Op hackersfora zijn enorme databases te vinden waarin zoveel mogelijk gestolen inloggegevens verzameld zijn. Of mensen nu kiezen voor lange, ingewikkelde wachtwoorden, of tweefactor authenticatie, wachtwoordmanagers of single sign-on, het wachtwoord blijft de achilleshiel van internet. “Wachtwoorden zijn inherent onveilig”, zegt Patrick McBride, chief marketing officer van Beyond Identity. “Daarom moeten we ervan af.”
Er zijn vandaag de dag honderden miljarden wachtwoorden in omloop en dat aantal blijft toenemen. Er zijn wereldwijd circa 4,5 miljard internetgebruikers en die hebben volgens een onderzoek van NordPass elk gemiddeld 100 wachtwoorden. “Dat maakt het bijna onmogelijk om sterke wachtwoorden te gebruiken, want je kunt ze niet allemaal onthouden”, weet McBride. “Daarom zijn wachtwoorden altijd onveilig en de zwakke schakel voor de gegevensbeveiliging van bijna elke organisatie.”
Gedeelde geheimen
Het probleem met wachtwoorden is volgens McBride dat het ‘gedeelde geheimen’ zijn. “Het gaat om een gegeven dat alleen bekend is bij de betrokken partijen in een ogenschijnlijk veilige uitwisseling. Maar delen betekent per definitie dat er minstens twee partijen bij betrokken zijn. Voor wachtwoorden is een van deze partijen een beheerder die het wachtwoord kent en opslaat in een database die kwetsbaar is voor verlies of diefstal.”
Extra maatregelen werken niet
Twee-factorauthenticatie (2FA) lijkt een sterke verdediging tegen cybercriminelen omdat de ‘tweede factor’ naast wie je bent (gebruikersnaam) en wat je kent (wachtwoord) ook vraagt om wat je hebt (een telefoon of token). Bij het inloggen is een veld toegevoegd waar de gebruiker een code invult die men via sms of een ander apparaat ontvangt, zoals een codecalculator van de bank. “Cybercriminelen weten dit inmiddels vrij eenvoudig te ondervangen door niet van echt te onderscheiden inlogpagina’s na te maken waar gebruikers de code invullen”, zegt McBride. “Bovendien is het gebruik van 2FA vaak frustrerend voor gebruikers. Je moet de telefoon of codeapparaat bij je hebben en soms moet je lang wachten voordat een sms binnenkomt.”
Een security key is een apparaatje dat gebruikers in hun computer of telefoon steken om kenbaar te maken dat zij werkelijk zijn wie ze zeggen te zijn. Er zijn al Android- en iOS-apps die security key van gebruikers verifiëren. De telefoon moet bovendien in de buurt zijn van de computer waarop men de inlogpagina opent. Dit maakt het voor cybercriminelen al lastiger, want ze moeten zowel toegang hebben tot de telefoon, deze kunnen ontgrendelen én bij het apparaat zijn waarop zij proberen in te loggen. “Het nadeel is dat je voor deze oplossingen afhankelijk bent van Google of Apple”, zegt McBride. “Het is de vraag hoeveel vertrouwen gebruikers erin hebben om deze bedrijven al hun wachtwoorden te geven.”
Wachtwoordmanagers zijn apps die bijzonder sterke wachtwoorden genereren en versleuteld opslaan. De gebruiker hoeft zodoende geen wachtwoorden te onthouden, maar logt eenmalig in en de app vult vervolgens overal de juiste inloggegevens in. “Wachtwoordmanagers zoals LastPass en KeePass zijn erg populair en cybercriminelen weten dat”, zegt McBride. “Ze besteden daarom heel veel tijd aan het kraken van deze accounts. En zodra het lukt om het hoofdwachtwoord te achterhalen, hebben ze ook toegang tot alle overige inloggegevens van die gebruiker. Geen enkele IT-oplossing is veilig van hackers.”
Zogenaamde ‘wachtwoordloze’ oplossingen zoals biometrie zijn weliswaar gebruiksvriendelijk en veilig, althans als de biometrische gegevens opgeslagen zijn in een beveiligde hardware-omgeving. “Als je een vingerafdruk of irisscan gebruikt, verstuurt de applicatie echter nog steeds gewoon namens jou een wachtwoord”, zegt McBride. “Wat dat betreft is het een vorm van twee-factor authenticatie en beslist niet wachtwoordloos.”
