Veel kleine ondernemers denken dat er bij hen niets te halen valt. Helaas zijn juist MKB-ers erg kwetsbaar voor aanvallen met “social engineering”, waarbij criminelen gebruik maken van manipulatie om gegevens of geld te kunnen stelen.
Uit recent onderzoek blijkt dat kleine en middelgrote bedrijven 350% meer kans maken om te worden aangevallen met social engineering dan grote organisaties. De meeste MKB-ers hebben geen gespecialiseerd team voor de IT-beveiliging en ze beschikken niet over de digitale middelen van grotere bedrijven. Ze hebben simpelweg niet de mensen, training en technologie om deze geraffineerde cyberaanvallen te detecteren en af te weren. Kunnen passkeys de dreiging van social engineering afweren voor MKB-ers?
Waarom social engineering zo gevaarlijk is
Social engineering maakt misbruik van menselijke kwetsbaarheden met behulp van psychologie en emotionele manipulatie, om ongeoorloofd toegang te krijgen tot iets van waarde. Aanvallers misleiden mensen om gevoelige gegevens prijs te geven of om te handelen op een manier die de veiligheid in gevaar brengt. Er zijn verschillende methoden van social engineering, waaronder phishing (misleiden van een gebruiker om gevoelige informatie vrij te geven), misleiding (een nepverhaal gebruiken om vertrouwen te winnen en de gebruiker zover te krijgen dat hij of zij iets doet), lokken (beloftes doen om een gebruiker over te halen), en meelopen (bijvoorbeeld om een vertrouwelijk gebied te bereiken achter een deur met een codebeveiliging). Het is lastig om een goede verdediging op te zetten tegen deze menselijke factor: mensen willen elkaar van nature vertrouwen en helpen. Aanvallers maken misbruik van dit vertrouwen om toegang te krijgen tot systemen en gegevens, voor financieel of materieel gewin. Het is ontzettend belangrijk om uw medewerkers te trainen om dit soort aanvallen te herkennen, maar dat is niet genoeg. Cybercriminelen worden steeds geraffineerder.Wat zijn passkeys?
Passkeys zijn een alternatieve verificatiemethode. Hiermee kunnen gebruikers zich veiliger aanmelden dan met een traditioneel wachtwoord. Een passkeys is uniek voor iedere gebruiker. Passkeys zijn ook gestandaardiseerd, zodat gebruikers op al hun apparaten en browsers zonder wachtwoorden kunnen werken, zonder dat ze zich steeds opnieuw hoeven te registreren. Browsers, apparaten en ook wachtwoordbeheerders kunnen passkeys opslaan om de wachtwoordloze aanmelding te ondersteunen. Bovendien combineren passkeys de voordelen van meervoudige verificatie met een soepeler aanmeldings- en verificatieproces, voor sterkere beveiliging en meer gebruiksvriendelijkheid. Met een passkey kunnen gebruikers zich aanmelden met een vingerafdrukscanner, gezichtsherkenning of pincode, zonder dat ze hun aanmeldingsgegevens hoeven te onthouden en invoeren. Passkeys zijn cryptografische sleutelparen, die bestaan uit twee componenten: de openbare sleutel en de privésleutel. De openbare sleutel wordt openlijk gedeeld en gebruikt om gegevens te versleutelen die aan een gebruiker worden verzonden. Deze sleutel werkt als een hangslot, dat iedereen kan gebruiken om een bericht veilig te versleutelen. De privésleutel wordt altijd geheim gehouden. Deze ontsleutelt de gegevens die met de openbare sleutel versleuteld zijn. De privésleutel werkt dus als de sleutel die het hangslot kan openen. Als mensen (of systemen) versleutelde gegevens willen versturen of de identiteit van een gebruiker willen verifiëren, gebruiken ze de openbare sleutel. De gebruiker kan vervolgens de gegevens ontsleutelen of zijn identiteit bevestigen met behulp van de privésleutel. Vanuit het oogpunt van de gebruiker werkt het heel simpel: ze krijgen de vraag om hun apparaat of dienst te ontgrendelen met een vingerafdruk of gezichtsscan, en vervolgens hebben ze toegang. De passkey-technologie doet de rest op de achtergrond. Steeds meer websites en toepassingen ondersteunen passkeys, en zo kunnen steeds meer bedrijven voor steeds meer diensten overstappen op een veiligere manier van aanmelden zonder wachtwoorden, die aanvallen met social engineering afweert en verificatie makkelijker maakt.De voordelen van passkeys boven wachtwoorden
Wachtwoorden als aanmeldingsmethode hebben verschillende zwakke plekken, waardoor ze kwetsbaar zijn voor social engineering en andere cyberbedreigingen:- Gebruikers kiezen vaak zwakke wachtwoorden die makkelijk te raden of te kraken zijn.
- Veel mensen gebruiken hetzelfde wachtwoord voor meerdere accounts, waardoor alle accounts meer risico lopen als er bij één account een beveiligingslek is.
- Met phishing kunnen cybercriminelen mensen misleiden om onopzettelijk hun wachtwoord te delen.
- Ontwikkelaars kunnen wachtwoorden in leesbare vorm opslaan in databases of op andere manieren tekortschieten in de beveiliging van aanmeldingsgegevens, zodat ze kwetsbaar zijn voor gegevenslekken.
- Wachtwoorden hebben geen standaard meervoudige verificatie, en veel gebruikers schakelen optionele verificatie niet in.
- Het zijn lange, unieke, willekeurig aangemaakte tekenreeksen, die vrijwel onmogelijk te raden of te kraken zijn.
- Gebruikers voeren ze niet in op aanmeldingsformulieren, dus ze zijn niet gevoelig voor phishing of keyloggers.
- Passkeys zijn onweerlegbaar. Dat betekent dat u altijd kunt controleren en verifiëren wat de oorsprong is van acties die zijn genomen met uw privésleutel, wat aanvallen door kwaadwillende insiders kan afweren.
- Passkeys kunnen integreren met andere factoren voor meervoudige verificatie, zoals biometrische gegevens. Zo kunt u de beveiliging versterken, zonder dat gebruikers hiervoor extra stappen moeten nemen.
- Privésleutels worden niet opgeslagen op servers van derden, dus hackers kunnen ook met een gegevenslek geen bruikbare verificatiegegevens bemachtigen.
- Passkeys zijn uniek voor iedere service, zodat gebruikers niet kunnen worden misleid om hun aanmeldingsgegevens in te voeren op een nepwebsite.
- Passkeys kunnen worden gebruikt voor veilige toegang op afstand, zodat uw bedrijf beschermd wordt tegen ongeoorloofde toegang.
