We hebben ze allemaal, wachtwoorden. Helaas hebben we er ook allemaal wel eens ruzie mee: te makkelijk, te kort, er ontbreekt een cijfer, hoofdletter of speciaal karakter. De bekende Britse komiek Michael McIntyre weet in zijn Netflix-show haarscherp elk cliché over wachtwoorden te benoemen met de uitspraak: “I should probably change my password”. Maar bij het wijzigen van wachtwoorden hoort ook het onthouden ervan. Idealiter gebruiken we een wachtwoordmanager met een sterk master-wachtwoord. Helaas houden sommigen van ons wachtwoorden ook nog steeds bij op papier, in een schrift, op een plaknotitie, in een Excel-document of gewoon in ons hoofd. Bij verplichte wachtwoordwijzigingen wordt de administratie vaak te lastig, waardoor we simpelweg het getal achter het wachtwoord ophogen van 1 naar 2. Herkenbaar? You should probably change your password!

Uitdagingen van wachtwoordbeheer

Als we eenmaal een goed wachtwoord hebben, mogen we het maar voor een bepaalde tijd gebruiken. In het ergste geval vullen we het in op een phishing-site of lekt het uit een database van een webwinkel. Zoek jezelf maar eens op bij HaveIbeenPwned.com; de meesten van ons staan erop met één of meerdere vermeldingen. Daarnaast heb je naast een wachtwoord vaak ook een MFA-token nodig. Maar krijg ik deze in de Microsoft Authenticator-app, via een SMS of ergens anders? Kortom, veilige authenticatie wordt steeds complexer. Ook bij techreuzen zoals Microsoft, Google, Amazon en Apple hebben ze de boodschap ontvangen: wachtwoorden zijn misschien niet meer van deze tijd. Het wordt tijd om er afscheid van te nemen.

FIDO-standaard

Eén van de eerste initiatieven op het gebied van wachtwoordloze authenticatie is de FIDO Alliance. Sinds 2013 brengt deze alliantie grote techbedrijven samen om een standaard te ontwikkelen die onze afhankelijkheid van wachtwoorden vermindert en de authenticatie veiliger maakt. Inmiddels heeft de FIDO Alliance vier standaarden ontwikkeld. Hierdoor kunnen we gebruikmaken van biometrische authenticatiemethoden zoals gezichtsherkenning en irisscanners, maar ook van USB-tokens, TPM-modules in laptops en NFC-antennes in smartphones. In de praktijk zien we dat techbedrijven hun eigen draai geven aan deze standaarden. Microsoft Authenticator stelt gebruikers in staat veilig in te loggen op een M365-omgeving en met Windows Hello kunnen we zonder wachtwoord inloggen op werkstations. Apple biedt Face ID en Touch ID aan en Yubico levert de bekende YubiKeys in de vorm van een USB-stick. Al deze authenticatiemethoden vinden hun oorsprong in de FIDO Alliance. Deze oplossingen kunnen afzonderlijk worden gebruikt, maar ook voor het uitwisselen van passkeys. Deze digitale sleutels worden gebruikt bij toegang tot een (web)applicatie. Wanneer bijvoorbeeld Face ID bevestigt dat de juiste persoon om de passkey vraagt, wordt deze uitgewisseld met de applicatie voor toegang.

Veilig wachtwoordloos

Wanneer we kiezen voor wachtwoordloze (passwordless) authenticatie, biedt dit aanzienlijke voordelen. Gebruikers hoeven zelf geen wachtwoord meer te kiezen; in plaats daarvan worden wachtwoorden vervangen door een PIN, biometrie of een fysiek apparaat zoals een USB-dongle. Dit maakt het voor gebruikers eenvoudiger, omdat ze geen wachtwoorden meer hoeven te onthouden, zich geen zorgen hoeven te maken over de sterkte van wachtwoorden en wachtwoorden niet meer verlopen. Er zit echter ook een risico aan. Door middel van social engineering, waarbij gebruikers gemanipuleerd worden om vertrouwelijke informatie prijs te geven, kunnen gebruikers mogelijk gemakkelijker worden overgehaald. Door een combinatie van een PIN en biometrische verificatie te gebruiken, wordt het voor kwaadwillenden al een stuk lastiger. Conditional Access is een andere manier om extra waarde toe te voegen aan de beveiliging. Deze beveiligingsmethode zorgt ervoor dat informatie wordt gecontroleerd op basis van bepaalde voorwaarden, zoals het apparaat dat wordt gebruikt, de locatie van de gebruiker of andere factoren. Dit helpt bij het veilig ontsluiten van informatie door ervoor te zorgen dat alleen geautoriseerde gebruikers toegang krijgen onder de juiste omstandigheden.

Grip op jouw authenticatie

Terwijl we het voor gebruikers eenvoudiger en veiliger maken om in te loggen, neemt de complexiteit onder de motorkap toe. Organisaties worden hierbij ondersteund door onder andere Microsoft, waarbij wachtwoordloze oplossingen binnen EntraID in combinatie met Conditional Access een veilige manier bieden om zonder wachtwoord aan te melden. Dit kan jouw organisatie ontzorgen en biedt je meer grip op het veilig ontsluiten van informatie. Om jou te helpen het gebruiksgemak én de veiligheid van wachtwoordloze authenticatie te vergroten, zetten we de belangrijkste do’s en don’ts nog eens voor je op een rijtje:

Do’s

  • Combineer identificatiemethoden: gebruik MFA in combinatie met wachtwoorden. Ook bij Passkeys blijft MFA een belangrijke beveiligingslaag.
  • Conditional Access: zorg ervoor dat je organisatie extra beveiligingslagen toevoegt, zoals apparaat- en locatieverificatie.
  • Creëer awareness: bewustwording onder gebruikers helpt het verhogen van informatieveiligheid en creëert draagvlak voor nieuwe en verbeterde oplossingen.

Don’ts

  • Sla geen wachtwoorden op buiten een wachtwoordmanager.
  • Laat geen fysieke identificatie-apparaten onbeheerd achter.
  • Ben je niet aan het inloggen? Keur dan geen authenticatieverzoeken goed.
  • Deel nooit wachtwoorden, PIN-codes of tokens via de telefoon, WhatsApp of e-mail.