Onze wachtwoorden worden (als het goed is) steeds ingewikkelder en beter afgeschermd, maar nog altijd behoren login-gegevens tot de meest kwetsbare doelen bij cyberaanvallen. Met een geldige login kan een aanvaller immers vaak heel ver in een netwerk komen. Systemen ongezien infiltreren en privileges opwaarderen om op hoog niveau schade aan te richten of gegevens te stelen. Kunnen we stoppen met wachtwoorden?
Om diefstal van wachtwoorden tegen te gaan, maken ondernemingen steeds vaker gebruik van multifactor-authenticatie (MFA) waarbij gebruikers hun inlogpogingen moeten verifiëren door een code via e-mail te verstrekken, hun inlogverzoek in de authenticatie-app goed te keuren of een smartcard aan te tikken. Helaas hebben aanvallers allerlei tools om MFA-beschermingen te omzeilen, zoals het stelen van cookies, het inzetten van social engineering of het gebruiken van aanvallen op basis van MFA-moeheid. Dit brengt ons bij het eigenlijke probleem: wachtwoorden als de zwakste beveiligingsschakel.
Maar wat als er helemaal geen wachtwoord was? Hoewel het concept van wachtwoordloze authenticatie al lang bestaat, is de markt pas onlangs overgegaan op het actief gebruiken van de technologie. Wachtwoordloze authenticatie kan elk middel gebruiken om de gebruiker te valideren, behalve een opgeslagen geheim. Het kan bijvoorbeeld een QR-code zijn die bij het inloggen wordt weergegeven, een sms-bericht met een eenmalige code of een fysieke USB-sleutel.
Deur met sleutel
Wachtwoordloze authenticatie is gebaseerd op hetzelfde principe als digitale certificaten die gebruikmaken van publieke en private sleutels. Zie de publieke sleutel als de deur en de privésleutel als de sleutel die de deur opent. Met wachtwoordloze authenticatie is er slechts één sleutel voor de deur en slechts één deur voor de sleutel. In één scenario wil een gebruiker een beveiligd account aanmaken en gebruikt een mobiele authenticatie-app om een publiek-privaat sleutelpaar te genereren. De publieke sleutel wordt aan het systeem verstrekt en de privésleutel is toegankelijk vanaf het lokale apparaat van de gebruiker met behulp van een authenticatiefactor zoals een QR-code.
Wachtwoordloze authenticatie is veiliger, biedt een betere gebruikerservaring en de inlogprocedure is eenvoudig. Als bijkomend voordeel vermindert het ook de IT-overhead doordat er minder tijd gaat zitten in het helpen van eindgebruikers bij het ontgrendelen van accounts en het opnieuw instellen van wachtwoorden.
Stap voor stap richting wachtwoordloos
Wachtwoordloze authenticatie is een marathon. Geen enkele organisatie kan in één dag overstappen en sommige zullen nooit wachtwoordloos worden. Er zijn gewoon te veel legacy-systemen diep verankerd in de IT-infrastructuur die wachtwoorden vereisen. Het gaat er dus om een balans te vinden tussen wat zinvol is vanuit het oogpunt van beveiliging, inspanningen en kosten.
Wachtwoordloos worden is geen sinecure, zeker niet wanneer organisaties te maken hebben met duizenden gebruikers, talloze applicaties, hybride en multi-cloud omgevingen en complexe aanmeldstromen. Het bereiken van een volledig wachtwoordloze omgeving vereist een gefaseerde aanpak naarmate de technologie zich blijft ontwikkelen en de gebruikersadoptie toeneemt.
Het advies is dan ook om een wachtwoordvrije strategie uit te zetten die gericht is op het zoveel mogelijk verminderen van wachtwoorden. Niet alle oplossingen zijn gelijk en het succes hangt af van het selecteren van de beste vormen die aansluiten bij de bedrijfs- en gebruikersbehoeften. Hoewel het volledig uitbannen van wachtwoorden nog ver weg is, is het verminderen van de afhankelijkheid ervan haalbaar door de juiste IAM-oplossingen te implementeren die wachtwoordloze use cases ondersteunen.
Checklist voor wachtwoordloze authenticatie
Als je IAM-oplossingen overweegt, kijk dan naar de volgende mogelijkheden.
