Passwordless beveiligt uw informatiesysteem zonder wachtwoorden

De meest recente Win Tech Day vond op 14 juni in Namen plaats. Een van de langverwachte en druk bijgewoonde sessies was “Beveiliging: naar een toekomst zonder wachtwoord”. Jean-François Tirlocq (PreSales Win) en Alain Gilles (WAN & Security Manager Win) gaven hun heldere en praktische visie op een “Passwordless” toekomst. Lees hier een samenvatting.

Waarom wachtwoorden een probleem zijn

We vallen maar meteen met de deur in huis: de klassieke wachtwoorden zijn een zwakke schakel in elke beveiligingsstrategie. Waarom?

• Wachtwoorden veroorzaken meer dan 80% van de datalekken.
• De meeste gebruikers hebben gemiddeld meer dan 90 online accounts.
• Ze hergebruiken voortdurend tot 51% van hun wachtwoorden, waardoor ze meer risico lopen om het slachtoffer van cyberfraude te worden.
• Een wachtwoord opnieuw instellen kan 20 tot 30 minuten duren, een belangrijke bron van tijdverlies voor de technische support van een bedrijf.

Hoe wachtwoorden zijn geëvolueerd

Sinds er wachtwoorden bestaan, zijn ze voortdurend langer en complexer geworden. Een wachtwoord is immers robuuster als het langer is (eerst 8, toen 12 of 16 karakters), niet eenvoudig te raden (geen logische reeks zoals 12345) en gevarieerd (cijfers, speciale tekens).

In Groot-Brittannië is het sinds kort verboden om standaard een makkelijk te raden wachtwoord toe te kennen aan toestellen. Deze tabel laat zien waarom dat terecht is: het duurt nauwelijks drie seconden om een wachtwoord met alleen maar hoofdletters en kleine letters te vinden, maar meer dan zeven jaar om een wachtwoord met 8 cijfers, letters en symbolen en een combinatie van hoofdletters en kleine letters te raden.

Maar zelfs met striktere criteria voor robuustere wachtwoorden – zoals regelmatig van wachtwoord veranderen en geheime zinnen gebruiken – blijven wachtwoorden kwetsbaar voor phishing en “password sprawl”. Dat laatste, "password sprawl", ontstaat wanneer gebruikers allerlei wachtwoorden voor verschillende applicaties moeten onthouden. Ze stappen dan over op wachtwoordmanagers en SSO-oplossingen (Single Sign-On).

“Have I been pwned” toont aan hoe kwetsbaar wachtwoorden zijn

"Have I been pwned" is een initiatief uit 2013 van Troy Hunt, een expert in IT-beveiliging. Hij wou het publiek tonen dat wachtwoorden kwetsbaar zijn. Gebruikers kunnen op de website nagaan of hun e-mailadres of inloggegevens betrokken zijn bij bekende datalekken. Sindsdien werd deze service ingebouwd in verschillende webbrowsers, waaronder Firefox (Mozilla Monitor).

Hoe werkt het? Gebruikers voeren hun e-mailadres op een website in en zien dan meteen of hun gegevens eerder werden gekaapt. Ze kunnen vervolgens actie ondernemen om hun online veiligheid te versterken. Wie beseft dat hij kwetsbaar is, zal geneigd zijn om striktere veiligheidsmaatregelen te nemen en robuustere oplossingen te gebruiken, zoals multifactorauthenticatie (MFA) en Passkeys.

Multifactorauthenticatie (MFA)

Multifactorauthenticatie, ook wel twee- of meerstapsverificatie genoemd, voegt een tweede stap toe aan het authenticatieproces. Dat kan een sms zijn of een eenmalige code die door een speciale app wordt gegenereerd. Hiermee daalt het risico op een lek met 99% (Microsoft-studie, mei 2023). Maar MFA wordt nog maar weinig toegepast, op slechts 26% van de Twitter-accounts en 34% van de MS AD Azure admin accounts (gegevens van 2022).

Er zijn ook al aanvallen op basis van “MFA-vermoeidheid” bekend, waartegen dan weer phishing-bestendige MFA-oplossingen worden gebruikt.

