“Passwordless”-authenticatie: veiliger, eenvoudiger en sneller

Einde traditioneel paswoord in zicht?

De wereld is veranderd. Digitalisering binnen bedrijven is niet langer beperkt tot het CRM- of ERP-systeem. Bedrijven zitten vandaag in een digitale stroomversnelling en maken gebruik van allerlei toepassingen, steeds vaker in de cloud. Die “cloud” neemt echter de security-risico’s niet weg. Bedrijven blijven verantwoordelijk voor een belangrijk aandeel. De toegang tot de cloud-applicaties bijvoorbeeld. Meer dan 80 procent van alle cloud-inbreuken worden veroorzaakt door zwakke of gestolen paswoorden of door misbruik van inlog-gegevens. Het is daarom van cruciaal belang voor bedrijven om een goede log-in strategie te hebben. Is een paswoord daarbij nog wel van deze tijd?

Paswoorden bestaan al eeuwenlang. De Romeinen gebruikten wachtwoorden om toegang tot kampen te beveiligen. In de oorlog gebruikten ze niet enkel een paswoord, maar ook een “counter-paswoord”. Bijvoorbeeld, tijdens de eerste dagen van de bevrijding in Normandië gebruikten de militairen een soort van challenge/response-systeem waarbij een paswoord “flash” beantwoord moest worden met een “thunder”. Indien het correcte antwoord niet gegeven kon worden, wist men dat men met de vijand te doen had. Om de drie dagen werden deze combinaties gewijzigd om te voorkomen dat ze in de verkeerde handen zouden terecht komen.

Computer-paswoorden bestaan intussen ook al een tijdje. Fernando Corbató wordt gezien als de uitvinder van het computer-paswoord. Hij introduceert in 1960 het idee om een paswoord te plaatsen op het Compatible Time-Sharing System (CTSS) van het Technologisch Instituut van Massachusetts (MIT). In eerste instantie niet alleen om data te beveiligen, maar ook om het tijd-slot van gebruikers te beperken. Computertijd was kostbaar en beperkt destijds.

Zijn paswoorden nog wel veilig?

Sinds het ontstaan van paswoorden bestaan ook methodes om paswoorden te achterhalen en te kraken. In de beginjaren van het computer-paswoord beperkte dit zich tot het raden van eenvoudige paswoorden of meekijken op het toetsenbord tijdens het ingeven. Vandaag is dit alleszins anders. We doen vandaag alles on-line: van sociale media, TV/ films bekijken, muziek beluisteren, reserveren van een hotel of taxi, tot het bedienen van de verwarming, het uitvoeren van bankverrichtingen, opslaan van persoonlijke of bedrijfsgegevens. Al deze diensten beveiligen we met een reeks van letters, symbolen en/of cijfers, vaak om het onszelf makkelijk te maken met een eenvoudig woord dat we goed kunnen onthouden. Wachtwoorden als “Paswoord123*” of “Winter2019” worden nog al te vaak gebruikt.

Een Top 3-paswoord hack-methode vandaag is Password Spraying. Het principe is eenvoudig, een aanval op zeer veel accounts met een voor de hand liggend paswoord. Door het grote aantal accounts aan te vallen, is de kans op succes reëel en worden vaak beveiligingssystemen en paswoord policies niet gealarmeerd omdat het aantal log-inpogingen per account zeer laag is. Ook Phishing hoort thuis in dit lijstje, waarbij men via allerlei geloofwaardige berichten je gegevens probeert te bemachtigen.   

Kan het veiliger?

Meer en meer systemen zijn te beveiligen met andere methodes dan het gekende paswoord dat bestaat uit letters en cijfers. Multi-factor authenticatie (MFA) zorgt ervoor dat je, naast je normale wachtwoord, je ook nog moet authentiseren met een tweede factor, het beantwoorden van een telefoonoproep, een PIN-code die je ontvangt via SMS of een “push-notificatie” via een app op je smartphone. Dat principe gaat uit van “Something you know” (je wachtwoord) en “Something you have” (je smartphone/GSM-nummer).

Vandaag zou iedereen zijn log-in gegevens op zijn minst moeten beveiligen met een MFA-oplossing, maar ondanks het feit dat dit al veiliger is, werkt dit systeem nog steeds in combinatie met traditionele paswoorden of PIN-codes en blijft dat de zwakke schakel in het authenticatieproces.

Een toekomst zonder paswoorden?

Passwordless gaat nog een stukje verder en kan het authenticatieproces volledig zonder het traditionele paswoord laten gebeuren. Door gebruik te maken van biometrische gegevens zoals gezichtsherkenning of vingerafdruk, kunnen unieke persoonskenmerken gebruikt worden om toegang te krijgen tot een systeem. Bij passwordless- authenticatie is een unieke combinatie van een toestel (Something you have) en je biometrische gegevens (Something you are) noodzakelijk om toegang te krijgen.

Naast gekende toepassingen zoals toegang verkrijgen tot smartphone of tablet, worden ook vaker desktop computer-systemen en cloud- en Internetdiensten toegerust met de mogelijkheid om passwordless te authentiseren.

Zonder twijfel is passwordless veiliger dan een wachtwoord, maar daarnaast is het ook eenvoudiger in gebruik, sneller en efficiënter. Kunnen we vandaag alle paswoorden uit ons leven bannen? Absoluut niet, maar we staan aan het begin van een nieuw tijdperk waar andere methodes zullen gebruikt worden om jezelf kenbaar te maken. Biometrische authenticatie is niet langer onderwerp van een science fiction-film, maar is klaar om in het dagdagelijks leven binnen te komen, zowel privé, als op de werkvloer.

(Bovenstaande bijdrage kwam tot stand in samenwerking met SecureLink N.V. (Wommelgem))

Meer info: 03/641.95.95 of http://www.securelink.be.