Verbeterde computerbeveiliging ligt in het verschiet voor zowel bedrijven als individuele gebruikers die bereid zijn een alternatief voor wachtwoorden te adopteren. Maar ondanks de groeiende minachting voor het omslachtige proces van het aanmaken en invoeren van wachtwoorden, wint de transitie naar een toekomst zonder deze in een verrassend langzaam tempo aan kracht.
De consensus op het gebied van identiteits- en toegangsbeheer ondersteunt stevig het idee dat wachtwoorden niet de veiligste manier zijn om gegevens te beschermen. Zoek niet verder dan het Verizon Data Investigations Breach Report van dit jaar voor bewijs. Hieruit bleek dat bij 32% van de bijna 42.000 beveiligingsincidenten sprake was van phishing, en bij 29% van gestolen inloggegevens.
Bovendien zijn er talloze gevallen waarin gebruikers worden gewaarschuwd hun wachtwoord te wijzigen vanwege blootstelling aan een beveiligingsincident. Deze bevindingen onderstrepen de behoefte aan authenticatiemethoden die niet afhankelijk zijn van wachtwoorden.
Twee modewoorden die worden gebruikt voor het concept van het elimineren van wachtwoorden zijn wachtwoordvrije en wachtwoordloze authenticatie. Hoewel deze twee termen vergelijkbaar zijn, zijn ze niet hetzelfde. Ze stellen echter allebei voor om toegang te krijgen tot digitale inhoud zonder wachtwoorden in te voeren. Het belangrijkste verschil is de technologie die wordt gebruikt om wachtwoordgebruik te elimineren.
Volgens Mesh Bolutiwi, directeur van Cyber GRC (Governance, Risk, and Compliance) bij CyberCX, zorgen verschillende organisatorische vereisten niet alleen voor het verbeteren van de gebruikerservaring, maar ook voor de verschuiving naar het elimineren van wachtwoorden.
“Deze omvatten een sterke nadruk op het terugdringen van datalekken, het verbeteren van de algehele beveiligingspositie en het verminderen van ondersteuningskosten op de lange termijn die verband houden met wachtwoordbeheer”, vertelde hij aan TechNewsWorld.
Beveiliging belangrijker dan gemak
Wachtwoordloze oplossingen verbeteren ook de gebruikersauthenticatie en schaalbaarheid voor bedrijven door een efficiëntere manier te bieden om aan de toepasselijke regelgeving en compliance-eisen te voldoen.
Hij voegde eraan toe dat de snelle groei en verfijning van mobiele computerapparatuur ook een belangrijke rol hebben gespeeld bij het opschonen van wachtwoorden. Traditionele authenticatiemethoden schieten vaak tekort op deze apparaten.
Ironisch genoeg leidt deze factor tot een toenemend gebruik van mobiele apparaten om wachtwoordloze authenticatie mogelijk te maken. Hoewel bedrijven steeds kwetsbaarder worden voor op wachtwoorden gebaseerde aanvallen, beschikken slechts enkelen over de middelen om zich hiertegen te verdedigen.
Wachtwoorden zijn zeer kwetsbaar voor cyberaanvallen die bedrieglijk subtiel zijn en verschillende vormen aannemen. Het gebruik van wachtwoordloze authenticatie minimaliseert dit risico.
Big Tech pusht wachtwoordloze oplossingen
Google en Microsoft maken de weg vrij voor wachtwoordalternatieven.
Google heeft in juni een open bèta gelanceerd voor toegangssleutels op Workspace-accounts. Hiermee kunnen organisaties hun gebruikers toestaan in te loggen op een Google Workspace- of Google Cloud-account met een toegangssleutel in plaats van hun gebruikelijke wachtwoorden.
Wachtwoorden zijn digitale inloggegevens die zijn gekoppeld aan gebruikersaccounts, websites of applicaties. Gebruikers kunnen zich authenticeren zonder een gebruikersnaam of wachtwoord in te voeren of een extra authenticatiefactor op te geven.
