De traditionele gebruikersnaam en wachtwoord zijn steeds kwetsbaarder geworden. Op het internet wemelt het van de lijsten met gestolen naam/wachtwoord-combinaties. En anders zijn er wel manieren om tegenwoordig redelijk snel te achterhalen wat de inlogggevens zijn, hetzij door brute computerkracht of omdat mensen nu eenmaal de neiging hebben om iets te kiezen wat ze gemakkelijk kunnen onthouden.
Als IT-dienstverlener neem je daar voor je klanten natuurlijk ook geen genoegen meer mee. Er zijn genoeg (nieuwe) technologieën beschikbaar op het gebied van authenticatie. Laten we de belangrijkste eens onder de loep nemen.
1. Zero-Trust Architecturen: ‘trust no one’
De opkomst van zero-trust architectuur is een van de meest revolutionaire ontwikkelingen van de laatste jaren op het gebied van IT-beveiliging en authenticatie. Het zero-trust model gaat ervan uit dat geen enkel apparaat, gebruiker of netwerk standaard te vertrouwen is, zelfs niet binnen de perimeter van het bedrijfsnetwerk. Dit betekent dat elke poging tot toegang tot systemen of gegevens streng gecontroleerd en gevalideerd wordt.
Zero-trust is gebaseerd op het concept van microsegmentatie, waarbij netwerken worden opgesplitst in kleinere segmenten en toegang tot elk segment afzonderlijk wordt gecontroleerd. In een zero-trust model moeten gebruikers en apparaten zich continu authenticeren en autoriseren op basis van de context van hun verzoek, zoals locatie, apparaatstatus en gedrag.
Zero-trust in de praktijk
Voor jou als IT-dienstverlener betekent de implementatie van een zero-trust model dat je je klanten moet helpen bij het herontwerpen van de netwerkinfrastructuur en het beveiligingsbeleid. Dit is best complex, vooral voor mkb-klanten die gewend zijn aan een simpele traditionele firewall. Maar zero-trust biedt belangrijke voordelen, zoals het minimaliseren van laterale bewegingen van aanvallers en een betere bescherming tegen insider threats.
Een van de nieuwste trends binnen zero-trust is de integratie van geautomatiseerde beveiligingstools. Deze tools kunnen afwijkend gedrag in realtime detecteren en onmiddellijk maatregelen nemen, zoals het blokkeren van verdachte gebruikers of het beperken van toegang tot gevoelige systemen.
2. Biometrischeauthenticatie: niet te vervalsen
Het grote voordeel van biometrische authenticatie is dat het vrijwel niet kan worden vervalst. Vingerafdrukken, gezichten en irissen zijn nu eenmaal (nog) niet na te maken. Veel moderne apparaten, zoals smartphones en laptops, zijn tegenwoordig al uitgerust met biometrische authenticatiemogelijkheden. Windows Hello is bijvoorbeeld een populaire oplossing voor gezichtsherkenning en vingerafdrukken op Windows-apparaten.
Maar ook biometrie kent uitdagingen. Een van de belangrijkste problemen is dat biometrische gegevens niet gewijzigd kunnen worden, zoals wachtwoorden dat wel kunnen. Als deze gegevens eenmaal zijn gestolen, is het lastig om maatregelen te nemen. Je kunt niet zomaar een medewerker een ander gezicht of vingerafdrukken geven. Het is dus belangrijk dat biometrische gegevens veilig worden opgeslagen, bijvoorbeeld met behulp van hardware-oplossingen zoals de Trusted Platform Module (TPM, zie verderop).
3. Multi-Factor Authenticatie: de basis van moderne authenticatie
Multi-factor authenticatie (MFA) bestaat al best lang, maar het blijft een van de meest effectieve methoden om ongeautoriseerde toegang tot systemen te voorkomen. MFA combineert verschillende vormen van authenticatie. Het is meestal een combinatie van iets wat de gebruiker weet (een wachtwoord), iets wat de gebruiker heeft (een telefoon of token) en iets wat de gebruiker is (een gezicht of vingerafdruk).
Een van de meest recente ontwikkelingen in MFA is de opkomst van passwordless authenticatie. Dit betekent dat gebruikers geen wachtwoorden meer hoeven te onthouden, maar in plaats daarvan toegang krijgen via biometrie of een fysieke token. Dit biedt een betere beveiliging, want het onthouden van een wachtwoord (en het stelen ervan) vormt de zwakste plek in de verdediging.
Pushmeldingen en tijdgebonden codes
Een andere trend binnen MFA is het gebruik van pushmeldingen en tijdgebonden codes. Dit betekent dat gebruikers een melding op hun telefoon ontvangen om in te loggen of een eenmalige code invoeren die slechts enkele seconden geldig is. Dit verlaagt de kans op aanvallen zoals man-in-the-middle, waarbij aanvallers proberen inloggegevens te onderscheppen.
4. Hardware-gebaseerde authenticatie: ‘Fort Knox’
Hardware-gebaseerde authenticatie kennen we ook al langer. Hierbij worden fysieke apparaten, zoals USB-tokens of smartcards, gebruikt om een gebruiker te verifiëren. Deze hardwaretokens bevatten cryptografische sleutels die op het apparaat zelf zijn opgeslagen, waardoor ze veel moeilijker te compromitteren zijn dan wachtwoorden of zelfs softwarematige MFA-oplossingen.
Een van de interessante innovaties van de laatste jaren is de Trusted Platform Module (TPM). TPM-chips, die je in veel moderne laptops en desktops vindt, slaan cryptografische sleutels veilig op in de hardware. Essentieel is dat de TPM volledig afgesloten is van de rest van het systeem. Je kunt er niet in, niet via de BIOS en ook niet als root-gebruiker. Dit maakt het moeilijk voor aanvallers om toegang te krijgen tot gevoelige gegevens, zelfs als ze fysieke controle over het apparaat hebben. Bij Apple heet dit de ‘secure enclave’ en is het onderdeel van Apple’s eigen processoren. Op deze secure enclave staan ook de biometrische gegevens. De TPM kan een onderdeel zijn van een meerlagige beveiligingsstrategie, vooral waar het gaat om gevoelige gegevens zoals in de gezondheidszorg of de financiële sector. ◾