We gebruiken voor zo’n beetje elke online activiteit: wachtwoorden. En helaas hebben we er ook allemaal weleens ruzie mee: te makkelijk, te kort, er ontbreekt een cijfer, hoofdletter of speciaal karakter. De bekende Britse komiek Michael McIntyre weet in zijn Netflix-show haarscherp elk cliché over wachtwoorden te benoemen met de uitspraak “I should probably change my password”. Maar bij het wijzigen van wachtwoorden hoort ook het onthouden ervan. Idealiter gebruiken we een wachtwoordmanager met een sterk master-wachtwoord. Helaas houden sommigen van ons wachtwoorden nog steeds bij op papier, in een schrift, op een plaknotitie, in een Excel-document of gewoon in ons hoofd. Bij verplichte wachtwoordwijzigingen wordt de administratie vaak te lastig, waardoor we simpelweg het getal achter het wachtwoord ophogen van 1 naar 2. Herkenbaar? You should probably change your password! Wij vragen ons daarom af: is wachtwoordloos werken niet veiliger?

Uitdagingen van wachtwoordbeheer

Als we eenmaal een goed wachtwoord hebben, mogen we het maar voor een bepaalde tijd gebruiken. In het ergste geval vullen we het in op een phishing-site of lekt het uit een database van een webwinkel. Zoek jezelf maar eens op bij www.HaveIbeenPwned.com. De meesten van ons staan erop met een of meerdere vermeldingen. Daarnaast heb je naast een wachtwoord vaak ook een verificatie via multi-factor authenticatie (MFA) nodig. Maar krijg ik deze in de Microsoft Authenticator-app, via een sms of ergens anders? Kortom, veilige authenticatie wordt steeds complexer. Ook bij tech-reuzen zoals Microsoft, Google, Amazon en Apple hebben ze de boodschap ontvangen: wachtwoorden zijn misschien niet meer van deze tijd. Het wordt tijd om er afscheid van te nemen.

FIDO-standaard

Een van de eerste initiatieven op het gebied van wachtwoordloze (passwordless) authenticatie is de FIDO Alliance. Sinds 2013 brengt deze alliantie grote techbedrijven samen om een standaard te ontwikkelen die onze afhankelijkheid van wachtwoorden vermindert en authenticatie veiliger maakt. Inmiddels heeft de FIDO Alliance vier standaarden ontwikkeld. Hierdoor kunnen we gebruikmaken van biometrische authenticatiemethoden zoals gezichtsherkenning en irisscanners, maar ook van USB-tokens, trusted platform modules (TPM’s) – beveiligt hardware door middel van cryptografische sleutels op een veilige plek – in laptops en NFC-antennes in smartphones, waarmee apparaten op korte afstand van elkaar kunnen communiceren.

Uitwisselen van passkeys

In de praktijk zien we dat techbedrijven hun eigen draai geven aan de FIDO-standaarden. Microsoft Authenticator stelt gebruikers in staat veilig in te loggen op een Microsoft 365-omgeving en met Windows Hello kunnen we zonder wachtwoord inloggen op werkstations. Apple biedt Face ID en Touch ID aan en Yubico levert de bekende YubiKeys in de vorm van een USB-stick. Al deze authenticatiemethoden vinden hun oorsprong in de FIDO Alliance. Deze oplossingen kunnen afzonderlijk worden gebruikt, maar ook voor het uitwisselen van passkeys. Deze digitale sleutels worden gebruikt bij toegang tot een (web)applicatie. Wanneer bijvoorbeeld Face ID bevestigt dat de juiste persoon om de passkey vraagt, wordt deze uitgewisseld met de applicatie voor toegang.

Veilig wachtwoordloos

Gebruikers hoeven bij wachtwoordloze authenticatie zelf geen wachtwoord meer te kiezen. In plaats daarvan worden wachtwoorden vervangen door een PIN, biometrie of fysiek apparaat zoals een USB-dongle. Geen eindeloze wachtwoorden meer onthouden, geen zorgen meer over de sterkte van wachtwoorden en geen frustratie bij verlopen wachtwoorden. Er zit echter ook een risico aan. Door middel van social engineering kunnen gebruikers gemanipuleerd worden om vertrouwelijke informatie prijs te geven. Door een combinatie van een PIN en biometrische verificatie te gebruiken wordt het voor kwaadwillenden al een stuk lastiger. Conditional access is een andere manier om extra waarde toe te voegen aan de beveiliging. Deze beveiligingsmethode zorgt ervoor dat informatie wordt gecontroleerd op basis van bepaalde voorwaarden, zoals het apparaat dat wordt gebruikt, de locatie van de gebruiker of andere factoren. Dit helpt bij het veilig ontsluiten van informatie door alleen geautoriseerde gebruikers toegang te geven onder de juiste omstandigheden.

Grip op jouw authenticatie

Terwijl we het voor gebruikers eenvoudiger en veiliger maken om in te loggen, neemt de complexiteit onder de motorkap toe. Organisaties worden hierbij ondersteund door onder andere Microsoft, waarbij wachtwoordloze oplossingen binnen EntraID in combinatie met conditional access een veilige manier bieden om zonder wachtwoord aan te melden. Dit biedt jouw organisatie meer grip op het veilig ontsluiten van informatie. Om jou te helpen het gebruiksgemak én de veiligheid van wachtwoordloze authenticatie te vergroten, zetten we de belangrijkste do’s en don’ts nog eens voor je op een rijtje:

Do’s

  • Gebruik MFA in combinatie met wachtwoorden. Ook bij Passkeys blijft MFA een belangrijke beveiligingslaag.
  • Zorg ervoor dat je organisatie extra beveiligingslagen toevoegt, zoals apparaat- en locatieverificatie.
  • Bewustwording onder gebruikers helpt het verhogen van informatieveiligheid en creëert draagvlak voor nieuwe en verbeterde oplossingen.

Don’ts

  • Sla geen wachtwoorden op buiten een wachtwoordmanager.
  • Laat geen fysieke identificatie-apparaten onbeheerd achter.
  • Ben je niet aan het inloggen? Keur dan geen authenticatieverzoeken goed.
  • Deel nooit wachtwoorden, PIN-codes of tokens via de telefoon, WhatsApp of e-mail.