Met de Authenticator-technologie van Microsoft kunnen gebruikers zich zonder wachtwoord aanmelden bij elk Azure Active Directory-account. Het maakt gebruik van op sleutels gebaseerde authenticatie om een gebruikersreferentie in te schakelen die aan een apparaat is gekoppeld. Het apparaat maakt gebruik van een pincode of biometrie. Windows Hello for Business maakt gebruik van een vergelijkbare technologie.
Beter maar niet vlekkeloos
Wachtwoordloze authenticatie is niet immuun voor malware, man-in-the-browser en andere aanvallen. Hackers kunnen met behulp van tijdelijke oplossingen malware installeren die specifiek is ontworpen om eenmalige toegangscodes (OTP’s) te onderscheppen.
“Hoewel wachtwoordloze authenticatie een robuuste authenticatieoplossing biedt, is deze niet geheel ongevoelig voor aanvallen. De risico’s hangen vaak af van de gebruikte methode, of het nu gaat om biometrie of hardwaretokens”, aldus Bolutiwi.
ADVERTENTIE
Het omzeilt effectief de valkuilen van gestolen inloggegevens. Toch is het niet zonder risico’s, zoals de potentiële diefstal van hardwareapparaten, tokens of het vervalsen van biometrische gegevens, voegde hij eraan toe.
Toch zorgt wachtwoordloze authenticatie voor een aanzienlijke tegenslag voor slechte actoren. Volgens cyberbeveiligingsexperts maakt het het inbreken in systemen moeilijker dan traditionele wachtwoorden en is het minder gevoelig voor de meeste cyberaanvallen.
Toegang zonder ramen Geruststellend
Echte wachtwoordloze authenticatiemethoden hebben geen invoerveld om wachtwoorden in te voeren. In plaats daarvan is een andere vorm van authenticatie nodig, zoals biometrie of secundaire apparaten, om de identiteit van gebruikers te valideren.
Deze oplossing geeft een certificaat door om verificatie mogelijk te maken, waardoor de veiligheid wordt vergroot door phishing-aanvallen en gestolen inloggegevens te elimineren.
Andere alternatieve authenticatiemethoden zouden uiteindelijk populairder kunnen worden. Deze omvatten e-maillinks, eenmalige wachtwoorden geleverd per e-mail of sms, gezichtsherkenning en het scannen van vingerafdrukken.
“Wachtwoordloze oplossingen introduceren echter een transformerende aanpak door het concept van wachtwoorden helemaal te elimineren, waardoor de verantwoordelijkheid wordt verschoven van gebruikers die ingewikkelde inloggegevens beheren naar meer intuïtieve en naadloze authenticatiemethoden, waardoor een veiliger paradigma wordt geboden”, aldus Bolutiwi.
Vraag en antwoord over de voor- en nadelen van geen wachtwoord
TechNewsWorld vroeg Mesh Bolutiwi om zijn meest urgente opvattingen over de overgang naar een wachtwoordloze toekomst te bespreken.
TechNewsWorld: Wat is uw mening over de algehele veiligheidsverbetering die wordt geboden door strategieën voor wachtwoordvervanging?
Dr. Mesh Bolutiwi, CyberCX
Directeur, Cyberbeveiliging
Mesh Bolutiwi: Wachtwoordloos vertegenwoordigt nog steeds een verbetering van de beveiliging ten opzichte van conventionele wachtwoorden.
Het is essentieel om te onderkennen dat geen enkel authenticatiesysteem volledig immuun is voor aanvallen.
Nu wachtwoordloze methoden steeds vaker voorkomen, is het slechts een kwestie van tijd voordat er nieuwe aanvalstechnieken opduiken, die zich richten op potentiële zwakke punten of proberen biometrische gegevens te stelen.
