Op 24 november staan we wereldwijd stil bij de ‘Verander je wachtwoord dag’. Ieder jaar opnieuw hoop je dat het de laatste is. We moeten namelijk van het wachtwoord af. Keer op keer blijkt namelijk dat het wachtwoord een zeer zwakke schakel is in de gehele security keten, ook als je hem regelmatig verandert. Er zijn ook geen excuses meer om de bekende combinatie ‘inlognaam en wachtwoord’ niet te schrappen. Er zijn namelijk voldoende geschikte alternatieven voorhanden.
Het is misschien flauw om dat ene voorbeeld aan te halen, die van een nationale luchtvaartmaatschappij. Maar het toont aan hoe kwetsbaar het wachtwoord is. Het bedrijf kreeg medio november van dit jaar een gevoelige tik op de vingers van de Autoriteit Persoonsgegeven (AP) voor het slecht beveiligen van persoonsgegevens. Het ging hierbij heel specifiek om het gebruiken van zwakke wachtwoorden, die tot een omvangrijk datalek hebben geleid. Volgens de AP ging het om wachtwoorden in de trant van ‘Welkom’ en ‘123456’. De AP constateerde verder dat andere belangrijke drempels om het hackers lastig te maken ontbraken.
Wachtwoord is de boosdoener
Je zou verwachten dat dit soort praktijken tot het verleden behoren. Maar wie verder kijkt, ziet al snel dat het wachtwoord bij veel security-incidenten en datalekken de boosdoener is. Nu eens gaat het om zwakke wachtwoorden, die ook nog eens veel te weinig worden veranderd. En dan weer zijn het wachtwoorden die via een malwareaanval zijn buitgemaakt en worden uitgebuit. Veel organisaties hebben weliswaar beleid en ook de tools om medewerkers te dwingen hun wachtwoorden te veranderen. Maar wanneer diezelfde medewerkers vervolgens in plaats van een 3 op het eind een 4 zetten, dan vraag je toch om problemen.
Multifactor authenticatie
Organisaties die al een stap verder zijn, hebben multi factorauthenticatie ingericht. Dat betekent dat je naast inlognaam en wachtwoord een ander instrument moet inzetten om je als rechtmatige gebruiker te identificeren. Denk aan een token, een pasje of een applicatie op de smartphone. Het probleem hierbij is dat de toegang tot lang niet alle applicaties op deze manier is beveiligd. De praktijk leert dat zo’n 20 procent van de applicaties nog werkt met louter inlognaam en wachtwoord. En gezien het feit dat alle applicaties met elkaar verbonden zijn tegenwoordig, blijft de technologische infrastructuur in zijn algemeen kwetsbaar. Je moet een infrastructuur realiseren waarin alles is beschermd, niet het meeste.
Contextgebonden toegangsbeheer
Je kunt een volgende stap zetten, waarbij gebruiksgemak en optimale security hand in hand gaan. Door een Access Management laag in te richten, stel je gebruikers namelijk in staat één keer aan te melden om vervolgens toegang te krijgen tot alle juiste informatie en applicaties. Dit moet dan wel ‘wachtwoordloos’ gebeuren en via een tweefactor authenticatie. We zien in dit opzicht de opkomst van contextgebonden toegangsbeheer. Zodra een gebruiker zich op een van de bedrijfsnetwerken aanmeldt, gaat een intelligent securitysysteem verschillende variabelen en parameters analyseren. Van waar logt de medewerker in, op kantoor of elders? Via welk device gebeurt dit. Is het binnen reguliere werktijd? Heeft deze gebruiker zich niet 5 minuten eerder in een andere tijdzone aangemeld? De context rondom de gebruiker wordt zo in kaart gebracht en er wordt een beslissing genomen over de toegang tot applicaties in relatie tot bestaande risico’s. Dit kun je als organisatie zelf configureren, tot een niveau dat je bijvoorbeeld zegt dat bepaalde primaire bedrijfsapplicaties alleen binnen de kantoormuren toegankelijk zijn. Zo reist security als het ware met de eindgebruiker mee, kun je de risico’s blijven beoordelen en kun je inderdaad afscheid nemen van het wachtwoord.
Wildgroei aan authenticatie-apps
Laatste punt van zorg in het streven naar een leven zonder wachtwoorden is de wildgroei in authenticatie-apps. Het is een goede zaak dat veel technologieplatformen twee factor authenticatie als voorwaarde stellen, maar zij bieden hierbij vaak hun eigen authenticatie-apps aan. Door gebruik te maken van een Access Management oplossing die alle applicaties ondersteunt, wordt ook dat ongemak vermeden.
Dit is een ingezonden bijdrage van Guido Gerrits, Regional Sales Director Identity & Access Management, Benelux & Nordics bij Thales. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
13 uur geleden