Zero sign-on (ZSO)
De eerste pijler van een echte wachtwoordloze oplossing, ZSO, maakt gebruik van sterke cryptografische standaarden zoals certificaten en combineert gebruikersidentiteiten met contextuele informatie zoals vingerafdrukken van apparaten en beveiligingsstatus. Het belangrijkste voordeel van ZSO is dat het gebruikers in staat stelt naadloos in te loggen bij de aan hen toegewezen applicaties en diensten zonder extra authenticatie zodra hun apparaten zijn geverifieerd en voldoen aan de vereisten voor beveiligingsstatus. Vergeet niet om ZSO te combineren met andere wachtwoordloze verificatiefactoren die het beste passen bij uw bedrijfsvereisten om de bruikbaarheid en beveiliging te verbeteren.
FIDO2 integratie en ondersteuning
Bijna elke identiteitsleverancier ondersteunt FIDO2 Web Authentication (WebAuthN) en deze standaard is essentieel om wachtwoordloze authenticatie mogelijk te maken voor gewone eindgebruikers. Samen met FIDO2 zijn de passkeys van FIDO een nieuwe wachtwoordloze oplossing voor meerdere apparaten, gebruikmakend van de beveiligingsmogelijkheden van uw apparaten, waardoor de gebruikerservaring nog verder wordt verbeterd. Bovendien zijn passkeys zeer phishing-proof en voorkomen ze aanvallen die wel mogelijk zijn met MFA, omdat MFA menselijke interactie vereist.
Wachtwoordloze endpointverificatie
Met meerdere apparaten is het essentieel om authenticatie voor endpoints op dezelfde manier te benaderen als applicaties en interne resources. Wachtwoordloze endpointverificatie kan een betere gebruikerservaring en sterkere beveiliging bieden zonder de productiviteit van gebruikers negatief te beïnvloeden.
Beveiligde VPN-toegang voor externe en hybride gebruikers
Om veilige verificatie voor externe en hybride gebruikers mogelijk te maken, wordt aanbevolen dat gebruikers adaptieve MFA gebruiken wanneer ze via een VPN toegang krijgen tot een bedrijfsnetwerk. Het afdwingen van MFA voor VPN’s beveiligt de toegang op afstand tot uw bedrijfsnetwerk, on-premise toepassingen en resources, terwijl een soepele maar veilige login-ervaring wordt geleverd die continu de wachtwoordloze elementen evalueert en indien nodig verbetert op basis van context- en risicoanalyses.
Self-service wachtwoordloze authenticators
Voor een echte wachtwoordloze ervaring is het cruciaal om een oplossing te implementeren die gebruikers de mogelijkheid biedt om wachtwoordloze authenticators zelf in te voeren, te vervangen en te verwijderen met de juiste beveiligingscontroles, samen met een breed scala aan alternatieve wachtwoordloze authenticators om uit te kiezen. Stel bijvoorbeeld dat een gebruiker zijn YubiKey verliest of zijn mobiele telefoon kwijtraakt. In dat geval moet de gebruiker de wachtwoordloze authenticatiefactor kunnen vervangen door verschillende alternatieven met de juiste beveiligingscontroles.
Planning voor wachtwoordloos
Zoals bij elke beveiligingsgerelateerde activiteit, vereist de overstap naar wachtwoordloos een strategie, planning, samenwerking met betrouwbare leveranciers en een duidelijk stappenplan naar organisatorische adoptie en voortdurende training. De steun van de leiding is een absolute must om dit initiatief te stimuleren.
Om wachtwoordloos te gaan, zoek een antwoord op de volgende vragen:
- Welke use cases zijn het meest geschikt voor wachtwoordloze authenticatie?
- Welke gebruikers in de organisatie lopen het meeste risico?
- Welke wachtwoordloze oplossingen bieden het juiste niveau van beveiliging en gemak?
- Wat is de beste manier om de afschaffing van wachtwoorden te testen en op te schalen zonder het bedrijf te verstoren of extra risico’s te introduceren?
Wanneer u met een IAM-leverancier in zee gaat, aarzel dan niet om hen te vragen naar hun idee van een echte, holistische wachtwoordloze oplossing, en welke innovatie en intellectueel eigendom ze hebben geïnvesteerd om dat te realiseren. Onthoud dat wachtwoordloze authenticatie slechts een stukje van de beveiligingspuzzel van de onderneming is. Zorg ervoor dat uw IAM-partner uw huidige én toekomstige behoeften op het gebied van identiteitsbeveiliging kan ondersteunen.
Dit is een ingezonden bijdrage van CyberArk. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
2 dagen geleden