Passkeys: authenticatie zonder wachtwoord

"Passwordless" betekent dat identificatie niet langer steunt op iets dat je weet (zoals een wachtwoord) maar nog uitsluitend op iets dat je hebt (bijv. een smartphone, een token generator) of iets dat je bent (biometrische gegevens zoals een vingerafdruk of gezichtsherkenning). Dit idee is niet nieuw: Bill Gates kondigde het al aan in 2004, maar het werd pas uitgewerkt bij de oprichting van de FIDO Alliance in 2014.

Een nieuwe “Passwordless”-aanpak maakt authenticatie eenvoudiger en versterkt tegelijk de beveiliging van de gebruikersaccounts. Gebruikers hebben er alleen zogeheten “Passkeys” of “identificatiesleutels” voor nodig.

Wat zijn Passkeys?

De FIDO Alliance heeft in 2014 de Passkeys (ook wel identificatiesleutels of wachtwoordsleutels genoemd) naar voren geschoven om de klassieke wachtwoorden te vervangen. Het gaat om asymmetrische cryptografische sleutelparen voor een sterke authenticatie. Ze zijn vrij eenvoudig en snel te installeren.

Passkeys maken het mogelijk om snel, makkelijk en veilig in te loggen op websites en applicaties, zonder wachtwoorden. In tegenstelling tot wachtwoorden zijn ze intrinsiek sterk. De identificatiesleutels vereenvoudigen ook de accountregistratie en ze zijn ontworpen om op de meeste toestellen van een gebruiker te functioneren, zoals smartphones en computers. Een goed voorbeeld is de wachtwoordloze identificatie voor een Microsoft Windows-sessie.

Bestand tegen aanvallen en phishing

FIDO2 Passkeys zijn ontwikkeld om bestand te zijn tegen aanvallen en phishing en gebruiken daarvoor asymmetrische cryptografie en een specifieke werkingsmodus. Wanneer een Passkey wordt gebruikt, wordt een sleutelpaar aangemaakt: één van de sleutels is openbaar, de andere privé. De privésleutel blijft veilig op het apparaat van de gebruiker, terwijl de publieke sleutel wordt gedeeld met de online service.

Bij de authenticatie (een webservice, website of native app) verstuurt de online service een cryptografische challenge naar het toestel van de gebruiker, dat ondertekent met zijn privésleutel. De handtekening wordt dan gecontroleerd met de publieke sleutel. Dit garandeert dat de gebruiker wel degelijk over de privésleutel beschikt, zonder die ooit bekend te maken.

Deze methode beschermt tegen aanvallen van het “man-in-the-middle”-type (MitM), want de privésleutel wordt nooit verzonden of getoond. Passkeys verifiëren bovendien de URL van de website vóór de identificatie, zodat gebruikers niet kunnen inloggen op phishing-websites die legitieme sites nabootsen. En zelfs als een gebruiker met een phishing-website heeft te maken, vindt er geen authenticatie met de Passkey en dus ook geen diefstal van inloggegevens plaats.

Single-device en multi-device

Momenteel zijn er twee soorten Passkeys: single-device en multi-device. Multi-device Passkeys, die in 2022 werden ingevoerd, maken het mogelijk om meerdere apparaten via de cloud te synchroniseren, hoewel synchronisatie tussen verschillende besturingssystemen nog niet volledig wordt ondersteund. De techniek blijft sterk gekoppeld aan het ecosysteem van de medewerker (Microsoft, Apple, Google).

Waarom u zou moeten overschakelen op Passkeys

De toekomst van digitale beveiliging ligt bij authenticatie zonder wachtwoord, met behulp van Passkeys en MFA-oplossingen. Hoewel een aantal uitdagingen nog om een oplossing vragen (bijvoorbeeld de compatibiliteit en het beheer van apparaten die tot verschillende ecosystemen behoren), biedt wachtwoordloze authenticatie zoveel voordelen inzake veiligheid en gebruiksgemak dat de invoering ervan steeds aantrekkelijker wordt.

De transitie naar een wereld zonder wachtwoorden vereist een bredere toepassing van de FIDO2-standaarden en een beter besef van de voordelen van sterke authenticatiemethoden. Passkeys zijn momenteel de meest geavanceerde en evenwichtige oplossing om in een organisatie het risico op datalekken te verminderen en het inlogbeheer te vereenvoudigen.