Single Sign-on (SSO) is een techniek waarbij de gebruiker eenmaal inlogt en vervolgens toegang heeft tot meerdere systemen. “Dit is een goede eerste stap naar een gebruiksvriendelijke oplossing, want de gebruiker hoeft niet langer per applicatie een apart wachtwoord in te vullen”, zegt McBride. “SSO lost echter niet het onderliggende beveiligingsprobleem op. De sessietoken, die de authenticatie voor andere systemen mogelijk maakt, kan gehackt worden. Veel sessietokens zijn bovendien zodanig geconfigureerd dat zij langer actief blijven dan één sessie. Zo hoef je bij terugkerend gebruik niet opnieuw in te loggen. Dat is heel gebruiksvriendelijk, maar ook erg kwetsbaar. Tot slot zijn de wachtwoorden die toegang geven tot SSO vaak ook nog steeds opgeslagen op servers en dus bereikbaar voor cybercriminelen.”
Wachtwoorden deugen niet
“Let’s face it: Passwords stink!”, zegt McBride in zijn moerstaal. “Ze deugen niet. Ze veroorzaken alleen maar frictie en frustratie bij het inloggen, want wie kan nu een willekeurige reeks van 20 cijfers, letters en symbolen onthouden, laat staan deze bedenken? Cybercriminelen kopen bestanden en zetten deze in voor geautomatiseerde aanvallen.”
Die bestanden worden overigens steeds omvangrijker. Begin juni 2021 verscheen het bestand RockYou2021 op een hackersforum, een database met 8 miljard e-mailadressen en wachtwoorden van internetnetgebruikers. Daarmee is dit de grootste verzameling van gestolen wachtwoorden die tot nog werd samengesteld. Dit bestand bouwt voort op het grote Compilation of Many Breaches (COMB)-bestand dat in februari 2021 gepubliceerd werd en 3,2 miljard unieke paren van e-mailadressen en wachtwoorden bevat. “Door ‘brute force attacks’ proberen cybercriminelen in korte tijd miljarden combinaties van e-mailadressen en wachtwoorden uit, totdat het raak is,” aldus McBride.
Wat deugt dan wel?
In plaats van halve maatregelen en lapmiddelen is een volledig afscheid van wachtwoorden de enige oplossing voor het probleem, stelt McBride: “Het is tijd voor een wereld zonder wachtwoorden. Ze moeten vervangen worden door een oplossing die werkt met de apps die mensen nu al gebruiken, die integreert met de huidige IAM-oplossing van een organisatie en die niet afhankelijk is van derden zoals app-leveranciers of SaaS-providers.”
Volgens McBride bestaat deze oplossing uit een ‘personal certificate authority’. “Onze oplossing voorziet in veilige, op standaarden gebaseerde en asymmetrische versleuteling voor authenticatie. In plaats van een wachtwoord voorzien we in zelfondertekend X.509-certificaat. Een app op endpoint-apparaten maakt en beheert sleutels en dat is een fundamenteel andere manier om gebruikers te authentiseren voor netwerken en applicaties.”
Beyond Identity integreert zijn oplossing met bestaande SSO-toepassingen door slechts een kleine aanpassing in de configuratie. “Daarmee halen we de frictie en de frustratie, en, belangrijker nog, de risico’s van wachtwoorden weg zonder dat gebruikers op een andere manier inloggen dan zij gewend zijn” vertelt McBride. “Er is ook geen centrale opslag meer nodig en dat betekent dat hackers ook geen toegang kunnen krijgen tot bedrijfsgegevens en -systemen. Onze aanpak deelt geen geheimen tussen gebruikers en beheerders, of dit nu wachtwoorden of biometrische gegevens zijn”, zegt McBride. “Het gebruikt ook geen onbetrouwbare en onveilige communicatiekanalen voor authenticatie zoals sms, pushberichten of e-maillinks.”
Beyond Identity gebruikt in plaats daarvan de public key infrastructure (PKI), TLS en hardware-omgeving op een nieuwe manier. “Daarmee krijgen organisaties het beste van twee werelden”, zegt McBride. “Enerzijds minder frustratie en anderzijds meer veiligheid.”