De it-wereld is al jaren op weg naar het moment dat gebruikersnamen en wachtwoorden de prullenbak in kunnen. Zo werd in de jaren tachtig al de eerste versie van authenticatie zonder wachtwoord geïntroduceerd. Maar naar welk toegangssysteem gaan we uiteindelijk over, en wanneer?
Als eindgebruikers zijn we medereizigers op het pad dat cybersecuritybedrijven en techgiganten bewandelen, of we dat nu willen of niet. Onlangs schreef ik al hoe belangrijk het is om in het heden een degelijk wachtwoordbeleid te hebben voor alle medewerkers in de organisatie. En dat multi-factorauthenticatie (mfa) daar deel van zou moeten uitmaken – al zijn de meeste vormen van mfa te phishen. Net als al die wachtwoorden natuurlijk.
Juist daarom wordt er zoveel tijd gestoken in het ontwikkelen van alternatieve toegangsmethodes die beter beschermen dan zestiencijferige wachtwoorden en tweestapsauthenticatie. Zo’n alternatief moet van goeden huize komen: het moet veiliger en gebruiksvriendelijker zijn dan een wachtwoord – nog altijd de meest gebruikte vorm van beveiliging wereldwijd.
Het gemak voor de gebruiker is doorslaggevend voor het succes van een alternatieve toegangsmethode. Want als een medewerker de voorkeur geeft aan een (slecht) wachtwoord boven gehannes met fysieke beveiligingssleutels en driestapsauthenticatie, dan ben je als organisatie nog steeds niet goed beschermd tegen internetcriminelen.
Methodes
Er bestaan al een aantal methodes die in meer of mindere mate veilig én gebruiksvriendelijk zijn. Dat zijn:
- Zero-login
Een toegangssysteem gebaseerd op het gedrag van gebruikers. Het verleent toegang op basis van een combinatie van factoren die bij een individuele gebruiker horen, zoals hoe snel iemand typt, hoe hard de toetsen worden ingedrukt en op welke locatie en tijdstippen de gebruiker doorgaans inlogt. Amazon is dit systeem aan het ontwikkelen, maar veel schot zit er niet in.
- Windows Hello
Dit systeem is al in gebruik. Inloggen gaat met een pincode, gezichtsherkenning of een vingerafdrukscan. Het biedt organisaties echter niet genoeg bescherming; zeker als met een pincode gewerkt wordt is het toegangssysteem vrij gemakkelijk te phishen.
- Fido2
Een mooi systeem dat ook reeds gebruikt wordt. Bij deze vorm van toegang verlenen moet de gebruiker een vingerafdruk geven of een fysieke beveiligingssleutel hebben. Het nadeel is dat Fido2 nog niet op alle platforms beschikbaar is. Apple- en Linux-gebruikers kunnen er nog niets mee.
- Passkeys
Dit toegangssysteem is gebaseerd op Fido2 en Single Sign-On, maar zit nog weer wat beter in elkaar. Hier is de telefoon van de gebruiker het middel voor toelating. Met biometrie op je telefoon (gezichtsherkenning of een vingerafdrukscan) kun je, met behulp van bluetooth, op je computer inloggen. Het systeem is in combinatie met mfa in te zetten om een en ander nog veiliger te maken. Ook kunnen passkeys werken voor alle platforms; het maakt dus niet of een gebruiker een Android- of Apple-toestel heeft en wat voor besturingssysteem er op de computer staat (al werken Microsoft en Linux op dit moment nog aan implementatie, voor Apple en Google is het er al).
Omdat passkeys gebruiksvriendelijk zijn, geloof ik het meest in dit toegangssysteem. Iedereen is zo verknocht en gewend aan het gebruik van mobiele telefoons – en weet al hoe ermee in te loggen in allerhande apps – dat het slechts een klein stapje is om ermee in te loggen op een werkcomputer. Voor organisaties is het systeem overigens ook makkelijk te implementeren. Omdat Fido, de maker, een alliantie is hoeft er bovendien geen geld betaald te worden voor het gebruik ervan.
Daarnaast zijn passkeys simpelweg de best beschermende optie die er is, zeker als het systeem samen met mfa wordt ingezet. Ook aan het veelvoorkomende probleem van een zoekgeraakte of gestolen telefoon is gedacht. Het systeem kan met meerdere devices werken die met elkaar in verbinding staan. Op het moment dat een gebruiker zijn telefoon kwijt is, kan hij met een ander apparaat inloggen. Een kwaadwillende kan met een gestolen telefoon niet inloggen.
Nagel aan de doodskist
Met passkeys hebben gebruikers eindelijk een toegangssysteem dat én betere beveiliging biedt dan wachtwoorden én rekening houdt met de wensen van eindgebruikers. Daarom zouden passkeys echt weleens de nagel aan de doodskist van wachtwoorden kunnen zijn. Zeker als je bedenkt dat er vraag naar is: volgens Statista groeit de markt voor ‘passwordless’ naar 53 miljard dollar in 2030. En uit een onderzoek van Lastpass blijkt dat 92 procent van bedrijven wereldwijd geloven dat inloggen zonder wachtwoorden de toekomst is.
Maar als de industrie als sinds de jaren tachtig bezig is, waarom duurt het dan toch zo lang? Ik stipte al aan dat wachtwoorden zo wijdverbreid zijn omdat het een simpel systeem is. Dat maakt het lastig om af te schaffen. Tel daarbij op dat alternatieve toegangsmethodes de afgelopen jaren vaak technisch wel goed waren maar te weinig aandacht hadden voor gebruiksvriendelijkheid. Omdat dat nu verandert, hebben alternatieven eindelijk een kans op grootschalige toepassing.
Social engineering
Bovendien weten organisaties inmiddels wat de impact kan zijn van phishing en andere vormen van social engineering op hun bedrijfsvoering. Het ene na het andere bedrijf komt vanwege een datalek of ransomware-aanval in het nieuws. Het achterhalen van wachtwoorden van medewerkers – tot aan de directeur toe – is voor internetcriminelen zo’n koud kunstje geworden dat het bedrijfsleven er nu van doordrongen is dat het echt snel betere bescherming moet implementeren.
Garantie dat een organisatie nooit getroffen wordt door een cyberaanval is er niet, maar door wachtwoorden de deur uit te doen wordt het hackers een stuk moeilijker gemaakt.