Vandaag is Wereld Wachtwoord dag. Een goed moment om weer eens stil te staan bij het concept. Wachtwoorden moeten sterk zijn, gebruikers moeten verschillende wachtwoorden onthouden of een wachtwoordmanager gebruiken en dan nog is het de vraag hoe goed ze beschermd zijn. Alternatieven voor wachtwoorden zijn er al lang, maar toch lijken we maar niet van dat wachtwoord af te komen. Hoe lang zitten we nog met wachtwoorden opgescheept en wat kun je als msp doen om je mkb-klanten te beschermen?
Eigenlijk weet iedereen wel dat het anders moet, maar het aantal mensen dat maar één of enkele wachtwoorden gebruikt voor allerlei verschillende diensten, is nog altijd enorm. En de wachtwoorden die mensen gebruiken, zijn dan ook vaak nogal eenvoudig te raden. Bij online beveiliging zijn en blijven wachtwoorden het zwakste onderdeel. Met één hack of datalek kan een wachtwoord op straat komen te liggen. Gebruikt iemand hetzelfde wachtwoord voor verschillende diensten, dan wordt het risico op misbruik nog veel groter.
Dat wachtwoorden ook bij grote diensten kunnen lekken, blijkt uit een aantal incidenten van de afgelopen jaren. Zo werden enkele jaren geleden Zoom-wachtwoorden op het dark web te koop aangeboden en bleken honderdduizenden wachtwoorden van Facebook-gebruikers onveilig te zijn opgeslagen.
Biometrie in plaats van wachtwoord
Daarom komt er steeds betere technologie beschikbaar om het inloggen veiliger én makkelijker te maken. De vingerafdrukscanner is al een aantal jaren in gebruik voor het aanmelden op laptops en telefoons. Omdat een vingerafdruk strikt persoonlijk is, is deze veiliger dan een wachtwoord. Ook gezichtsherkenning is al veel in gebruik voor allerlei apparaten en diensten, bijvoorbeeld op smartphones en in diensten als Windows Hello.
Dat zijn goede alternatieven, maar ze zijn niet honderd procent waterdicht. Zo moet de technologie achter gezichtsherkenning ongelofelijk goed zijn. Is dat niet het geval, dan wordt het heel gemakkelijk om het systeem voor de gek te houden.
Tweestapsverificatie of multifactor-authenticatie
Om het inloggen veiliger te maken, gebruiken veel apps en websites al verplicht tweestapsverificatie. Daarbij moet de gebruiker niet alleen inloggen met een wachtwoord, maar aanvullend bijvoorbeeld een code typen die op de smartphone of in de e-mail verschijnt. Dit is al een stuk veiliger, maar in theorie kunnen een sms en een e-mailbericht ook worden onderschept. Daarom is multifactor-authenticatie (MFA) een veiliger alternatief.
Voor verificatie wordt vaak een combinatie gebruikt van iets wat de gebruiker weet (bijvoorbeeld een wachtwoord), iets wat de gebruiker heeft (bijvoorbeeld mobiele telefoon) en iets wat de gebruiker is (bijvoorbeeld een vingerafdruk of gezichtsherkenning). Die combinatie is een stuk veiliger.
Beveiligingssleutels
Daarom is authenticatie met een fysieke sleutel, die ook bestand is tegen phishingaanvallen, nog veiliger. Deze sleutels of tokens zijn kleine apparaatjes die doen denken aan usb-sticks waarop persoonlijke of biometrische gegevens zoals een pincode, een vingerafdruk of stemgeluid die niet te stelen zijn. Na identificatie met een van deze kenmerken, is een extra beveiliging met een code nog mogelijk. Zo zijn apparaten goed beschermd en kunnen gebruikers zich gemakkelijk bij verschillende apps en websites aanmelden zonder een ingewikkelde procedure. De bekendste zijn de Yubikey-sleutels van de Zweedse fabrikant Yubico. Steeds meer bedrijven maken gebruik van dit soort sleutels.
Google heeft in het kader van Wereld Wachtwoord Dag aangekondigd hardwaresleutels te gaan ondersteunen voor het inloggen bij Google-accounts en zegt een toekomst zonder wachtwoorden voor zich te zien.
Verstandig met wachtwoorden
Nieuwe vormen van authenticatie die wachtwoorden vervangen, zijn onvermijdelijk. Toch zullen de meeste gebruikers, privé en op kantoor, op zijn minst bij een aantal diensten nog wel aangewezen zijn op wachtwoorden. Daarom is het beschermen van wachtwoorden met meerdere factoren nog altijd aan te bevelen. Is het gebruik van wachtwoorden nog nodig, dan is het goed dat medewerkers er verstandig mee omgaan.
- Een sterk wachtwoord kiezen. Dat hoeft niet per se een heel cryptisch wachtwoord met allerlei speciale tekens te zijn. Beter is het om te denken in wachtzinnen. Zo’n zin is door de gebruiker makkelijk te onthouden, maar vanwege de lengte lastig te kraken.
- Tweestapsverificatie of, nog veiliger, multifactor-authenticatie, waarbij gebruikers zich via een extra app identificeren, beschermt gebruikers veel beter dan alleen een wachtwoord.
- Het gebruik van een wachtwoordmanager maakt het inloggen ook een stuk veiliger. Dit is een soort digitale kluis waarin alle wachtwoorden veilig versleuteld worden bewaard. Bovendien kan een wachtwoordmanager zelf lange sterke wachtwoorden genereren zondaar dat de gebruiker die hoeft te onthouden. Er zijn verschillende wachtwoordkluis-oplossingen voor zakelijk gebruik.
- Tot slot blijft het belangrijk om medewerkers te wijzen op de gevaren van phishing, malware en andere vormen van cybercriminaliteit. Wanneer mensen niet zonder nadenken iedere bijlage openen en phishingmails weten te herkennen, zijn ze een stuk veiliger.
Zero trust
Bij traditionele cybersecurity wordt een duidelijk onderscheid gemaakt tussen het eigen netwerk en de buitenwereld. Het interne netwerk is daarbij vertrouwd, waarbij firewalls ongewenst verkeer tegenhouden en het netwerk beschermen. Dat wordt een probleem naarmate steeds meer mobiele devices zich op het netwerk melden, webapplicaties toegang vragen en klanten of patiënten ook gebruik willen maken van het netwerk. Daarom vervangt een Zero Trust-strategie in steeds meer organisaties de traditionele cybersecurity.
Met Zero Trust verklein je het aanvalsoppervlak van het hele netwerk zo veel mogelijk. Dat gebeurt door het netwerk te verdelen in verschillende segmenten die zo goed mogelijk van elkaar zijn afgescheiden. Zo heeft een security-incident alleen gevolgen voor het betreffende segment en niet voor het hele netwerk. Inzicht in data- en verkeersstromen zijn daarbij van groot belang. Het netwerk en de beveiliging ervan is van binnen naar buiten ingericht. Al het verkeer binnen het netwerk wordt geïnspecteerd en gelogd.
Bij zero trust geldt de leidraad never trust, always verify. Dat betekent dat je verificatie eist van je medewerkers, de devices waar ze mee werken én elke applicatie die ze gebruiken. Daarbij hoeft een goede beveiliging het gebruikersgemak niet in de weg te staan. Een goed beveiligde IT-omgeving kan ook steeds vaker gebruiksvriendelijk zijn.
