Hoe vaak komt het wel niet voor dat je op kantoor een applicatie niet kunt opstarten omdat je je wachtwoord bent vergeten? Waardoor je vervolgens eindeloos aan het zoeken bent naar opgeschreven wachtwoorden. Of misschien maak je je er wel schuldig aan dat je hetzelfde wachtwoord voor verschillende accounts gebruikt. Maak je geen zorgen, je bent niet de enige: mensen kiezen nou eenmaal eerder voor gemak dan voor veiligheid.
Volgens het ons onderzoek Business @ Work 2019 maken grote ondernemingen gebruik van gemiddeld 163 verschillende (cloud)applicaties om werknemers hun werk zo gemakkelijk mogelijk te maken. Al deze applicaties hebben hun eigen login, waardoor voor gebruikers een enorme verzameling aan wachtwoorden ontstaat. Om al deze wachtwoorden te kunnen onthouden, maken werknemers vaak gebruik van onveilige methodes, met alle gevolgen van dien. Volgens het Verizon 2019 Data Breach Investigations Report is 80 procent van alle hacker-gerelateerde beveiligingsincidenten het resultaat van zwakke of gecompromitteerde wachtwoorden, terwijl nog niet eens een derde (29 procent) van alle incidenten betrekking heeft op gestolen wachtwoorden. De gevolgen van een incident kunnen funest zijn voor een bedrijf: één gestolen dataset kost gemiddeld 134 euro, terwijl de gemiddelde schade per volledig incident 3,51 miljoen euro bedraagt.
Om dit probleem aan te pakken, moeten we af van een falend authenticatiesysteem dat slechts op basis van wachtwoorden werkt en in plaats daarvan op zoek naar andere, meer geschikte, manieren om de veiligheid te versterken en onze persoonlijke gegevens veilig te houden.
Ongeschiktheid
Recent bleek uit een onderzoek dat 78 procent van de ondervraagden gebruik maakt van een onveilige methode voor het onthouden van zijn of haar wachtwoord. Een derde geeft toe hetzelfde wachtwoord voor verschillende accounts te gebruiken. Maar is dit de schuld van de werknemers. Uit wetenschappelijk onderzoek blijkt dat het onthouden van meer dan twee of drie sterke wachtwoorden, meer van het menselijk geheugen vergt dan mogelijk is. Hierdoor neemt de kans op het gebruik van herhaalwachtwoorden toe.
Onderzoek wijst keer op keer uit dat veel mensen kiezen voor een wachtwoord dat makkelijk te onthouden is of een emotionele waarde heeft. Omdat cyberaanvallen steeds geavanceerder en persoonlijker worden, neemt de kans toe dat een wachtwoord gekraakt wordt en dat persoonlijke gegevens zo aan risico’s worden blootgesteld. Doordat steeds meer diensten binnen ondernemingen gedigitaliseerd worden, zal het aantal (zwakke) wachtwoorden alleen maar toenemen.
Wachtwoorddilemma opgelost
Dankzij technologische ontwikkelingen zoals de biometrie, kunnen we op lange termijn afscheid nemen van wachtwoorden en is zelfs een wachtwoordvrije toekomst aanstaande.
Er zijn al plekken op de wereld waar wachtwoorden vervangen zijn voor biometrische gegevens. Zoals bijvoorbeeld bij het Indiase Aadhaar-identiteitssysteem. Dit systeem geeft burgers een uniek twaalf-cijferig nummer op basis van hun biometrische en demografische gegevens, dat hen toegang geeft tot sociale voorzieningen, belastingafdrachten en sociale diensten. Ook in Estland is de overheid een soortgelijk initiatief gestart via een zogeheten-Identity systeem. Dit geeft burgers een digitale identiteit via een chip-en-pin e-card.
Nationale identiteitsystemen zoals deze geven ondernemingen hoop om vergelijkbare digitale identiteiten op de werkvloer aan te maken, bestaande uit meer persoonlijke data. In tegenstelling tot wachtwoorden en gebruikersnamen zijn persoonlijke gegevens zoals een vingerafdruk voor iedereen uniek en veel moeilijker na te maken of zelfs te breken.
Het onderzoek laat zien dat biometrie steeds meer geaccepteerd wordt en er een groeiende vraag is naar biometrie op de werkvloer als extra beveiligingslaag of op de lange termijn zelfs als vervanging van wachtwoorden. Maar liefst zeven op de tien respondenten vinden dat het gebruik van biometrische technologie op de werkplek voordelen biedt. Echter, 86 procent van de respondenten heeft enige bedenkingen bij het delen van biometrische gegevens met zijn werkgever. Dit toont aan dat werknemers klaar zijn voor het gebruiksgemak, maar dat het vertrouwen in het gebruik en de bescherming van gegevens door organisaties nog gewonnen moet worden.
Langere termijn
Hoewel biometrie misschien meer een langere termijn doel is, kunnen organisaties wel al beginnen met het overnemen van contextuele factoren om authenticatieprocessen makkelijker te maken. Factoren zoals bijvoorbeeld geolokalisatie en ip-adressen kunnen helpen bij het valideren van een gebruiker en hem of haar toegang geven tot de applicaties op de werkplek. Wanneer deze factoren als ‘betrouwbaar’ worden gezien, kan toegang worden verleend zonder dat er een wachtwoord moet worden ingevoerd.
In de huidige samenleving blijft de druk voor het aanpakken van incidenten van cybercriminaliteit toenemen. We moeten er allemaal aan bijdragen dat we waakzamer en zorgvuldiger omgaan met informatie die bij authenticatieprocessen wordt gebruikt. Maar dat moet niet alleen de verantwoordelijkheid van de medewerkers zijn. Bedrijven moeten af van hun wachtwoordafhankelijkheid, een autentificatiemethode die al veel te lang aan het falen is. Door gebruik te maken van wachtwoordvrije technologieën zoals biometrie kunnen bedrijven de veiligheid verhogen en data beveiligingsincidenten effectiever aanpakken.
Walter Geers, country manager Okta Benelux
Complexe wachtwoorden onthouden is inderdaad niet altijd gemakkelijk. Daarom kan iedereen best een paswoordmanager gebruiken, dan moet je maar één wachtwoord onthouden. Er zijn heel wat freeware paswoordmanagers, cfr. https://www.pcmag.com/roundup/331555/the-best-free-password-managers
Contextuele authenticatiefactoren zoals geolokalisatie en ip-adressen geven vrij veel valse waarschuwingen of blokkeringen. Een werknemer op vakantie of seminarie in het buitenland die even zijn webmail wil checken geeft al gauw onterechte problemen (“false positives”). Multifactor Authenticatie (een wachtwoord aangevuld met een SMS-code of authenticator app) is al veel veiliger dan enkel een wachtwoord en heeft geen last van dergelijke false positives