Bovendien vergroot de stijgende trend van het gebruik van persoonlijke apparaten voor wachtwoordloze authenticatie de risico’s, omdat het in gevaar brengen van het mobiele apparaat van een individu buiten het bereik van de organisatorische controle valt, waardoor het beperken ervan een uitdaging wordt.
Zou het voeren van een campagne om strengere wachtwoorden in te stellen voor gebruikers het probleem kunnen oplossen en de behoefte aan wachtwoordloze logins kunnen verminderen?
Bolutiwi: Heel eenvoudig: nee. Hoewel het bevorderen van het gebruik van complexe wachtwoorden een betere beveiliging kan bieden, is het geen waterdichte oplossing. Zelfs met pogingen om ingewikkeld wachtwoordgebruik te bevorderen, blijven uitdagingen zoals menselijke fouten, wachtwoordmoeheid, de risico’s van phishing en verkeerd gebruik bestaan.
Zou dit een ander proces zijn voor niet-zakelijke computergebruikers? Zo ja, waarom?
Bolutiwi: De kerntechnologie zou hetzelfde blijven, maar de implementatie zou kunnen verschillen. Niet-zakelijke gebruikers hebben mogelijk eenvoudigere behoeften zonder dat integratie met grootschalige bedrijfsapplicaties nodig is.
De acceptatiegraad kan ook worden beïnvloed door verschillende factoren, zoals gebruiksgemak in plaats van strikte naleving van de beveiliging. Dit laatste zou een veel grotere zorg zijn voor bedrijven dan voor consumenten.
Hoeveel impact zal het veranderen van inlogmethoden hebben bij het overwinnen van softwarekwetsbaarheden?
Bolutiwi: Alleen het verbeteren van de gebruikerseducatie en een strikt wachtwoordbeleid vermindert de kwetsbaarheden die gepaard gaan met op wachtwoorden gebaseerde authenticatie niet.
Ondanks hun uitdagende karakter kunnen complexe wachtwoorden op verschillende platforms worden hergebruikt, vergeten of onveilig worden opgeschreven en vatbaar blijven voor verschillende aanvallen. Hierbij kan het gaan om credential stuffing, phishing en brute-force aanvalsmethoden.
Hoe zou een wachtwoordloze computerwereld eigenlijk werken?
Bolutiwi: In een wereld zonder wachtwoord zouden gebruikers zich kunnen authenticeren met behulp van methoden zoals biometrie: vingerafdrukken, gezichtsherkenning, netvliesscans of stempatroonherkenning.
ADVERTENTIE
Ze kunnen ook hardwaretokens gebruiken, zoals fysieke beveiligingssleutels of softkeys, op smartphones gebaseerde authenticators of zelfs gedragspatronen. Ze zouden worden geïdentificeerd en geverifieerd zonder enige uit het hoofd geleerde geheimen in te voeren met behulp van iets dat ze hebben of iets dat ze zijn.
Deze fysieke apparaten genereren en bewaren cryptografische sleutels, zodat alleen de geautoriseerde persoon met het juiste token toegang kan krijgen. Deze maken gebruik van hetzelfde concept als digitale certificaten.
Vertel ons hoe dit wachtwoordloze proces achter de schermen werkt.
Bolutiwi: Gebruikers die proberen in te loggen bij een online bron, kunnen worden gevraagd hun vingerafdrukken te scannen via hun mobiele of biometrische apparaten. Achter de schermen wordt de openbare sleutel van een gebruiker gedeeld tijdens de registratie voor de online bron.
Voor toegang tot de privésleutel, die op het apparaat van de gebruiker is opgeslagen, zou de gebruiker echter een biometrische actie moeten uitvoeren om de privésleutel te ontgrendelen. De privésleutel wordt vervolgens gekoppeld aan de publieke sleutel, en toegang wordt verleend als de sleutels overeenkomen.
Wat moet er gebeuren om wachtwoordloze toegang voor bedrijfsnetwerken te implementeren?
