‘Huidige wachtwoordbeleid en mfa niet meer van deze tijd’

De Nederlandse overheid adviseert organisaties nog steeds moeilijke wachtwoorden en wachtwoordmanagers te gebruiken. “Dat is echt achterhaald”, stelt Patrick McBride, Chief Marketing Officer bij mfa-leverancier Beyond Identity.

Dat komt volgens McBride doordat nog steeds veel organisaties niet goed begrijpen hoe cybercriminelen te werk gaan. Daarin is een belangrijke rol weggelegd voor de overheid, naar analogie van de Amerikaanse regering. “Zij hebben onlangs een ‘zero trust strategie’ aangenomen en keihard opgelegd welke inlog- en authenticatiemogelijkheden wél en welke vooral níet mogen worden gebruikt door overheidsdiensten. Deze diensten moeten dit binnen twee jaar hebben geïmplementeerd.”

Kind kan de phishing doen

Het gevaar ligt hem erin dat cybercriminelen steeds beter worden in het phishen van wachtwoorden, maar ook allerlei toolkits tot hun beschikking hebben waarmee ze een eerste of tweede factor van een multifactorauthenticatie (mfa) kunnen onderscheppen. “Die toolkits maken het kinderspel, iedere onbenul kan dit tegenwoordig.” McBride, al ruim dertig jaar werkzaam in cybersecurity, maakt onderscheid tussen veilige en onveilige mfa. Met de kanttekening dat dit voor medewerkers en consumenten op het eerste oog niet te onderscheiden valt. “Daarom is het belangrijk dat de overheid organisaties hierin helpt. Zodat bedrijven alleen nog veilige mfa gebruiken en eindgebruikers zich daar zelf niet druk om hoeven maken.”

Geheimen onderscheppen

Bij onveilige mfa wordt er een ‘gedeeld geheim’ (tussen zender en ontvanger) over het netwerk verstuurd. Denk aan een magische link, een code via e-mail of sms of een push notificatie. “Deze zaken zijn allemaal te onderscheppen of vervalsen. En dat wordt op grote schaal gedaan zonder dat eindgebruikers daar erg in hebben. Ze denken heel goed bezig te zijn door tweefactorauthenticatie in te schakelen, maar realiseren zich niet dat cybercriminelen allang oplossingen voor hebben om dit te onderscheppen.” Het enige juiste advies dat een overheid een eindgebruiker kan geven, is dat wachtwoorden nooit hergebruikt moeten worden. “En dan kun je dus prima met een passwordmanager werken, maar ja, die wordt ook weer beveiligd met… een wachtwoord!”, grijnst McBride.

Vergeet wachtwoorden

Hij pleit, naast betere, inhoudelijke voorlichting en ondersteuning door de overheid aan organisaties, voor een wereld zónder wachtwoorden, oftewel ‘passwordless’ inloggen. “Er zijn momenteel inlogmethodes die hierop lijken, maar waarbij op de achtergrond nog steeds een wachtwoordcombinatie wordt verstuurd. Dit is vooral gericht op het gemak van de gebruiker, maar niet op veiligheid. Veilig wachtwoordloos inloggen betekent dat je volledig afstapt van wachtwoorden in het inlog- en authenticatieproces.” Dat doe je door het wachtwoord te vervangen door iets dat wél veilig is, zoals publieke sleutelcryptografie. “Iedereen herkent het slotje in de browser, oftewel TLS, en dit werkt op eenzelfde manier”, legt McBride uit. “Deze manier van veilige communicatie wordt al bijna dertig jaar gebruikt. Voor TLS hadden we SSL en beide protocollen zijn vooralsnog niet of nauwelijks gecompromitteerd.”

Veilige mfa gebruiken

Naast deze wachtwoordloze, veilige manier om gebruikers te identificeren, is het gebruik van mfa nog steeds noodzakelijk, stelt de marketingmanager van Beyond Identity. “Maar dan wel een veilige mfa. En daarmee bedoel ik dat je voor het identificeren geen gedeelde geheimen hoeft te versturen, maar bijvoorbeeld veilig een biometrische identificatie op een device opslaat en gebruikt.” Veel hardware beschikt tegenwoordig over een trusted platform module waarop lokaal biometrische identificatie wordt opgeslagen en die vervolgens voor veilige authenticatie kan zorgen.

Bij Beyond Identity noemen ze dit ook wel ‘onzichtbare mfa’. “Eindgebruikers kunnen op deze manier eenvoudig en vooral snel inloggen bij verschillende applicaties. Het systeem ziet direct om welke eindgebruiker het gaat, en kan checken of het apparaat waarop de eindgebruiker wil inloggen geautoriseerd is. Daarbij kun je ook informatie verzamelen over dat apparaat, zoals: is de biometrie ingeschakeld, is de disk versleuteld, is de lokale firewall ingeschakeld, is het besturingssysteem up to date, et cetera. Aangezien gebruikers deze zaken na het inloggen mogelijk kunnen uitschakelen, blijft het systeem dit controleren en krijg je als IT-afdeling een signaal wanneer het apparaat niet meer aan de minimale beveiligingseisen voldoen die je als organisatie hebt gesteld.”

Verantwoordelijkheid bij overheid en industrie

Nu wordt de verantwoordelijkheid voor veilig inloggen veelal bij eindgebruikers gelegd, maar McBride denkt dat deze verantwoordelijkheid veel beter bij bedrijven en de overheid kan liggen. “Zij beschikken over meer middelen, mogelijkheden en kennis om bij te houden wat moderne cybercriminelen aan het doen zijn en waar de actuele gevaren liggen. Een overheid zou haar burgers niet moeten adviseren over het gebruik van wachtwoorden – want wachtwoorden en onveilige mfa vormen tegenwoordig slechts een kleine barrière voor criminelen. In plaats daarvan zouden overheden nauw moeten samenwerken met de industrie om veilige manieren van wachtwoordloze mfa te implementeren. Want eigenlijk is dat de enige manier waarop je bedrijven en eindgebruikers écht goed kunt beschermen.”

*Auteur: Kim Loohuis

Foto: Patrick McBride, Chief Marketing Officer bij mfa-leverancier Beyond Identity