Sophos: Toekomst zonder wachtwoorden met passkeys

De beperkingen van op kennis gebaseerde bescherming

Twee- of multifactorauthenticatie (2FA/MFA)-oplossingen worden op grote schaal gebruikt. Net als bij een wachtwoord vertrouwen deze extra beschermingslagen vaak op op kennis gebaseerde geheime codes die worden gedeeld via sms of authenticatie-applicaties. Helaas zijn veel van deze methoden nog steeds kwetsbaar. Hackers beschikken over tools die deze beveiligingen eenvoudig kunnen omzeilen door phishing te automatiseren of sessie-cookies te stelen, zoals evilginx2.

Dit betekent dat we, door kwetsbare toevoegingen, voortdurend het moment uitstellen waarop wachtwoorden overbodig worden. De realiteit van het cyberdreigingslandschap zou organisaties moeten aanzetten tot een paradigmaverschuiving, weg van het wachtwoordmodel en op kennis gebaseerde bescherming.

WebAuthn en toegangssleutels: naar sterkere multifactorauthenticatie?

Het WebAuthn-protocol – dat met name toegangssleutels of passkeys gebruikt – wordt door cyberbeveiligingsexperts gezien als dé manier om bescherming te bieden tegen phishing. Als iemand een account aanmaakt via deze methode, dan wordt er een uniek publiek/privaat cryptografisch sleutelpaar gegenereerd. Deze worden vervolgens lokaal opgeslagen: de publieke sleutel op de server van de locatie en de private sleutel op het apparaat van de gebruiker, samen met de naam van de locatie en de gebruikers-ID.

De gebruiker heeft niet langer een wachtwoord of geheime code nodig om in te loggen. In plaats daarvan stuurt de server een digitaal authenticatieverzoek dat alleen kan worden opgelost als de gebruiker fysiek in het bezit is van een apparaat en als de gebruiker kan bewijzen dat hij/zij de eigenaar is van de private sleutel – bijvoorbeeld via biometrische verificatie. Authenticatie is dus nog steeds gebaseerd op twee factoren, maar deze zijn niet afhankelijk van de kennis van de gebruiker. Fysiek bezit van een apparaat en de biometrische kenmerken van de gebruiker tellen. Daarom kunnen ze in principe niet worden gestolen met conventionele phishingmethoden. 

Bovendien bevat het authenticatieproces een tweerichtingscontrole waarmee de gebruiker de identiteit van de service kan verifiëren aan de hand van het domein van de locatie, dat wordt verzonden wanneer de server om authenticatie vraagt. In tegenstelling tot methoden die gebruikmaken van op kennis gebaseerde wachtwoorden en geheime codes, is de gebruiker niet langer de enige die zijn/haar legitimiteit moet bewijzen.

Voorzorgsmaatregelen voor een krachtige, vereenvoudigde authenticatie

Deze nieuwe industriestandaard, gebaseerd op de FIDO2-standaard, lijkt bewezen bescherming te bieden tegen phishing – de belangrijkste dreiging voor diefstal van inloggegevens – en tegelijkertijd de authenticatie voor gebruikers te vereenvoudigen. Maar hoewel WebAuthn een grote stap voorwaarts is, zijn er nog steeds verschillende kwetsbaarheden en blijft waakzaamheid nodig:

• Het is essentieel dat het apparaat of de cloud waar de sleutels worden opgeslagen, veilig is;
• Voor de succesvolle overstap naar WebAuthn is buy-in en adoptie door organisaties en afdelingen nodig;
• De diefstal van sessie-cookies blijft een aanvalsvector die cybercriminelen kunnen gebruiken om deze bescherming te omzeilen.

Het is belangrijk om te onthouden dat cybercriminelen hun aanvalsmethoden voortdurend perfectioneren. Daarom zou het implementeren van deze technologieën een strategische beveiligingsprioriteit moeten zijn van organisaties.

Chester Wisniewski, Director, Global Field CISO bij Sophos, zegt: “We moeten af van het vertrouwen op wachtwoorden en gedeelde geheimen. Toegangssleutels of passkeys bieden de krachtigste oplossing voor het bouwen aan een toekomst zonder wachtwoorden, phishing en, hopelijk, grootschalige compromittering.”