Wachtwoorden en beveiliging - waar gaat het heen?

Wachtwoorden en beveiliging - waar gaat het heen?

Redactie WINMAG Pro
We weten het allemaal, je hebt héle zwakke wachtwoorden (welkom123) en iets sterkere (Wel!kOmmmm#@!). Een goed wachtwoordbeleid is de eerste verdedigingslinie om aanvallers buiten de bedrijfsnetwerken te houden.

Het World Password Day van afgelopen week moet het bewustzijn hierover vergroten. De vraag is echter of zelfs de sterkste wachtwoorden geen misplaatst gevoel van veiligheid geven. Is multi-factor authenticatie (MFA) de oplossing, of moet het gebruik van wachtwoorden misschien helemaal verdwijnen? Security-experts geven hun mening.

Wat is World Password Day ook alweer?

In 2005 stelde security-onderzoeker Mark Burnett in zijn boek Perfect Passwords voor om een ‘password day’ in te stellen, een dag waarop iedereen alle belangrijke wachtwoorden bij zou werken. Dit inspireerde Intel Security er in 2013 toe om de eerste donderdag van mei om te dopen tot World Password Day.

“Het is een goed idee om minimaal jaarlijks stil te staan bij wachtwoorden en deze te wijzigen in sterkere versies”, zegt Vincent Zeebregts van Fortinet. “Wachtwoorden zijn tenslotte van kritiek belang voor het beveiligen van gevoelige en vertrouwelijke gegevens zoals financiële en medische gegevens en online identiteiten. Althans, in theorie. In de praktijk blijkt dat cybercriminelen erg goed zijn in het hacken, raden of omzeilen van wachtwoorden. Effectieve beveiliging vraagt dus om meer dan alleen sterke wachtwoorden, want cybercriminelen ontwikkelen voortdurend nieuwe aanvalstechnieken.”

Wat kunnen organisaties doen om de wachtwoorddiscipline te verbeteren? “Er zijn beleidsregels nodig die voorkomen dat mensen eenvoudige wachtwoorden kunnen gebruiken of wachtwoorden kunnen hergebruiken”, zegt Chantal ’t Gilde, managing director Benelux & Nordics van Qualys. “Die regels moeten ook voorschrijven welke lengte wachtwoorden moeten hebben en aan welke diversiteit aan lettertekens, cijfers en symbolen ze moeten voldoen. De belangrijkste verbetering is echter het verplichten van MFA of op rollen gebaseerd toegangsbeheer.”

Ook Zeebregts adviseert multi-factorauthenticatie als een vereiste stap tijdens het aanmeldingsproces. “Dat kan door gebruik te maken van fysieke of mobiele tokens, zoals een vingerafdruk, gezichtsherkenning of een eenmalige code. Als cybercriminelen dan een wachtwoord buitmaken, kunnen ze nog steeds geen toegang tot informatie krijgen, omdat ze niet over de extra authenticatiefactor beschikken.”

World Password Day, wachtwoord, sterk wachtwoord, wachtwoordbeleid, security

Sterker dan MFA: biometrische toepassingen

MFA biedt een sterkere verdediging biedt dan wachtwoorden alleen. Veel overheden zien dat ook in en stellen het gebruik van MFA verplicht voor toegang tot hun systemen. Zo zijn er Europese richtlijnen die bepalen dat organisaties MFA in moeten zetten. Een daarvan is Electronic Identities And Trust Services (eIDAS). “In eIDAS zijn criteria vastgelegd om te bepalen of een oplossing wel een MFA is”, zegt Rick Goud, CIO van Zivver. “eIDAS onderscheidt drie betrouwbaarheidsniveau ’s: laag, substantieel en hoog. Het betrouwbaarheidsniveau hoog vereist dat de gebruiker bij de identiteitsverificatie ook ten minste eenmaal fysiek verschijnt. MFA’s met betrouwbaarheidsniveau ‘hoog’ is echter nog niet breed beschikbaar. Totdat dit het geval is, adviseren wij de inzet van 2FA.”

TJ Jermoluk, CEO van Beyond Identity heeft hier een sterke mening over. “Is het gebruik van 2FA niet ronduit gevaarlijk als veel MFA niet veilig genoeg is?” Dat blijkt ook uit het adviesrapport van het Nationaal Cyber Security Centrum (NCSC) dat aangeeft dat niet alle MFA veilig is. Het NCSC zegt weliswaar ook dat 2FA een goed idee is, maar eigenlijk alleen als de MFA-oplossing biometrische toepassingen gebruikt. “Een sms- of emailbericht met een toegangscode kan via zogenoemde man-in-the-middle-aanvallen nog steeds onderschept worden. Biometrische controle kan dat voorkomen, maar het moet tegelijkertijd natuurlijk wel voldoen aan de richtlijnen van de GDPR (AVG).”

In de VS wordt sommige MFA verboden

In de VS is de overheid zich er inmiddels ook van bewust dat cybercriminelen veel MFA-oplossingen kunnen omzeilen. “Daarom introduceerde president Biden de Zero Trust Architecture Strategy”, zegt TJ Jermoluk. “Deze verbiedt het gebruik van MFA middels pushberichten, sms of spraakberichten. Sterke authenticatie is het fundament onder deze zero trust-strategie en de Amerikaanse overheid vereist nu ‘wachtwoordloze’ MFA. Hopelijk volgen andere landen dit voorbeeld om bedrijven en burgers te beschermen tegen cyberaanvallen en gegevensdiefstal. Dan is 5 mei 2022 wellicht de laatste World Password Day geweest.”

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie