‘Wachtwoordloze toegang maakt World Password Day overbodig’

pixabay wachtwoord

Een goed wachtwoordbeleid is de eerste verdedigingslinie om aanvallers buiten de bedrijfsnetwerken te houden. World Password Day moet het bewustzijn hierover vergroten. De vraag is echter of zelfs de sterkste wachtwoorden geen misplaatst gevoel van veiligheid geven. Is multi-factor authenticatie (MFA) de oplossing, of moet het gebruik van wachtwoorden misschien helemaal verdwijnen? Security-experts geven hun mening.

World Password Day in een notendop

In 2005 stelde security-onderzoeker Mark Burnett in zijn boek Perfect Passwords voor om een ‘password day’ in te stellen, een dag waarop iedereen alle belangrijke wachtwoorden bij zou werken. Dit inspireerde Intel Security er in 2013 toe om de eerste donderdag van mei om te dopen tot World Password Day.

“Het is een goed idee om minimaal jaarlijks stil te staan bij wachtwoorden en deze te wijzigen in sterkere versies”, zegt Vincent Zeebregts van Fortinet. “Wachtwoorden zijn tenslotte van kritiek belang voor het beveiligen van gevoelige en vertrouwelijke gegevens zoals financiële en medische gegevens en online identiteiten. Althans, in theorie. In de praktijk blijkt dat cybercriminelen erg goed zijn in het hacken, raden of omzeilen van wachtwoorden. Effectieve beveiliging vraagt dus om meer dan alleen sterke wachtwoorden, want cybercriminelen ontwikkelen voortdurend nieuwe aanvalstechnieken.”

Wat kunnen organisaties doen om de wachtwoorddiscipline te verbeteren? “Er zijn beleidsregels nodig die voorkomen dat mensen eenvoudige wachtwoorden kunnen gebruiken of wachtwoorden kunnen hergebruiken”, zegt Chantal ’t Gilde, managing director Benelux & Nordics van Qualys. “Die regels moeten ook voorschrijven welke lengte wachtwoorden moeten hebben en aan welke diversiteit aan lettertekens, cijfers en symbolen ze moeten voldoen. De belangrijkste verbetering is echter het verplichten van MFA of op rollen gebaseerd toegangsbeheer.”

Ook Zeebregts adviseert multi-factorauthenticatie als een vereiste stap tijdens het aanmeldingsproces. “Dat kan door gebruik te maken van fysieke of mobiele tokens, zoals een vingerafdruk, gezichtsherkenning of een eenmalige code. Als cybercriminelen dan een wachtwoord buitmaken, kunnen ze nog steeds geen toegang tot informatie krijgen, omdat ze niet over de extra authenticatiefactor beschikken.”

Sterker dan MFA: biometrische toepassingen

MFA biedt een sterkere verdediging biedt dan wachtwoorden alleen. Veel overheden zien dat ook in en stellen het gebruik van MFA verplicht voor toegang tot hun systemen. Zo zijn er Europese richtlijnen die bepalen dat organisaties MFA in moeten zetten. Een daarvan is Electronic Identities And Trust Services (eIDAS). “In eIDAS zijn criteria vastgelegd om te bepalen of een oplossing wel een MFA is”, zegt Rick Goud, CIO van Zivver. “eIDAS onderscheidt drie betrouwbaarheidsniveau ’s: laag, substantieel en hoog. Het betrouwbaarheidsniveau hoog vereist dat de gebruiker bij de identiteitsverificatie ook ten minste eenmaal fysiek verschijnt. MFA’s met betrouwbaarheidsniveau ‘hoog’ is echter nog niet breed beschikbaar. Totdat dit het geval is, adviseren wij de inzet van 2FA.”

TJ Jermoluk, CEO van Beyond Identity heeft hier een sterke mening over. “Is het gebruik van 2FA niet ronduit gevaarlijk als veel MFA niet veilig genoeg is?” Dat blijkt ook uit het adviesrapport van het Nationaal Cyber Security Centrum (NCSC) dat aangeeft dat niet alle MFA veilig is. Het NCSC zegt weliswaar ook dat 2FA een goed idee is, maar eigenlijk alleen als de MFA-oplossing biometrische toepassingen gebruikt. “Een sms- of emailbericht met een toegangscode kan via zogenoemde man-

in-the-middle-aanvallen nog steeds onderschept worden. Biometrische controle kan dat voorkomen, maar het moet tegelijkertijd natuurlijk wel voldoen aan de richtlijnen van de GDPR (AVG).”

Wachtwoordloze toegang

In de VS is de overheid zich er inmiddels ook van bewust dat cybercriminelen veel MFA-oplossingen kunnen omzeilen. “Daarom introduceerde president Biden de Zero Trust Architecture Strategy”, zegt TJ Jermoluk. “Deze verbiedt het gebruik van MFA middels pushberichten, sms of spraakberichten. Sterke authenticatie is het fundament onder deze zero trust-strategie en de Amerikaanse overheid vereist nu ‘wachtwoordloze’ MFA. Hopelijk volgen andere landen dit voorbeeld om bedrijven en burgers te beschermen tegen cyberaanvallen en gegevensdiefstal. Dan 5 mei 2022 wellicht de laatste World Password Day geweest.”

Lees ook
Wireshark / SharkFest Europe november 2023 Brussel

Wireshark / SharkFest Europe november 2023 Brussel

SharkFest, Wireshark Developer and User Conference gelanceerd in 2008, is een reeks jaarlijkse educatieve conferenties georganiseerd in verschillende delen van de wereld en gericht op het delen van kennis, ervaring en best practices tussen de ontwikkelaars en gebruikersgemeenschappen van Wireshark.

DeepInspect en NetWitness beginnen een joint venture

DeepInspect en NetWitness beginnen een joint venture

DeepInspect en NetWitness, wereldleiders op het gebied van cybersecurity, zijn verheugd een strategische technologische samenwerking aan te kondigen waarbij de integratie van OT- en IT-netwerken radicaal zullen veranderen. Deze innovatieve samenwerking heeft tot doel een baanbrekende oplossing te leveren die alles wat momenteel op de markt beschikbaar...

Zevende editie NLSecure[ID] van KPN Security in teken van vertrouwen

Zevende editie NLSecure[ID] van KPN Security in teken van vertrouwen

We zijn voor onze digitale veiligheid steeds afhankelijker van anderen. Dat vraagt om een sterk vertrouwen in elkaars weerbaarheid. Maar hoe bewaak je dat vertrouwen, bij verdeelde belangen, in zoiets ongrijpbaars als cyberspace en bij een digitaal incident? KPN Security zoekt samen met topsprekers op 26 september tijdens de liveshow NLSecure[ID] naar...