Passwordless oplossingen verhelpen pijnpunten van MFA

MFA voegt een of meer additionele factoren toe aan het authenticatieproces die als extra beveiligingsniveaus dienen. Nadat gebruikers hun wachtwoorden hebben ingevoerd, vraagt MFA hen om meer bewijs van hun identiteit in de vorm van andere factoren.Traditionele MFA-oplossingen bieden absoluut krachtiger authenticatie dan het gebruik van alleen een wachtwoord.

Er is echter sprake van twee serieuze problemen.

1. Aanmelden met MFA neemt veel tijd in beslag. Dit proces is zo omslachtig dat het de bedrijfsbrede productiviteit in de weg kan gaan zitten.
2. Traditionele MFA maakt gebruik van een onveilige eerste factor (het wachtwoord) en tweede factoren die kunnen variëren van compleet onveilig tot uiterst veilig. Wachtwoorden vertegenwoordigen niet alleen een bijzonder zwakke authenticatiefactor, maar kunnen ook massaal worden gestolen en op het dark web verkocht. Organisaties lopen daarmee het risico van aansprakelijkheid en hoge kosten.

Traditionele MFA resulteert in een stroeve gebruikservaring

Om traditionele MFA tot een succes te maken, moeten gebruikers er meestal een tweede apparaat bijpakken. Op dat apparaat moeten ze een code opvissen uit een SMS-bericht, een e-mail of een authenticatie-app die slechts 10 seconden lang een code toont. Die code moeten ze vervolgens invoeren voordat die verloopt. Dit is een enorm pijnpunt voor gebruikers. En als er sprake is van grote gebruikersaantallen verliezen organisaties hierdoor waardevolle tijd.

De gemiddelde werknemer wisselt per uur tussen 10 applicaties voor het uitvoeren van zijn werktaken. Stel je voor hoeveel tijd er bedrijfsbreed verloren gaat aan MFA-processen. Dit is niet alleen funest voor de gebruikservaring, maar ook voor het bedrijfsresultaat.

Bovendien zijn MFA-oplossingen prijzig en is het bedrijfsbrede beheer ervan kostbaar. Het is moeilijk en soms zelfs onmogelijk om voor alle bedrijfsapplicaties gebruik te maken van dezelfde vorm van MFA. Het samenspel van deze ongemakken resulteert in een loden last. Traditionele MFA is aanvullende beveiliging die sterk ten koste gaat van het gebruiksgemak. 

Traditionele MFA maakt gebruik van een onveilige factor: wachtwoorden

Traditionele MFA kan een einde maken aan een aantal pijnpunten, maar biedt geen oplossing voor het onderliggende probleem. Het is nodig om het wachtwoord uit de optelsom van authenticatie te verwijderen. Waarom is het wachtwoord zo’n fatale weeffout in MFA-oplossingen?

Wachtwoorden zijn gedeelde geheimen. Ze kunnen eenvoudig worden gelekt en verkocht. En dat stelt bedrijven voor aanzienlijke aansprakelijkheidsrisico’s. Het komt op het volgende neer: als er bij een aanmeldingsprocedure een wachtwoord is betrokken, ben je volledig aangewezen op de tweede factor. En omdat wachtwoorden en masse worden gestolen, stellen ze als authenticatiefactor nauwelijks iets voor. En gek genoeg staan ze aan de basis van traditionele MFA-oplossingen, in welk jasje die ook worden gestoken.

En wat al net zo alarmerend is: veel aanvullende factoren zijn al net zo onveilig als de wachtwoorden zelf. Dat betekent dat er diverse manieren zijn om MFA-oplossingen te hacken. Wat is de volgende stap voor mensen die op zoek zijn naar de heilige graal van fundamenteel veilige authenticatie? Dat is het volledig elimineren van wachtwoorden.

Waarom passwordless authenticatie een goed alternatief is voor MFA

Passwordless authenticatie is technisch gezien ook multi-factor authenticatie. De gebruikte factoren zijn echter fundamenteel veiliger, omdat geen daarvan een wachtwoord is. Passwordless authenticatie maakt voor de verificatie van identiteiten gebruik van aanzienlijk veiliger factoren, zoals asymmetrische cryptografie en biometrische functionaliteit die in het apparaat van de gebruiker is ingebouwd.

Deze verbeteringen ten opzichte van traditionele MFA dragen ook bij aan een betere gebruikservaring. Gebruikers hoeven geen wachtwoorden te beheren of bij elke aanmelding met een tweede apparaat in de weer te gaan. De beste manier om de toegang te beveiligen is om af te stappen van wachtwoorden. Daarmee voorkom je in één klap alle op wachtwoorden gebaseerde cyberaanvallen.

Passwordless oplossingen kunnen ook een einde maken aan een stroeve gebruikservaring als ze aanvullende verificatiefactoren bieden die in het apparaat zijn ingebouwd (biometrie, beveiligingsmechanismen enzovoort). Bij een passwordless aanpak hoeft er geen tweede apparaat te worden gebruikt voor aanmeldingen.

Als je traditionele MFA vervangt door de een passwordless oplossing (bijvoorbeeld die van Beyond Identity) beschik je over een veiliger en gebruiksvriendelijker alternatief dat:

• een einde maakt aan wachtwoorden die kunnen worden genoteerd, gelekt of hergebruikt.
• zwakke factoren (zoals eenmalige wachtwoorden) vervangt door iets dat je hebt (een computer, smartphone of tablet) en iets dat je bent (biometrie).
• vaststelt wie het apparaat in bezit heeft op basis van biometrische beveiliging
• het aanmeldingsproces afhandelt zonder de noodzaak van out-of-band communicatie, iets wat een einde maakt aan het gevaar van SIM swaps, phishing en man in the middle-aanvallen.

Overstappen op passwordless authenticatie?

Security-professionals raden al sinds jaar en dag aan om meer beveiligingsniveaus toe te voegen. Maar wat haalt dat uit als de beveiligingsstrategie nog altijd op wachtwoorden is gebaseerd? Hoewel MFA op passwordless authenticatie na de beste oplossing is, is het simpelweg niet toereikend.

Traditionele MFA beveiligt de primaire authenticatiefactor (het uiterst zwakke wachtwoord) met aanvullende factoren die soms, maar niet altijd, nieuwe gedeelde geheimen vertegenwoordigen. De enige manier om de toegang effectief te beveiligen is om het wachtwoord volledig uit het proces te verwijderen. Daarmee maak je in één klap een einde aan alle op wachtwoorden gebaseerde aanvallen. Het elimineren van wachtwoorden uit het authenticatieproces zorgt voor soepelere aanmeldingen, krachtiger beveiliging en eenvoudiger toegang tot alle IT-bronnen.

Patrick McBride is CMO bij Beyond Identity