Wachtwoorden vormen al tientallen jaren de hoeksteen van de digitale beveiliging. Vrijwel alle systemen, apps en apparaten die we gebruiken, vereisen een wachtwoord voor de aanmelding. Maar wachtwoorden zijn een probleem, en het is tijd om er afscheid van te nemen.
Voor deze wereldwijde Dag van het Wachtwoord spraken we met Alex Cox, een expert voor beveiliging en cyberbedreigingen, en David Turner, de Senior Director of Standards Development van FIDO Alliance, de branchevereniging voor veilige authenticatie. We gingen in op de redenen voor onze transformatie naar een toekomst zonder wachtwoorden, en bespraken manieren waarop organisaties kunnen beginnen om hun problemen met wachtwoorden aan te pakken.
Het probleem met wachtwoorden
Het internet is niet kant-en-klaar gemaakt met wachtwoorden. Het idee van beveiliging kwam pas achteraf. Toen het internet begon te groeien, hadden mensen een manier nodig om informatie te beveiligen tegen onbevoegde toegang. Het internet van nu heeft dezelfde problemen, maar op veel grotere schaal: mensen hebben veilige toegang nodig. En die schaal? Voor de gemiddelde gebruiker gaat het om wel 100 aanmeldingen. Goede wachtwoordgewoontes vragen om een uniek en sterk wachtwoord voor ieder account, maar de realiteit ziet er anders uit. Als mensen zoveel wachtwoorden moeten onthouden, maken ze het makkelijker voor zichzelf. Ze gebruiken dezelfde wachtwoorden voor meerdere accounts of maken alleen een kleine variatie. Dat betekent dat als er één account wordt gehackt, dit ook direct een risico is voor alle andere accounts die met ditzelfde wachtwoord “beveiligd” waren. “Cybercriminelen weten heel goed dat mensen wachtwoorden hergebruiken.” - Alex Cox, Director of Information Security bij LastPass Aanvallen met social engineering komen ook veel voor – en vaak hebben hackers hiermee succes. Criminelen weten dat mensen bij het aanmaken van een wachtwoord vaak teruggrijpen op iets uit hun dagelijks leven. En sociale media en andere online activiteiten geven allerlei informatie over dat leven. Als u foto's van uw huisdieren online heeft en hun namen verwerkt in uw wachtwoorden, maakt u het makkelijk voor criminelen om de toegang tot uw accounts te kraken. Iedere dag komen er nieuwe digitale bedreigingen bij, en soms hebben ook professionals in de cyberbeveiliging moeite om een moderne phishing-aanval te herkennen. Geen wonder dat dit één van de meest gebruikte tactieken van social engineering is! “Hackers hacken geen systemen – ze melden zich gewoon aan.” – David Turner, Senior Director of Standards Development bij de FIDO Alliance De oplossing voor het probleem van wachtwoorden? Wachtwoorden afschaffen.Waarom is het een goed idee om zonder wachtwoorden te gaan werken?
Zonder wachtwoorden is uw beveiliging beter. Er zijn echter nog veel meer voordelen, zowel voor individuele gebruikers als voor bedrijven. Organisaties kunnen sterkere beveiligingsstandaarden toepassen en hun materialen, gegevens, gebruikers en klanten beter beschermen tegen hackers. Maar ze profiteren ook van meer gemak bij het dagelijkse werk:- Het beheer van de wachtwoordbeveiliging kost minder tijd, en dat verlicht het werk van IT-afdelingen: resets van wachtwoorden en accountherstel vragen veel tijd en aandacht
- Minder tijd en middelen nodig voor voorlichtingen en trainingen over digitale veiligheid
- Naadloze beveiliging voor IT-beheerders en gebruikers: maximale veiligheid met minimaal werk
- Hogere productiviteit, doordat mensen minder tijd kwijt zijn aan wachtwoordbeheer en (mislukte) aanmeldingen
- Betere ervaring voor medewerkers In een enquête van Gartner gaven 64% van de ondervraagden aan dat ze met een wachtwoordloze aanpak al hun accounts makkelijker zouden kunnen beheren, en voor 40% zou het “meer ontspannen” zijn.
De overgang naar een toekomst zonder wachtwoorden
De experts zijn het erover eens: wachtwoorden zullen niet ineens verdwijnen. Het zal jaren duren voordat we met de FIDO2-standaard werkelijk wachtwoordloos toegang krijgen tot iedere site en ieder account, vanaf ieder apparaat en iedere browser. Het is een complex proces, dat ondersteuning en ontwikkeling vereist van miljoenen technologieleveranciers. Maar de start is al gemaakt. Er zijn verschillende manieren waarop organisaties nu al afscheid nemen van wachtwoorden voor iedere aanmelding, en van verificatie met alleen een wachtwoord.- Wachtwoordbeheerders: Met een wachtwoordbeheerder hoeven medewerkers nog maar één wachtwoord te onthouden: dat van hun kluis. Voor ieder wachtwoord dat wordt aangemaakt, voldoet aan minimale beveiligingsvereisten. Vervolgens slaat de software het op in de kluis, zodat gebruikers zich soepel kunnen aanmelden.
- Single sign-on (SSO): SSO helpt ook om het aantal wachtwoorden terug te dringen. Met SSO krijgen goedgekeurde medewerkers met één set aanmeldingsgegevens toegang tot alle toepassingen die ze nodig hebben voor hun werk. De toegang wordt verleend op basis van hun identiteit en toegangsrechten.
- Multifactor authentication (MFA): MFA, ook wel meervoudige verificatie, is een extra beveiligingslaag voor de wachtwoordbeveiliging: voordat mensen die zich aanmelden met een wachtwoord ook echt toegang krijgen, moet ze hun identiteit nog bevestigen met een losse verificatie. Deze technologie kan ook worden gebruikt voor wachtwoordloze aanmeldingen. De “factoren” van MFA zijn bijvoorbeeld pushberichten op een telefoon of via een verificatie-app voor iOS of Android, biometrische gegevens zoals gezichtsscans, vingerafdrukken en stemherkenning, sms-codes of eenmalige wachtwoorden.
- Fysieke sleutels: Een beveiligingssleutel, zoals YubiKey, is ook een vorm van MFA. Hierbij hebben gebruikers bepaalde hardware, zoals een USB-sleutel, die ze gebruiken in combinatie met hun telefoon of laptop. Omdat er maar één fysieke sleutel is per gebruiker, vormt dit een sterke toegangsbeveiliging.
- Passkeys: Deze toegangssleutels werken op basis van de FIDO-standaarden. Passkeys vormen een vervanging van wachtwoorden, voor snellere, eenvoudigere en veiligere aanmeldingen bij websites en apps vanaf alle apparaten. In tegenstelling tot wachtwoorden zijn passkeys altijd sterk, en ze zijn beter bestand tegen phishing.
