOR HET CYBER SECURITY EVENT OP 29 OKTOBER
Tot slot worden accountgegevens inclusief wachtwoorden te koop aangeboden via het Darkweb. Hier worden miljoenen gegevens aangeboden in mooie pakketjes. Het is niet de vraag of je hier ooit slachtoffer van wordt, maar wanneer. Op https://haveibeenpwned.com/ is het te bekijken of je privé of werk e-mail er al tussenstaat.
Hoe ziet de oplossing eruit voor de omgang met wachtwoorden?
De afgelopen jaren is er meer en meer ingezet op twee-/multifactor-authenticatie. Twee-factor-authenticatie (2FA) en multifactor-authenticatie (MFA) werd geïntroduceerd om deze wachtwoord gerelateerde beveiligingsproblemen te overwinnen. Beide methoden zorgen ervoor dat de identiteit van een persoon wordt geverifieerd met behulp van zowel iets dat ze weten (het wachtwoord), als iets dat ze hebben (een gegevensdrager/token). Zelfs als een wachtwoord is gecompromitteerd, blijven aanvallers een andere factor nodig hebben om toegang te krijgen.
Hoewel altijd is aan te aanraden om MFA te gebruiken bij het authentiseren op kritieke systemen, kunnen wachtwoorden zonder het juiste beheer en toezicht nog steeds een zwakke schakel zijn. Daarom is het belangrijk ook de volgende zaken goed in te regelen:
- Opslaan en roteren van inloggegevens in een digitale wachtwoordkluis.
- Wachtwoordgebruik in relatie tot toegangsrechten van verschillende beheerders uitdenken en vastleggen.
- Voorkomen van de menselijke valkuil bij medewerkers als het gaat om hergebruik van wachtwoorden.
Wat is de meest optimale oplossing?
We moeten af van wachtwoorden zou je dus zeggen. Maar dat betekent niet dat dat wachtwoorden ophouden te bestaan. Het betekent simpelweg dat eindgebruikers en applicatiegebruikers niet rechtstreeks worden blootgesteld aan deze inloggegevens die nodig zijn om toegang te krijgen tot kritieke systemen.
Als een wachtwoord nooit aan de gebruiker wordt blootgesteld, kan het ook nooit worden gestolen
Met wachtwoordloze authenticatie hoeven gebruikers geen wachtwoorden te onthouden of in te voeren om in te loggen. Als een wachtwoord nooit aan de gebruiker wordt blootgesteld, kan het ook nooit worden gestolen. Aangezien endpoints tot de moeilijkste systemen behoren om volledig te beveiligen, is dit een goede strategie. Daarom moet 2FA/MFA gebruikt worden. Bij voorkeur de meest sterke volgens eIDAS wetgeving, namelijk token plus digitaal certificaat. Het is daarbij belangrijk om geen OTP-tokens te gebruiken, omdat recente aanvallen hierop hebben laten zien dat een code makkelijk onderschept kan worden.
Wachtwoordloze methoden worden steeds populairder
Concluderend kunnen we zeggen dat persoonlijke gebruikerswachtwoorden kunnen worden beschermd met behulp van wachtwoordloze methoden. Deze worden steeds populairder, zoals digitale certificaten op dragers als een usb, een pas of ander dragend device. Natuurlijk compliant met diverse wetgeving en internationale ontwikkelingen, zoals eIDAS, GDPR en FIDO.
Met deze aanpak kunnen IT- en beveiligingsteams er zeker van zijn dat:
1. gebruikerstoegang is beveiligd en er geen hergebruikte of gedeelde wachtwoorden in omloop zijn;
2. aanvallers niet kunnen phishen naar de wachtwoorden of toegang van gebruikers;
3. verificatiegegevens van gebruikers nooit in het systeem worden opgeslagen, zoals een wachtwoord dat zou zijn. Dus zelfs iemand met toegang tot het systeem kan de verificatiegegevens niet achterhalen, waardoor wachtwoordloze oplossingen een belangrijk beveiligingsvoordeel hebben.
Binnen handbereik
In de huidige markt zijn deze beveiligingsoplossingen van veilig authentiseren en beheren van digitale certificaten op gegevensdragers er al en worden ze reeds op grote schaal voor de beveiliging van kritische systemen gebruikt. Ook kunnen we deze certificaten en tokens overzichtelijk registeren, valideren, beheren, managen en intrekken. Een wereld zonder wachtwoorden ligt dus binnen handbereik.
Jordan van den Akker, Business Security Consultant bij AET Europe
>> Meer blogs van Jordan van den Akker