‘Wachtwoordloze toegang maakt World Password Day overbodig’
Een goed wachtwoordbeleid is de eerste verdedigingslinie om aanvallers buiten de bedrijfsnetwerken te houden. World Password Day moet het bewustzijn hierover vergroten. De vraag is echter of zelfs de sterkste wachtwoorden geen misplaatst gevoel van veiligheid geven. Is multi-factor authenticatie (MFA) de oplossing, of moet het gebruik van wachtwoorden misschien helemaal verdwijnen? Security-experts geven hun mening.
World Password Day in een notendop
In 2005 stelde security-onderzoeker Mark Burnett in zijn boek Perfect Passwords voor om een ‘password day’ in te stellen, een dag waarop iedereen alle belangrijke wachtwoorden bij zou werken. Dit inspireerde Intel Security er in 2013 toe om de eerste donderdag van mei om te dopen tot World Password Day.
“Het is een goed idee om minimaal jaarlijks stil te staan bij wachtwoorden en deze te wijzigen in sterkere versies”, zegt Vincent Zeebregts van Fortinet. “Wachtwoorden zijn tenslotte van kritiek belang voor het beveiligen van gevoelige en vertrouwelijke gegevens zoals financiële en medische gegevens en online identiteiten. Althans, in theorie. In de praktijk blijkt dat cybercriminelen erg goed zijn in het hacken, raden of omzeilen van wachtwoorden. Effectieve beveiliging vraagt dus om meer dan alleen sterke wachtwoorden, want cybercriminelen ontwikkelen voortdurend nieuwe aanvalstechnieken.”
Wat kunnen organisaties doen om de wachtwoorddiscipline te verbeteren? “Er zijn beleidsregels nodig die voorkomen dat mensen eenvoudige wachtwoorden kunnen gebruiken of wachtwoorden kunnen hergebruiken”, zegt Chantal ’t Gilde, managing director Benelux & Nordics van Qualys. “Die regels moeten ook voorschrijven welke lengte wachtwoorden moeten hebben en aan welke diversiteit aan lettertekens, cijfers en symbolen ze moeten voldoen. De belangrijkste verbetering is echter het verplichten van MFA of op rollen gebaseerd toegangsbeheer.”
Ook Zeebregts adviseert multi-factorauthenticatie als een vereiste stap tijdens het aanmeldingsproces. “Dat kan door gebruik te maken van fysieke of mobiele tokens, zoals een vingerafdruk, gezichtsherkenning of een eenmalige code. Als cybercriminelen dan een wachtwoord buitmaken, kunnen ze nog steeds geen toegang tot informatie krijgen, omdat ze niet over de extra authenticatiefactor beschikken.”
Sterker dan MFA: biometrische toepassingen
MFA biedt een sterkere verdediging biedt dan wachtwoorden alleen. Veel overheden zien dat ook in en stellen het gebruik van MFA verplicht voor toegang tot hun systemen. Zo zijn er Europese richtlijnen die bepalen dat organisaties MFA in moeten zetten. Een daarvan is Electronic Identities And Trust Services (eIDAS). “In eIDAS zijn criteria vastgelegd om te bepalen of een oplossing wel een MFA is”, zegt Rick Goud, CIO van Zivver. “eIDAS onderscheidt drie betrouwbaarheidsniveau ’s: laag, substantieel en hoog. Het betrouwbaarheidsniveau hoog vereist dat de gebruiker bij de identiteitsverificatie ook ten minste eenmaal fysiek verschijnt. MFA’s met betrouwbaarheidsniveau ‘hoog’ is echter nog niet breed beschikbaar. Totdat dit het geval is, adviseren wij de inzet van 2FA.”
TJ Jermoluk, CEO van Beyond Identity heeft hier een sterke mening over. “Is het gebruik van 2FA niet ronduit gevaarlijk als veel MFA niet veilig genoeg is?” Dat blijkt ook uit het adviesrapport van het Nationaal Cyber Security Centrum (NCSC) dat aangeeft dat niet alle MFA veilig is. Het NCSC zegt weliswaar ook dat 2FA een goed idee is, maar eigenlijk alleen als de MFA-oplossing biometrische toepassingen gebruikt. “Een sms- of emailbericht met een toegangscode kan via zogenoemde man-
in-the-middle-aanvallen nog steeds onderschept worden. Biometrische controle kan dat voorkomen, maar het moet tegelijkertijd natuurlijk wel voldoen aan de richtlijnen van de GDPR (AVG).”
Wachtwoordloze toegang
In de VS is de overheid zich er inmiddels ook van bewust dat cybercriminelen veel MFA-oplossingen kunnen omzeilen. “Daarom introduceerde president Biden de Zero Trust Architecture Strategy”, zegt TJ Jermoluk. “Deze verbiedt het gebruik van MFA middels pushberichten, sms of spraakberichten. Sterke authenticatie is het fundament onder deze zero trust-strategie en de Amerikaanse overheid vereist nu ‘wachtwoordloze’ MFA. Hopelijk volgen andere landen dit voorbeeld om bedrijven en burgers te beschermen tegen cyberaanvallen en gegevensdiefstal. Dan 5 mei 2022 wellicht de laatste World Password Day geweest.”
Meer over
Lees ook
Fortinet lanceert FortiAppSec Cloud, platform voor geavanceerde beveiliging en centraal beheer
Fortinet, introduceert vandaag FortiAppSec Cloud. Dit cloudplatform verenigt alle tools die nodig zijn voor de beveiliging van internetapplicaties en het beheer van hun prestaties. FortiAppSec Cloud stroomlijnt de beveiliging van internetapplicaties en API’s en combineert dat met mogelijkheden als geavanceerde bescherming
Nieuw ITU-adviesorgaan wil onderzeese telecomkabels beter beschermen
Om de beschikbaarheid van onderzeese telecomkabels te versterken, hebben de International Telecommunication Union (ITU) en de International Cable Protection Committee (ICPC) gezamenlijk het International Advisory Body for Submarine Cable Resilience opgericht. Dit nieuwe orgaan zal zich richten op het verbeteren van de weerbaarheid van onderzeese k1
DORA: wat ITOps-teams moeten weten
DORA vestigt een best practice die ThousandEyes bespreekt in The Internet Report: het belang van het nemen van verantwoordelijkheid voor je gehele dienstverleningsketen, inclusief de delen die je niet direct onder controle hebt. Onder DORA zijn financiële instellingen verplicht om zowel hun eigen ICT-infrastructuur als die van hun externe partner1