Let’s face it: passwords stink!

wo, 27/10/2021 - 11:01

Door: Redactie WINMAG Pro

Op hackersfora zijn enorme databases te vinden waarin enorm veel gestolen inloggegevens verzameld zijn. “Wachtwoord zijn de achilleshiel van internet, want ze zijn inherent onveilig”, zegt Patrick McBride, chief marketing officer van Beyond Identity. “Daarom moeten we ervan af.”

Het probleem met wachtwoorden is volgens McBride dat het ‘gedeelde geheimen’ zijn. “Het gaat om een gegeven dat alleen bekend is bij de betrokken partijen in een ogenschijnlijk veilige uitwisseling. Maar delen betekent per definitie dat er minstens twee partijen bij betrokken zijn. Voor wachtwoorden is een van deze partijen een beheerder die het wachtwoord kent en opslaat in een database die kwetsbaar is voor verlies of diefstal.”

Extra maatregelen werken niet

Hoe kan je dan wel de toegang tot applicaties beveiligen? Twee-factorauthenticatie (2FA) lijkt een sterke verdediging tegen cybercriminelen omdat de ‘tweede factor’, naast wie je bent (gebruikersnaam) en wat je kent (wachtwoord), ook vraagt om wat je hebt (een telefoon of token). Bij het inloggen is een veld toegevoegd waar de gebruiker een code invult die men via sms of een ander apparaat ontvangt, zoals een codecalculator van de bank. “Cybercriminelen weten dit inmiddels vrij eenvoudig te ondervangen door niet van echt te onderscheiden inlogpagina’s na te maken waar gebruikers de code invullen”, zegt McBride. “Bovendien is het gebruik van 2FA vaak frustrerend voor gebruikers. Je moet de telefoon of codeapparaat bij je hebben en soms moet je lang wachten voordat een sms binnenkomt.”

Een security key is een apparaatje dat gebruikers in hun computer of telefoon steken om kenbaar te maken dat zij werkelijk zijn wie ze zeggen te zijn. Er zijn al Android- en iOS-apps die de security key van gebruikers verifiëren. De telefoon moet bovendien in de buurt zijn van de computer waarop men de inlogpagina opent. Dit maakt het voor cybercriminelen al lastiger, want ze moeten zowel toegang hebben tot de telefoon, deze kunnen ontgrendelen én bij het apparaat zijn waarop zij proberen in te loggen. “Het nadeel is dat je voor deze oplossingen afhankelijk bent van Google of Apple”, zegt McBride. “Het is de vraag hoeveel vertrouwen gebruikers erin hebben om deze bedrijven al hun wachtwoorden te geven.”

Wachtwoordmanagers zijn apps die bijzonder sterke wachtwoorden genereren en versleuteld opslaan. De gebruiker hoeft zodoende geen wachtwoorden te onthouden, maar logt eenmalig in en de app vult vervolgens overal de juiste inloggegevens in. “Wachtwoordmanagers zoals LastPass en KeePass zijn erg populair en cybercriminelen weten dat”, zegt McBride. “Ze besteden daarom heel veel tijd aan het kraken van deze accounts. En zodra het lukt om het hoofdwachtwoord te achterhalen, hebben ze ook toegang tot alle overige inloggegevens van die gebruiker. Geen enkele IT-oplossing is veilig van hackers.”

Zogenaamde ‘wacht-woordloze’ oplossingen zoals biometrie lijken gebruiksvriendelijk en veilig. "Maar als je een vingerafdruk of irisscan gebruikt, verstuurt de applicatie nog steeds gewoon namens jou een wachtwoord”, zegt McBride. “Wat dat betreft is het een vorm van 2FA en beslist niet wachtwoordloos.”

Single Sign-on (SSO) is een techniek waarbij de gebruiker eenmaal inlogt en vervolgens toegang heeft tot meerdere systemen. “Dit is een goede eerste stap naar een gebruiksvriendelijke oplossing, want de gebruiker hoeft niet langer per applicatie een apart wachtwoord in te vullen”, zegt McBride. “Maar de sessietoken, die de authenticatie voor andere systemen mogelijk maakt, kan gehackt worden. Veel sessietokens zijn zodanig geconfigureerd dat zij langer actief blijven dan één sessie. Zo hoef je bij terugkerend gebruik niet opnieuw in te loggen. Dat is heel gebruiksvriendelijk, maar ook erg kwetsbaar. Tot slot zijn de wachtwoorden die toegang geven tot SSO vaak ook nog steeds opgeslagen op servers en dus bereikbaar voor cybercriminelen.”

Wachtwoorden deugen niet

“Let’s face it: passwords stink!”, zegt McBride in zijn moerstaal. “Ze deugen niet. Ze veroorzaken alleen maar frictie en frustratie bij het inloggen.” Maar wat deugt dan wel?

McBride: “Het is tijd voor een wereld zonder wachtwoorden. Ze moeten vervangen worden door een oplossing die werkt met de apps die mensen nu al gebruiken, die integreert met de huidige IAM-oplossing van een organisatie en die niet afhankelijk is van derden zoals app-leveranciers of SaaS-providers.”

Volgens McBride bestaat deze oplossing uit een ‘personal certificate authority’. “Onze oplossing voorziet in veilige, op standaarden gebaseerde en asymmetrische versleuteling voor authenticatie. In plaats van een wachtwoord voorzien we in een zelfondertekend X.509-certificaat. Een app op endpoint-apparaten maakt en beheert sleutels en dat is een fundamenteel andere manier om gebruikers te authentiseren voor netwerken en applicaties.”

Beyond Identity integreert zijn oplossing met bestaande SSO-toepassingen door slechts een kleine aanpassing in de configuratie door te voeren. "Daarmee halen we de frictie, de frustratie en - nog belangrijker - de risico's van wachtwoorden weg, zonder dat gebruikers op een andere manier inloggen dan zij gewend zijn", vertelt McBride. “Er is ook geen centrale opslag meer nodig en dat betekent dat hackers ook geen toegang kunnen krijgen tot bedrijfsgegevens en -systemen. Onze aanpak deelt geen geheimen tussen gebruikers en beheerders, of dit nu wachtwoorden of biometrische gegevens zijn”, zegt McBride. “Het gebruikt ook geen onbetrouwbare en onveilige communicatiekanalen voor authenticatie zoals sms, pushberichten of e-maillinks.”

Beyond Identity gebruikt in plaats daarvan de public key infrastructure (PKI), TLS en hardware-omgeving op een nieuwe manier. “Daarmee krijgen organisaties het beste van twee werelden”, zegt McBride. “Enerzijds minder frustratie en anderzijds meer veiligheid. We verwachten dat bedrijven binnenkort allemaal passwordless werken.”