‘Wachtwoordloze toegang maakt World Password Day overbodig’

pixabay wachtwoord

Een goed wachtwoordbeleid is de eerste verdedigingslinie om aanvallers buiten de bedrijfsnetwerken te houden. World Password Day moet het bewustzijn hierover vergroten. De vraag is echter of zelfs de sterkste wachtwoorden geen misplaatst gevoel van veiligheid geven. Is multi-factor authenticatie (MFA) de oplossing, of moet het gebruik van wachtwoorden misschien helemaal verdwijnen? Security-experts geven hun mening.

World Password Day in een notendop

In 2005 stelde security-onderzoeker Mark Burnett in zijn boek Perfect Passwords voor om een ‘password day’ in te stellen, een dag waarop iedereen alle belangrijke wachtwoorden bij zou werken. Dit inspireerde Intel Security er in 2013 toe om de eerste donderdag van mei om te dopen tot World Password Day.

“Het is een goed idee om minimaal jaarlijks stil te staan bij wachtwoorden en deze te wijzigen in sterkere versies”, zegt Vincent Zeebregts van Fortinet. “Wachtwoorden zijn tenslotte van kritiek belang voor het beveiligen van gevoelige en vertrouwelijke gegevens zoals financiële en medische gegevens en online identiteiten. Althans, in theorie. In de praktijk blijkt dat cybercriminelen erg goed zijn in het hacken, raden of omzeilen van wachtwoorden. Effectieve beveiliging vraagt dus om meer dan alleen sterke wachtwoorden, want cybercriminelen ontwikkelen voortdurend nieuwe aanvalstechnieken.”

Wat kunnen organisaties doen om de wachtwoorddiscipline te verbeteren? “Er zijn beleidsregels nodig die voorkomen dat mensen eenvoudige wachtwoorden kunnen gebruiken of wachtwoorden kunnen hergebruiken”, zegt Chantal ’t Gilde, managing director Benelux & Nordics van Qualys. “Die regels moeten ook voorschrijven welke lengte wachtwoorden moeten hebben en aan welke diversiteit aan lettertekens, cijfers en symbolen ze moeten voldoen. De belangrijkste verbetering is echter het verplichten van MFA of op rollen gebaseerd toegangsbeheer.”

Ook Zeebregts adviseert multi-factorauthenticatie als een vereiste stap tijdens het aanmeldingsproces. “Dat kan door gebruik te maken van fysieke of mobiele tokens, zoals een vingerafdruk, gezichtsherkenning of een eenmalige code. Als cybercriminelen dan een wachtwoord buitmaken, kunnen ze nog steeds geen toegang tot informatie krijgen, omdat ze niet over de extra authenticatiefactor beschikken.”

Sterker dan MFA: biometrische toepassingen

MFA biedt een sterkere verdediging biedt dan wachtwoorden alleen. Veel overheden zien dat ook in en stellen het gebruik van MFA verplicht voor toegang tot hun systemen. Zo zijn er Europese richtlijnen die bepalen dat organisaties MFA in moeten zetten. Een daarvan is Electronic Identities And Trust Services (eIDAS). “In eIDAS zijn criteria vastgelegd om te bepalen of een oplossing wel een MFA is”, zegt Rick Goud, CIO van Zivver. “eIDAS onderscheidt drie betrouwbaarheidsniveau ’s: laag, substantieel en hoog. Het betrouwbaarheidsniveau hoog vereist dat de gebruiker bij de identiteitsverificatie ook ten minste eenmaal fysiek verschijnt. MFA’s met betrouwbaarheidsniveau ‘hoog’ is echter nog niet breed beschikbaar. Totdat dit het geval is, adviseren wij de inzet van 2FA.”

TJ Jermoluk, CEO van Beyond Identity heeft hier een sterke mening over. “Is het gebruik van 2FA niet ronduit gevaarlijk als veel MFA niet veilig genoeg is?” Dat blijkt ook uit het adviesrapport van het Nationaal Cyber Security Centrum (NCSC) dat aangeeft dat niet alle MFA veilig is. Het NCSC zegt weliswaar ook dat 2FA een goed idee is, maar eigenlijk alleen als de MFA-oplossing biometrische toepassingen gebruikt. “Een sms- of emailbericht met een toegangscode kan via zogenoemde man-

in-the-middle-aanvallen nog steeds onderschept worden. Biometrische controle kan dat voorkomen, maar het moet tegelijkertijd natuurlijk wel voldoen aan de richtlijnen van de GDPR (AVG).”

Wachtwoordloze toegang

In de VS is de overheid zich er inmiddels ook van bewust dat cybercriminelen veel MFA-oplossingen kunnen omzeilen. “Daarom introduceerde president Biden de Zero Trust Architecture Strategy”, zegt TJ Jermoluk. “Deze verbiedt het gebruik van MFA middels pushberichten, sms of spraakberichten. Sterke authenticatie is het fundament onder deze zero trust-strategie en de Amerikaanse overheid vereist nu ‘wachtwoordloze’ MFA. Hopelijk volgen andere landen dit voorbeeld om bedrijven en burgers te beschermen tegen cyberaanvallen en gegevensdiefstal. Dan 5 mei 2022 wellicht de laatste World Password Day geweest.”

Lees ook
Kwart Nederlanders slachtoffer van frauduleuze transacties : Signicat

Kwart Nederlanders slachtoffer van frauduleuze transacties : Signicat

Ruim een kwart (26%) van de Nederlanders kreeg vorig jaar te maken met een frauduleuze financiële transactie of een ander beveiligingsprobleem op een rekening. Dat blijkt uit een Europees onderzoek van Signicat onder ruim 7.600 consumenten van financiële producten.

DCC Nederland presenteert innovatieve PAM-oplossing van Senhasegura op Cyber Security & Cloud Expo 2022

DCC Nederland, een Value Added Distributeur met oplossingen voor netwerkbeheer en -beveiliging, presenteert tijdens de Cyber Security & Cloud Expo, die plaatsvindt op 20 en 21 september in de RAI te Amsterdam, de innovatieve Privileged Access Management (PAM)-oplossing van Senhasegura. CIO’s, CISO’s en IT-beheerders leren tijdens een informatieve sessie hoe zij hun organisaties kunnen beschermen tegen gegevensdiefstal, onder meer door de handelingen van beheerders te volgen voor netwerken, servers, databases en apparaten.

Europese focus zorgt voor hoge omzetgroei Signicat

Europese focus zorgt voor hoge omzetgroei Signicat

Identityspecialist Signicat boekte in 2021 een omzet van ruim 63 miljoen euro. De EBITDA steeg met 70%. Signicat kende een sterke organische groei en nam drie bedrijven over.