Bolutiwi: Organisaties die de overstap naar wachtwoordloze authenticatie overwegen, moeten met een groot aantal overwegingen rekening houden. Het verbeteren van de infrastructuur is van cruciaal belang. De huidige systemen zouden upgrades of vervangingen vereisen om wachtwoordloze systemen mogelijk te maken.
Integratie is cruciaal tijdens deze fase en zorgt voor naadloze compatibiliteit tussen wachtwoordloze oplossingen en bestaande systemen en applicaties, gekoppeld aan rigoureuze tests. Bovendien moeten organisaties de uitdagingen evalueren die verband houden met het ondersteunen en integreren met oudere systemen, die mogelijk incompatibel zijn met wachtwoordloze authenticatiestandaarden.
Organisaties moeten ook hun bestaande technologielandschap beoordelen op compatibiliteit met toekomstige wachtwoordloze systemen, rekening houden met de kosten die gepaard gaan met nieuwe installaties, aanpassingen of systeemupgrades, en het niveau van hun cloudacceptatie inschatten.
Welke rol kan het menselijke element spelen als de hardware eenmaal geïnstalleerd is?
Bolutiwi: Het menselijke element mag niet over het hoofd worden gezien. Gebruikerstraining is van cruciaal belang, waarbij zowel de betekenis als de werking van nieuwe authenticatiehulpmiddelen aan de orde komen.
ADVERTENTIE
Bovendien moeten organisaties rekening houden met potentiële weerstand van gebruikers, vooral wanneer wachtwoordloze methoden afhankelijk zijn van persoonlijke apparaten, vanwege een gebrek aan begrip of onwil voor deze nieuwe aanpak.
Hoe zouden meerdere authenticatiefactoren een rol spelen bij de overgang naar een wachtwoordloze computeromgeving?
Bolutiwi: Door multi-factor authenticatie (MFA) te combineren met wachtwoordloze systemen ontstaat een versterkt authenticatieproces, waardoor het beveiligingsniveau aanzienlijk wordt verhoogd.
Zelfs zonder een wachtwoord in te voeren, levert het samenvoegen van iets dat een gebruiker bezit, zoals een telefoon of een token, met een inherent kenmerk, zoals een biometrisch kenmerk, enorme uitdagingen op voor hackers die beide proberen te repliceren.
Het integreren van MFA met wachtwoordloze technieken beperkt de risico’s die gepaard gaan met een enkel kwetsbaar punt. Uiteindelijk verbetert dit de beveiliging van systemen en gegevens en wordt een soepelere overgang naar een wachtwoordloze toekomst mogelijk gemaakt.
Wat is het voordeel van MFA ten opzichte van uitsluitend vertrouwen op biometrie of encryptie?
Bolutiwi: Biometrie alleen kan mogelijk worden nagebootst en cryptografische sleutels worden ontcijferd. Het introduceren van meerdere authenticatielagen verkleint dus de kans op succesvolle inbreuken op de beveiliging aanzienlijk.
Deze veelzijdige strategie resoneert met het zero-trust beveiligingsmodel, waarbij de nadruk wordt gelegd op continue toegangsbeoordeling op basis van een groot aantal factoren in plaats van een eenzame afhankelijkheid van wachtwoorden.
Wat zijn de belangrijkste obstakels voor het adopteren van een wachtwoordloos systeem?
Bolutiwi: Compatibiliteit met oudere systemen, weerstand van gebruikers tegen verandering en financiële beperkingen zijn de belangrijkste obstakels bij de overgang naar wachtwoordloze authenticatie.
Bovendien zou het monetaire aspect van deze transitie, gerelateerd aan hardware, het budget van een organisatie onder druk kunnen zetten. Ook het aanpakken van de potentiële onkunde of aarzeling van gebruikers bij het gebruik van hun persoonlijke apparaten voor authenticatie zou een belemmering kunnen vormen voor adoptie.
Source link: https://www.technewsworld.com/story/the-realities-of-switching-to-a-passwordless-computing-future-178579.html?rss=1
