Zowel op het werk als thuis geldt: snel en veilig wifi is vanzelfsprekend. Maar komt het op beveiliging aan, dan ziet de realiteit er heel anders uit. Of weet jij wel altijd wie zich in jouw bedrijfsnetwerk bevindt?
Elke werknemer, bezoeker en andere gebruiker van het wifi-netwerk brengt voor bedrijven een groot veiligheidsrisico met zich mee: de cyberaanval. Een risico dat elk bedrijf wil beperken.
Uit onderzoek blijkt dat in de afgelopen twee jaar 68 procent van de bedrijven het slachtoffer is geworden van een cyberaanval. Sommige aanvallen worden op tijd ontdekt, zoals de poging van Russische geheim agenten in april vorig jaar om het OPCW (Organisatie voor het Verbod op Chemische Wapens) in Den Haag te hacken. Dat is niet altijd het geval. Genoeg reden om vraagtekens te zetten bij de manier waarop we omgaan met wifi-wachtwoorden
Algemene wachtwoorden zorgen ervoor dat bedrijven als netwerkbeheerders hun controle over de wifi verliezen. Werknemers en bezoekers zouden idealiter automatisch een uniek wachtwoord moeten krijgen. Hiermee wordt het risico van cyberaanvallen en gegevensdiefstal aanzienlijk verkleind. Bekende methoden voor het toekennen van individuele wifi-wachtwoorden zijn private pre-shared keys (ppsk) en lancom enhanced passphrase security users (leps-u).
Gegevensbeveiliging
Voor bedrijven die met gevoelige en vertrouwelijke gegevens werken, is gegevensbeveiliging essentieel. Deze gegevens zijn, samen met persoonsgegevens van werknemers, het primaire doelwit voor hackers.
Een algemeen wifi-wachtwoord biedt bezoekers of werknemers een eenvoudige manier om in te loggen op het bedrijfsnetwerk. Vaak delen alle wifi-apparaten slechts één algemeen wachtwoord (pre-shared key, psk). Gebruikers hoeven dus maar één wachtwoord te onthouden om verschillende wifi-apparaten te verbinden met het netwerk. Enerzijds leidt dit tot meer gebruikersgemak, anderzijds bestaat het risico dat een wachtwoord verloren gaat en in handen komt van onbevoegden.
De mens als risicofactor mag ook niet worden onderschat. Wanneer medewerkers weggaan bij een bedrijf, weten ze nog altijd het wachtwoord. In beide situaties moet het wachtwoord omwille van de veiligheid worden gewijzigd. Dit is echter onnodig werk en is te vermijden.
Individuen
Een oplossing voor deze situatie is het gebruik van ppsk, een uitbreiding van de psk-methode. Een ppsk is een uniek wifi-wachtwoord dat wordt toegewezen aan individuen, groepen of apparaten voor een enkele ssid (service set identifier).
Dit houdt in dat er eerst individuele gebruikersgroepen (bijvoorbeeld bezoekers en medewerkers) worden aangemaakt. Deze groepen kunnen aanvullend worden toegewezen aan een vlan, waardoor ze alleen toegang hebben tot bepaalde delen van het netwerk. Hierdoor loopt het gehele draadloze netwerk aanzienlijk minder risico op aanvallen van buitenaf. Als het wachtwoord van een gebruiker verloren gaat, wordt het risico van misbruik voor andere doeleinden tenietgedaan door dat specifieke wachtwoord te verwijderen. Op die manier is het gat in de beveiliging gedicht. Ppsk is een standaardonderdeel van lancom enhanced passphrase security-user (leps-u).
Internet of things
Uit een enquête onder deskundigen over it-beveiliging in 2025 blijkt dat zij schatten dat 34 procent van de aanvallen op het internet of things (IoT) zal zijn gericht. Dit is niet de enige reden waarom ppsk steeds belangrijker wordt. Wifi-IoT-apparaten zijn nog vaak onvoldoende beschermd tegen aanvallen op het bedrijfsnetwerk en worden steeds vaker het doelwit van hackers. Zij proberen het bedrijfsnetwerk binnen te dringen via deze apparaten die op wifi zijn aangesloten, zoals slimme koffiezetapparaten.
Het gebruik van unieke wifi-wachtwoorden die via ppsk worden gegenereerd, maakt het hackers een stuk moeilijker. Hiermee is een kwetsbaarheid sneller te identificeren en koppelen aan een bepaalde gebruiker. Alle andere wachtwoorden blijven geldig en geheim. Zelfs als een wachtwoord in verkeerde handen valt, worden slechts één apparaat en één gebruiker getroffen.
Veelal kunnen IoT-apparaten alleen verbinding maken met het netwerk via de wpa(2)-psk-authenticatiemethode. Dit gebeurt via een (gemeenschappelijk) wifi-wachtwoord. In veel gevallen is het gebruik van de 802.1X-authenticatiemethode onuitvoerbaar. Als je toch individuele aanmeldgegevens aan elk IoT-apparaat wilt toewijzen – en dus toegang op gebruikersniveau wilt regelen – is de ppsk-methode een goede optie.
Ppsk geeft bedrijven volledige controle over wie toegang heeft tot de wifi. De kans op een succesvolle aanval op het bedrijfsnetwerk wordt aanzienlijk verkleind door wachtwoorden toe te kennen aan individuen en groepen. Als extra veiligheidstoevoeging naast leps-u (ppsk) bestaat ook nog leps-mac. Dit biedt een extra kolom in de access control list en kent aan elk mac-adres een individueel wachtwoord toe. Deze unieke combinatie van wachtwoord en mac-adres maakt het spoofen van de mac-adressen zinloos en leps-mac sluit zo een mogelijke aanval op de access control list uit.