Op weg naar een wereld waarin de digitale identiteit regeert: goede beveiliging is noodzakelijk

Volgens Thuiswinkel Markt Monitor 2020 werden vorig jaar in Nederland 334,9 miljoen online betalingen gedaan. Met een groei van 27 procent ten opzichte van 2019 vormen deze online betalingen een lucratieve bron voor oplichters. Uit cijfers van Fraudehelpdesk blijkt dat het aantal fraudemeldingen voor online shoppen in 2020 verdubbelde vergeleken met 2019. Dit kwam doordat veel winkels waren gesloten en mensen die voorheen hun aankopen niet online deden werden aangewezen op webwinkels en handelsplaatsen. Als deze ontwikkeling doorzet zal het aantal gedupeerden in 2021 ongeveer twee keer zo hoog gaat zijn als het jaar ervoor met een geschatte schade van ruim 1 miljoen euro.

Digitale identiteiten

Achter elke transactie gaat een menselijke of machinale gebruiker schuil. Organisaties moeten die gebruikers vandaag de dag constant op echtheid controleren en verifiëren dat ze zijn wie ze beweren te zijn. Die digitale identiteiten zijn overal aanwezig en ze bestaan uit een set attributen die een specifieke gebruiker identificeren in de context van een functie die wordt geleverd door een specifieke applicatie. Bovendien vragen ze om goede bescherming. Binnen het overkoepelende domein van identity and access management (IAM) focust customer identity and access management (CIAM) zich op het beheer van de identiteiten van klanten die toegang nodig hebben tot websites, e-commercediensten en andere online applicaties. 

Identiteit moet bovenaan de agenda staan voor Chief Information Security Officers (CISO’s). Zeker in een tijd van verandering, waarin traditionele organisaties steeds meer beginnen te lijken op een set consumentgerichte applicaties. Dat betekent namelijk dat ze het zich niet langer kunnen veroorloven om de beveiligingsuitdagingen rond CIAM te negeren. 

Het beheer van CIAM is pittig, dat is nu eenmaal zo. Niet alleen omdat applicaties een groter risico lopen om geraakt te worden door grootschalige internetaanvallen, maar ook vanwege de ins en outs van het beheren van klantidentiteiten. Consumenten zijn een gevarieerde groep en het automatisch onderscheid maken tussen een verwarde gebruiker en een geavanceerde aanvaller is niet eenvoudig. Daarnaast wordt het beveiligen van klantidentiteiten verder bemoeilijkt door de industrie-brede issues rondom het effectief beschermen van data. De grote hoeveelheid gelekte wachtwoorden en de beschikbaarheid van geautomatiseerde aanvalsmiddelen hebben ervoor gezorgd dat een simpel wachtwoord niet meer volstaat.

Bovendien kunnen we er niet meer omheen: digitale identiteiten regelen de toegang tot een alsmaar groeiend aantal applicaties en diensten. Uiteindelijk zal de digitale identiteit van invloed zijn op – en misschien zelfs regeren over – alle aspecten van het moderne leven. En dat maakt authenticatie en autorisatie essentieel voor het garanderen van vertrouwen en beveiliging. 

Observaties Auth0

De bevindingen van de bovengenoemde rapporten komen overeen met de observaties van Auth0. Allereerst zijn frauduleuze registraties een kostbaar gevaar. Hoewel de cijfers per vertical verschillen, is 15 procent van alle pogingen om een nieuw account te registreren afkomstig van bots. Zulke accounts zijn meer dan alleen een beetje vervelend; ze vormen een duur probleem dat een negatieve impact heeft op applicaties en hun gebruikers en dragen bovendien bij aan grotere issues, zoals witwaspraktijken. Ten tweede vormt credential stuffing een reële bedreiging. Zo'n credential-stuffing-aanval, een grootschalige geautomatiseerde inlogpoging, in een specifieke sector beslaat op een willekeurige dag 90 procent van de inlogpogingen. 

Online betalingen en accountregistratie zullen zich blijven ontwikkelen, en het aantal identiteiten zal blijven groeien – net als het aantal fraudepogingen. Om aanvallers te ontmoedigen, is het van cruciaal belang om de financiële voordelen voor aanvallers te elimineren door identiteitsdiensten te ontwikkelen met een flexibele, secure-by-design- en defense-in-depth- benadering. Met die tactiek in het achterhoofd kunnen IT-teams afweermaatregelen uitrollen voor én tijdens de authenticatieworkflow, en zorgen voor safe session management practices als krachtige verdediging. In onze snel veranderende digitale wereld, waarin CIAM een steeds grotere rol speelt, is het essentieel om multifactorauthenticatie (MFA) te stimuleren. Dit om frictie te beperken en om beveiliging te garanderen. Volgende Team High Tech Crime van de Politie kost het aanvallers zoveel moeite om voorbij MFA te komen en hebben ze zoveel andere slachtoffers dat ze direct alles laten vallen en naar de volgende gaan wanneer ze op MFA stuiten. MFA is zelfs zo effectief, dat Microsoft denkt dat accounts 99,9 procent minder risico lopen om gehackt te worden als MFA wordt ingezet. Of het daarbij nu gaat om step-up authentication, adaptive MFA of door WebAuthn ondersteunde biometrische methoden, deze cijfers tonen aan dat authenticatiemogelijkheden een belangrijke bijdrage leveren in de bescherming tegen datalekken, gehackte accounts, credential stuffing, identiteitsdiefstal, privacymisbruik, creditcardfraude en andere risico’s. 

Foto: Duncan Godrey, VP Security Engineering bij Auth0