“Passwordless”-authenticatie: veiliger, eenvoudiger en sneller

Het einde van het traditionele wachtwoord in zicht?

De wereld is veranderd. Digitalisering binnen bedrijven is niet langer beperkt tot het CRM- of ERP-systeem. Bedrijven zitten momenteel in een digitale stroomversnelling en maken gebruik van allerlei toepassingen, steeds vaker in de cloud. Die “cloud” neemt echter de security-risico’s niet weg. Bedrijven blijven verantwoordelijk voor een belangrijk aandeel. De toegang tot de cloud-applicaties bijvoorbeeld. Meer dan 80 procent van alle cloud-inbreuken worden veroorzaakt door zwakke of gestolen wachtwoorden of door misbruik van inlog-gegevens. Het is daarom van cruciaal belang voor bedrijven om een goede log-in strategie te hebben. Zijn wachtwoorden daarbij nog wel van deze tijd?

Historie van het wachtwoord

Wachtwoorden bestaan al eeuwenlang. De Romeinen gebruikten wachtwoorden om toegang tot hun kampen te beveiligen. In de oorlog gebruikten ze niet enkel een wachtwoord, maar ook een “counter-password”. Bijvoorbeeld, tijdens de eerste dagen van de bevrijding in Normandië gebruikten de militairen een soort van challenge/response-systeem waarbij een wachtwoord “flash” beantwoord moest worden met een “thunder”. Indien het correcte antwoord niet gegeven kon worden, wist men dat ze met de vijand te maken hadden. Om de drie dagen werden deze combinaties gewijzigd om te voorkomen dat ze in de verkeerde handen zouden terecht komen.

Computer-wachtwoorden bestaan intussen ook al een tijdje. Fernando Corbató wordt gezien als de uitvinder van het computer-wachtwoord. Hij introduceerde in 1960 het idee om een wachtwoord te plaatsen op het Compatible Time-Sharing System (CTSS) van het Technologisch Instituut van Massachusetts (MIT). In eerste instantie niet alleen om data te beveiligen, maar ook om het tijd-slot van gebruikers te beperken. Computertijd was kostbaar en beperkt destijds.

Zijn wachtwoorden nog wel veilig?

Sinds het ontstaan van wachtwoorden bestaan er ook methodes om wachtwoorden te achterhalen en te kraken. In de beginjaren van het computer-wachtwoord beperkte dit zich tot het raden van eenvoudige wachtwoorden of meekijken op het toetsenbord tijdens het ingeven. Vandaag is dit alleszins anders. We doen vandaag alles online: van sociale media, TV/ films bekijken, muziek beluisteren, reserveren van een hotel of taxi, tot het bedienen van de verwarming, het uitvoeren van bankverrichtingen en het opslaan van persoonlijke of bedrijfsgegevens. Al deze diensten beveiligen we met een reeks van letters, symbolen en/of cijfers, vaak om het onszelf makkelijk te maken met een eenvoudig woord dat we goed kunnen onthouden. Wachtwoorden als Wachtwoord123*” of “Winter2019 worden nog al te vaak gebruikt.

Een top 3 wachtwoord hack-methode vandaag is Password Spraying. Het principe is eenvoudig, een aanval op zeer veel accounts met een voor de hand liggend paswoord. Door het grote aantal accounts aan te vallen, is de kans op succes reëel en vaak worden beveiligingssystemen en een wachtwoordbeleid niet gealarmeerd omdat het aantal log-inpogingen per account zeer laag is. Ook Phishing hoort thuis in dit lijstje, waarbij men via allerlei geloofwaardige berichten je gegevens probeert te bemachtigen.

Bekijk hier het webinar over Identity & Access Management

Wat is Identity and Access Management (IAM) eigenlijk? En wat regelt u binnen een IAM oplossing nu wel voor Identities en wat niet?

Kan het veiliger?

Steeds meer systemen zijn te beveiligen met andere methodes dan het bekende wachtwoord dat bestaat uit letters en cijfers. Multi-factor authenticatie (MFA) zorgt ervoor dat je, naast je normale wachtwoord, je ook nog moet authentiseren met een tweede factor, het beantwoorden van een telefoonoproep, een PIN-code die je ontvangt via SMS of een “push-notificatie” via een app op je smartphone. Dat principe gaat uit van “Something you know” (je wachtwoord) en “Something you have” (je smartphone/GSM-nummer).

Vandaag zou iedereen zijn log-in gegevens op zijn minst moeten beveiligen met een MFA-oplossing, maar ondanks het feit dat dit al veiliger is, werkt dit systeem nog steeds in combinatie met traditionele wachtwoorden of PIN-codes en blijft dat de zwakke schakel in het authenticatieproces.

Een toekomst zonder wachtwoorden?

Passwordless gaat nog een stukje verder en kan het authenticatieproces volledig zonder het traditionele wachtwoord laten gebeuren. Door gebruik te maken van biometrische gegevens zoals gezichtsherkenning of vingerafdruk, kunnen unieke persoonskenmerken gebruikt worden om toegang te krijgen tot een systeem. Bij passwordless-authenticatie is een unieke combinatie van een toestel (Something you have) en je biometrische gegevens (Something you are) noodzakelijk om toegang te krijgen.

Naast gekende toepassingen zoals toegang verkrijgen tot smartphone of tablet, worden ook vaker desktop computer-systemen en cloud- en internetdiensten toegerust met de mogelijkheid om passwordless te authentiseren.

Zonder twijfel is passwordless veiliger dan een wachtwoord, maar daarnaast is het ook eenvoudiger in gebruik, sneller en efficiënter. Kunnen we vandaag alle wachtwoorden uit ons leven bannen? Absoluut niet, maar we staan aan het begin van een nieuw tijdperk waar andere methodes zullen gebruikt worden om jezelf kenbaar te maken. Biometrische authenticatie is niet langer onderwerp van een science fiction-film, maar is klaar om in het dagdagelijks leven binnen te komen, zowel privé, als op de werkvloer.

Ook interessant voor u…

Bekijk hier het webinar over Identity & Access Management

Lees alles over Identity & Access Management

thumb-website-page-newsletter

Meer content ontvangen? Meld u aan voor de nieuwsbrief!