‘Wachtwoordloze toegang maakt World Password Day overbodig’

pixabay wachtwoord

Een goed wachtwoordbeleid is de eerste verdedigingslinie om aanvallers buiten de bedrijfsnetwerken te houden. World Password Day moet het bewustzijn hierover vergroten. De vraag is echter of zelfs de sterkste wachtwoorden geen misplaatst gevoel van veiligheid geven. Is multi-factor authenticatie (MFA) de oplossing, of moet het gebruik van wachtwoorden misschien helemaal verdwijnen? Security-experts geven hun mening.

World Password Day in een notendop

In 2005 stelde security-onderzoeker Mark Burnett in zijn boek Perfect Passwords voor om een ‘password day’ in te stellen, een dag waarop iedereen alle belangrijke wachtwoorden bij zou werken. Dit inspireerde Intel Security er in 2013 toe om de eerste donderdag van mei om te dopen tot World Password Day.

“Het is een goed idee om minimaal jaarlijks stil te staan bij wachtwoorden en deze te wijzigen in sterkere versies”, zegt Vincent Zeebregts van Fortinet. “Wachtwoorden zijn tenslotte van kritiek belang voor het beveiligen van gevoelige en vertrouwelijke gegevens zoals financiële en medische gegevens en online identiteiten. Althans, in theorie. In de praktijk blijkt dat cybercriminelen erg goed zijn in het hacken, raden of omzeilen van wachtwoorden. Effectieve beveiliging vraagt dus om meer dan alleen sterke wachtwoorden, want cybercriminelen ontwikkelen voortdurend nieuwe aanvalstechnieken.”

Wat kunnen organisaties doen om de wachtwoorddiscipline te verbeteren? “Er zijn beleidsregels nodig die voorkomen dat mensen eenvoudige wachtwoorden kunnen gebruiken of wachtwoorden kunnen hergebruiken”, zegt Chantal ’t Gilde, managing director Benelux & Nordics van Qualys. “Die regels moeten ook voorschrijven welke lengte wachtwoorden moeten hebben en aan welke diversiteit aan lettertekens, cijfers en symbolen ze moeten voldoen. De belangrijkste verbetering is echter het verplichten van MFA of op rollen gebaseerd toegangsbeheer.”

Ook Zeebregts adviseert multi-factorauthenticatie als een vereiste stap tijdens het aanmeldingsproces. “Dat kan door gebruik te maken van fysieke of mobiele tokens, zoals een vingerafdruk, gezichtsherkenning of een eenmalige code. Als cybercriminelen dan een wachtwoord buitmaken, kunnen ze nog steeds geen toegang tot informatie krijgen, omdat ze niet over de extra authenticatiefactor beschikken.”

Sterker dan MFA: biometrische toepassingen

MFA biedt een sterkere verdediging biedt dan wachtwoorden alleen. Veel overheden zien dat ook in en stellen het gebruik van MFA verplicht voor toegang tot hun systemen. Zo zijn er Europese richtlijnen die bepalen dat organisaties MFA in moeten zetten. Een daarvan is Electronic Identities And Trust Services (eIDAS). “In eIDAS zijn criteria vastgelegd om te bepalen of een oplossing wel een MFA is”, zegt Rick Goud, CIO van Zivver. “eIDAS onderscheidt drie betrouwbaarheidsniveau ’s: laag, substantieel en hoog. Het betrouwbaarheidsniveau hoog vereist dat de gebruiker bij de identiteitsverificatie ook ten minste eenmaal fysiek verschijnt. MFA’s met betrouwbaarheidsniveau ‘hoog’ is echter nog niet breed beschikbaar. Totdat dit het geval is, adviseren wij de inzet van 2FA.”

TJ Jermoluk, CEO van Beyond Identity heeft hier een sterke mening over. “Is het gebruik van 2FA niet ronduit gevaarlijk als veel MFA niet veilig genoeg is?” Dat blijkt ook uit het adviesrapport van het Nationaal Cyber Security Centrum (NCSC) dat aangeeft dat niet alle MFA veilig is. Het NCSC zegt weliswaar ook dat 2FA een goed idee is, maar eigenlijk alleen als de MFA-oplossing biometrische toepassingen gebruikt. “Een sms- of emailbericht met een toegangscode kan via zogenoemde man-

in-the-middle-aanvallen nog steeds onderschept worden. Biometrische controle kan dat voorkomen, maar het moet tegelijkertijd natuurlijk wel voldoen aan de richtlijnen van de GDPR (AVG).”

Wachtwoordloze toegang

In de VS is de overheid zich er inmiddels ook van bewust dat cybercriminelen veel MFA-oplossingen kunnen omzeilen. “Daarom introduceerde president Biden de Zero Trust Architecture Strategy”, zegt TJ Jermoluk. “Deze verbiedt het gebruik van MFA middels pushberichten, sms of spraakberichten. Sterke authenticatie is het fundament onder deze zero trust-strategie en de Amerikaanse overheid vereist nu ‘wachtwoordloze’ MFA. Hopelijk volgen andere landen dit voorbeeld om bedrijven en burgers te beschermen tegen cyberaanvallen en gegevensdiefstal. Dan 5 mei 2022 wellicht de laatste World Password Day geweest.”

Lees ook
Genetec kondigt nieuwe versie van Security Center aan

Genetec kondigt nieuwe versie van Security Center aan

Genetec Inc., technologieleverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft een nieuwe versie aangekondigd van haar unified security platform Security Center.

NetWitness ondersteunt AWS AppFabric om SaaS-applicaties te beveiligen

NetWitness ondersteunt AWS AppFabric om SaaS-applicaties te beveiligen

NetWitness, leverancier van detectie-, onderzoeks- en responstechnologie voor bedreigingen en incidentresponsdiensten, is geïntegreerd met AWS AppFabric. Die nieuwe service van Amazon Web Services (AWS) zorgty er voor dat software as a service (SaaS)-applicaties snel kunnen worden gekoppeld voor een betere productiviteit en beveiliging.

Genetec: bedrijven kiezen versneld voor cloud- en hybride fysieke security oplossingen

Genetec: bedrijven kiezen versneld voor cloud- en hybride fysieke security oplossingen

Genetec Inc., leverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft het ‘2024 State of Physical Security Report’ gepubliceerd. Aan dit onderzoek, dat gaat over de beveiligingsstrategieën die organisaties hanteren, deden wereldwijd meer dan 5.500 specialisten op het gebied van fysieke bev1