Onlangs kwam in het nieuws dat het wachtwoordbeleid van de stad Antwerpen vragen oproept. Twee-factorauthenticatie zou niet ingeburgerd zijn en ook zouden medewerkers niet of niet vaak hun wachtwoord hoeven veranderen. Het gevolg? De hele digitale dienstverlening van de stad Antwerpen ligt al meer dan een week plat door een cyberaanval. En het ziet er zelfs naar uit dat het grootste deel van de problemen pas in het nieuwe jaar opgelost gaan zijn.
Het is een van de vele pijnlijke voorbeelden die voorbij komen, die laten zien hoe kwetsbaar het wachtwoord is. Hetzelfde geldt voor het datalek bij Belfius waarbij de gegevens van 300.000 klanten op een forum te koop staan. Hoewel de bank zegt niet te weten van dit incident, wist een ethisch hacker de dader op te sporen.
Het is dan ook niet gek dat het wachtwoord bij enorm veel security-incidenten en datalekken de boosdoener is. Of het nu gaat om zwakke wachtwoorden die niet (vaak genoeg) veranderd worden of inloggegevens die buit worden gemaakt bij een ransomware aanval. Je zou verwachten, of in ieder geval hopen, dat er meer bewustzijn is rondom de kwetsbaarheid van wachtwoorden en dit soort praktijken daarmee tot het verleden behoren. Het tegendeel is waar.
Wachtwoord is ouderwets
Veel organisaties hebben weliswaar een wachtwoordbeleid en ook de tools om medewerkers te verplichten hun wachtwoorden tijdig te veranderen. Maar wanneer diezelfde medewerker vervolgens slechts telkens één teken aan zijn wachtwoord verandert, dan is het wachten op problemen.
Wanneer diezelfde medewerker vervolgens slechts telkens één teken aan zijn wachtwoord verandert, dan is het wachten op problemen.
Steven Maas, Sales Director Encryption Benelux IAM Benelux & Nordics bij Thales
Sommige organisaties zijn al een stap verder, zij hebben multi-factorauthenticatie ingericht. Dit houdt in dat je naast inloggegevens ook een extra element moet inzetten om je identiteit te kunnen bewijzen. Je kunt hierbij denken aan een sms, app of een token.
Wachtwoordloze authenticatie
Toch blijft het gebruik van wachtwoorden achterhaald. Dat komt pijnlijk naar voren in het voorbeeld van Antwerpen. Middels inloggegevens van een IT-profiel hebben cybercriminelen allerlei gegevens gestolen en zelfs de hele digitale dienstverlening van de stad platgelegd. Met alle gevolgen van dien. Wie echt voorop wil lopen, hanteert daarom wachtwoordloze authenticatie.
Dit houdt in dat de identiteit van gebruikers gevalideerd wordt met methoden die een stuk betrouwbaarder zijn dan wachtwoorden. Denk aan one time password (OTP), hardware tokens en/of biometrische gegevens. Dit zijn allemaal methoden waarbij je inlogt met iets wat je hebt, in plaats van iets wat je weet.
Dat maakt de authenticatie een stuk betrouwbaarder omdat het voor cybercriminelen moeilijker is om deze zaken in hun bezit te krijgen. Via multi-factor authenticatie (MFA) kan het niveau van beveiliging bovendien nog verder opgeschroefd worden.
Balans tussen security en gebruiksvriendelijkheid
Het is enorm belangrijk om de gebruiker niet uit het oog te verliezen wanneer je kijkt naar je access management. Je kunt een enorm veilige oplossing introduceren, maar als hij niet gebruiksvriendelijk is, schiet het zijn doel voorbij. Dan gaan mensen het namelijk niet gebruiken.
Je kunt een enorm veilige oplossing introduceren, maar als hij niet gebruiksvriendelijk is, schiet het zijn doel voorbij.
Steven Maas, Sales Director Encryption Benelux IAM Benelux & Nordics bij Thales
Kies dus voor een oplossing waar gebruiksvriendelijkheid en security in balans zijn. Zorg er bijvoorbeeld voor dat de inlogervaring voor gebruikers verbeterd, door het te combineren met single sign-on (SSO). Zo hoeven gebruikers zich maar één keer aan te melden, om vervolgens toegang te krijgen tot relevante informatie en applicaties.
Natuurlijk moet dit wel op een wachtwoordloze manier gebeuren, mét tweefactor authenticatie. Een andere optie is het gebruikmaken van een oplossing waarbij voortdurend sprake is van authenticatie. Deze vorm van access management valideert de identiteit van een gebruiker continu, zonder dat hiervoor extra inspanning nodig is.
Weg met wachtwoorden
Door de aanzienlijke voordelen, wint wachtwoordloze authenticatie gelukkig steeds meer terrein. Toch is iedere organisatie die nog wél gebruikmaakt van wachtwoorden er één te veel. Het voorbeeld van Antwerpen maakt dit pijnlijk duidelijk. Gelukkig zijn dit soort situaties te voorkomen. Laten we daarom met zijn allen een eind maken aan het wachtwoordtijdperk, door te stoppen met de inzet van zwakke en slechte wachtwoorden voor authenticatie.
Dit levert niet alleen meer gebruikersgemak op, maar maakt het cyberaanvallers bovendien een stuk lastiger om binnen te dringen. Als ze dan toch binnendringen, zorg er dan voor dat ze enkel versleutelde data in handen kunnen krijgen. Met encryptie zorg je ervoor dat gestolen data waardeloos is voor kwaadwillenden en voorkom je dat gegevens van klanten online te koop worden aangeboden. Zo wens ik u veilige data in 2023.
Dit is een ingezonden bijdrage van Steven Maas, Sales Director Encryption Benelux & Sandra Wauters, Sales Director IAM Benelux & Nordics bij Thales