De wereld van de ICT zit nooit stil, voortdurend komen er nieuwe technieken uit en worden oude technieken achterhaald en zelf kwetsbaar. Een van die technieken is het wachtwoord. In de afgelopen vijf jaar is het steeds normaler geworden om altijd en overal Multi-Factor Authenticatie (MFA) te gebruiken om in te loggen. Met MFA bouw je een extra lijn van verdediging in tijdens het inlogproces, maar zoals zoveel dingen in de ICT en zeker in de Securitywereld heeft ieder voordeel zijn nadeel en dat is helaas vaak het gebruiksgemak.
De maatstaaf bij veel oplossingen is: hoe veiliger een product, hoe minder het gebruiksgemak voor de eindgebruiker. In dit artikel lichten we toe hoe het inloggen op zakelijke systemen vereenvoudigd kan worden, zonder dat de veiligheid in het geding komt.
Het huidige MFA
Het huidige MFA zoals het nu vrijwel altijd wordt gebruikt, is een extra verificatiefactor bovenop het mailadres en wachtwoord. De gouden standaard voor het inloggen is drie verschillende factoren gebruiken: Iets wat je weet, bijvoorbeeld een wachtwoord of pincode. Iets wat je hebt, zoals een emailadres of een telefoonnummer. Iets dat je bent, denk aan iets als een vingerafdruk of gezichtsscan.
In de huidige situatie worden vaak uit elke categorie één optie gekozen, zoals een mailadres, een wachtwoord en een pushmelding op een telefoon. De combinatie van het wachtwoord en de pushmelding is in veel gevallen dubbelop en overbodig. Microsoft biedt sinds een tijdje de optie aan om wachtwoordloos in te loggen op Microsoft365- applicaties en systemen.
Wachtwoordloos inloggen
Een account voor wachtwoordloos inloggen heeft helemaal geen wachtwoord meer, het verifiëren van de gebruiker verloopt nu via de telefoon. Als alternatief voor de telefoon bestaat er ook een fysieke (USB-)sleutel (soms met vingerafdrukscanner) in combinatie met een pincode.
Een gebruiker vult in het inlogveld het mailadres in en vervolgens wordt deze direct doorgeleid naar de pagina waar dan een pushmelding naar de telefoon gestuurd wordt. Op deze pagina wordt een nummer weergegeven die ingevoerd moet worden in de telefoon en na het invullen van dit nummer wordt gevraagd om een gezichtsscan of vingerafdrukscan. Dit laatste is de verificatiestap of een gebruiker ook echt de juiste gebruiker is die in moet loggen. Als we gaan kijken naar de drie factoren, is deze als volgt ingevuld:
- Iets wat je weet: een mailadres
- Iets wat je hebt: een geregistreerde telefoon
- Iets wat je bent: een vingerafdruk of gezichtsscan Op deze wijze kun je zonder een onveilig wachtwoord toch inloggen op een applicatie of systeem.
Waarom is een wachtwoord als verificatiestap achterhaald?
In vergelijking met andere authenticatiemethodes, zoals bovenstaand voorbeeld, is een wachtwoord een statisch gegeven wat niet veranderlijk is en daardoor kwetsbaar. De kwetsbaarheid ontstaat uit overreactie op het wachtwoordbeleid. Door lange en complexe wachtwoorden van gebruikers te eisen, kiezen zij al snel voor een makkelijk te onthouden wachtwoord. Een wachtwoord wat voor gebruikers makkelijk te onthouden is, is direct ook makkelijk te kraken voor hackers. Aangezien een wachtwoord in het beste scenario eens in de zoveel maanden gewijzigd wordt, is het buit maken van een wachtwoord ook een interessant doelwit voor hackers. Het wachtwoord is toch een constante factor.
Wachtwoorden worden in veruit de meeste gevallen simpelweg gestolen door hackers. Dit gaat vaak in de vorm van een phishing aanval, een stuk malware wat toetsaanslagen registreert of een lijst met gelekte wachtwoorden van een derde partij. Door deze constante factor uit de inlogketen te halen, is het veel en veel moeilijker voor hackers om op de meest gebruikte wegen in een account te komen.
Wil je meer informatie?
Meer weten? Neem gerust contact op met de ValueIT helpdesk. Wij staan altijd voor je klaar! En meld je aan voor onze nieuwbrief; Altijd informatief en nooit SPAM.
