Het einde van het wachtwoord

Bart Bruijnesteijn

Op 3 mei is het World Password Day, maar de vraag is hoe lang we nog wachtwoorden gebruiken

World Password Day is bedoeld om meer bewustwording rond veilige wachtwoorden te realiseren. Het World Wide Web Consortium (W3C) en de FIDO (Fast IDentity Online) Alliance verwachten echter binnenkort een einde aan het gebruik van wachtwoorden. Zij promoten andere beveiligingstechnieken die beter inspelen op de huidige gebruikstoepassingen als gevolg van de digitalisering en de steeds geavanceerdere cybercrime. Volgens Bart Bruijnesteijn van CyberArk worden wachtwoorden langzaam maar zeker vervangen door authenticatie en technologieën die efficiënter beveiligen. Hackers hebben door de jaren heen hun tactieken verbeterd om in systemen te komen. Zelfs met sterke wachtwoorden ben je niet meer veilig. Bedrijven moeten dus al meerdere beveiligingslagen aanbrengen, gebaseerd op dubbele authenticatie waarbij gebruikers bijvoorbeeld via een token of app zichzelf kunnen identificeren.

Deze authenticatie aan de rand van het netwerk verbetert de beveiliging, maar voorkomt niet noodzakelijkerwijs dat criminelen een netwerk binnenkomen. Ze kunnen gebruikers misleiden via phishing-technieken en zo hun inloggegevens bemachtigen. Met een gestolen identiteit een netwerk binnenkomen is nog altijd een veelgebruikte, succesvolle methode. Daarom is netwerkbeveiliging voorbij de access point van belang.

Bovendien vereisen de huidige dreigingen een strenge beveiliging van privileged accounts, ofwel inloggegevens met meerdere rechten, zodat criminelen niet zomaar bij gevoelige informatie kunnen of systemen kunnen aansturen. Hierom is het van belang dat medewerkers ook alleen toegang krijgen tot de systemen en bestanden die voor hun werk van belang zijn. De meeste onderzoeken wijzen echter uit dat dit in veel bedrijven helemaal niet geregeld is: er is te weinig monitoring waardoor aanvallen worden gemist.

Het wordt nog lastiger als je realiseert dat privileged accounts zich niet beperken tot menselijke gebruikers. Inloggegevens, accounts en secrets zijn overal in de organisatie, ook in de vorm van machines. Ze kunnen in de cloud staan, in applicaties of de supply chain. In aanvulling op multifactor authenticatie moeten deze accounts daarom worden beschermd door de lokale beheerrechten te verwijderen van access points, het elimineren van hard-coded credentials, het beheer van wachtwoorden in digitale kluizen en het monitoren en vastleggen van activiteiten van de meest gevoelige accounts.

Machine learning als beveiliging

Organisaties kunnen ook steeds meer op machine learning vertrouwen. De processing mogelijkheden en voorspellende data-analyse vormen een sterke beveiligingslaag, terwijl ze lastig en tijdsintensief werk wegnemen bij IT-teams. Machine learning is van nature erg schaalbaar en speelt realtime in op de ontwikkeling van risico’s, biedt inzicht in bestaande en mogelijke kwetsbaarheden. De algoritmen bepalen in seconden of een verbinding of activiteiten te vertrouwen is en of er monitoring of directe interventie nodig is.

De recente technologische ontwikkelingen drukken wachtwoorden langzaam maar zeker weg. Ze worden vervangen door geautomatiseerde, veiligere methoden. Cybersecurity moet cybercrime voorblijven, ook als dat betekent dat we afscheid moeten nemen van een gewoonte die al decennia oud is, maar nu niet meer voldoet.

Bart Bruijnesteijn - PreSales Director UK & North Europe bij CyberArk