Je gaat aan je bureau zitten, klaar om de dag te beginnen. Voordat u zelfs maar uw eerste e-mail kunt openen, heeft u al drie verschillende wachtwoorden ingevoerd – elk complexer dan de vorige. Tegen lunchtijd heb je het ritueel een half dozijn keer herhaald. Het is frustrerend, het is traag en het overkomt miljoenen werknemers elke dag.
Dit is wachtwoordvermoeidheid– de stille productiviteit Moordende en verborgen veiligheidsrisico’s teisteren moderne bedrijven. Het is meer dan een ergernis; het is een dure kwetsbaarheid. Uit ons wereldwijde onderzoek is gebleken dat de meeste gebruikers nog steeds vertrouwen op wachtwoorden als hun primaire authenticatiemethode. Dit zou de meeste organisaties zorgen moeten baren, want in een tijdperk dat wordt bepaald door beleid, apps en mobiele apparaten waarin mensen overal werken, vertrouwen bedrijven nog steeds op verdedigingen die sinds de jaren zestig geen betekenisvolle ontwikkeling hebben doorgemaakt.
Complexiteit zonder veiligheid
Als het gaat om de complexiteit van wachtwoorden, zijn organisaties verdoemd als ze dat doen, en verdoemd als ze dat niet doen. Ofwel laten ze de complexiteit helemaal varen – kijk maar Louvredie ‘Louvre’ als wachtwoord gebruikten om hun bewakingssysteem te beveiligen – of steeds complexere reeksen van gemengde hoofdletters, cijfers, symbolen, frequente wijzigingen en multi-factor authenticatie (MFA) vereisen.
Hoewel bedoeld om de veiligheid te versterken, kunnen complexe wachtwoordvereisten net zo goed het tegenovergestelde effect hebben. Hoe vaak is iemand dagenlang buitengesloten van zijn systeem omdat hij zijn herstelantwoord is vergeten of de telefoon is kwijtgeraakt die de authenticatielink verzendt die nodig is om toegang te krijgen? En in hoeveel gevallen heeft die persoon besloten de goedgekeurde tools achterwege te laten en gevoelige gegevens te uploaden naar een persoonlijke Google Drive – gemakkelijker toegankelijk voor hen en hun collega’s, maar ook gemakkelijker voor cybercriminelen om te misbruiken?
De tragedie is dat de toegenomen complexiteit de veiligheid niet garandeert. Cybercriminelen hebben zich al lang aangepast aan de vooruitgang op het gebied van wachtwoorden door middel van credential stuffing en brute-force-aanvallen. Maar de meest effectieve techniek die ze gebruiken, richt zich op de zwakste schakel in de wachtwoordketen; niet het wachtwoord zelf, maar de persoon die het heeft gemaakt.
Waarom zou je urenlang proberen een slot te kraken als de eigenaar je onbewust de combinatie geeft? Er zijn gevallen geweest van creatie van cybercriminelen inlogpagina’s die vergelijkbaar zijn om wachtwoorden te verzamelen. De enorme datalekken die toesloegen MGM-resorts En Clorox was het gevolg van het feit dat cybercriminelen zich voordeden als legitieme gebruikers en de IT-helpdesk vroegen hun wachtwoord en MFA opnieuw in te stellen. Deze bedreigingsactoren hebben niet ingebroken, maar ingelogd.
De opkomst van AI heeft het wachtwoordprobleem nog urgenter gemaakt. Cybercriminelen nu gebruik AI om wachtwoorden te radenmaak onberispelijke phishing-e-mails en genereer zelfs diepe nepstemmen om helpdeskpersoneel voor de gek te houden. Traditionele wachtwoorden zijn eenvoudigweg niet bestand tegen deze nieuwe generatie aanvallen.
Volgens RSA ID IQ-rapport 202669% van de organisaties meldde de afgelopen drie jaar een identiteitsgerelateerde inbreuk, een stijging van 27 procentpunten ten opzichte van het onderzoek van vorig jaar. Dit zijn geen abstracte statistieken; ze vertegenwoordigen echte financiële verliezen, operationele verstoringen en reputatieschade. En in veel gevallen hadden ze voorkomen kunnen worden.
Maar hoe? Werknemers worden belast met steeds onbeheersbaardere inlogrituelen, maar organisaties worden nog steeds blootgesteld aan de inbreuken die deze maatregelen moesten voorkomen. Dus wat is het antwoord?
De oplossing zonder wachtwoord
De meest haalbare uitweg uit deze cyclus is authenticatie zonder wachtwoord. Als er geen wachtwoord meer te stelen is, verminderen organisaties hun risico’s aanzienlijk en stroomlijnen ze het inlogproces door de noodzaak weg te nemen om een wachtwoordreeks te onthouden, bij te werken of voortdurend opnieuw in te voeren.
Wachtwoorden zijn doorgaans afhankelijk van “iets dat u weet” zodat gebruikers toegang kunnen krijgen. Wachtwoordloze authenticatie vervangt het invoeren van een wachtwoord door twee of meer andere factoren, waaronder ‘iets dat je hebt’, zoals een mobiele telefoon of hardwaretoken, of ‘iets wat je bent’, zoals een gezichts- of vingerafdrukscan.
Doorgaans manifesteert het gebruik van deze factoren zich op een van de volgende drie manieren, elk met zijn eigen afwegingen:
Authenticator-apps en pushmeldingen:
- Wat het is: In plaats van een wachtwoord in te voeren, voert de gebruiker zijn gebruikersnaam in en ontvangt hij een beveiligde melding op een vertrouwde mobiele app waarin hem wordt gevraagd de login te verifiëren, vaak door een nummer te matchen.
- Voordelen: Zeer populair in zakelijke omgevingen; is afhankelijk van de smartphone die de gebruiker al bij zich heeft.
- Nadelen: Vereist dat de gebruiker een smartphone heeft met gegevenstoegang; iets langzamer dan directe biometrie; gevoelig voor phishing en andere aanvallen.
Magische koppelingen:
- Wat het is: Vergelijkbaar met de “wachtwoord vergeten”-link die Instagram of Slack je kan sturen, stuurt het systeem een unieke link of een code om je in te loggen.
- Voordelen: Er is geen hardware of configuratie vereist; het werkt op elk apparaat met toegang tot e-mail.
- Nadelen: Hoewel “wachtwoordvrij”, is dit niet echt “wachtwoordloos” in beveiligingszin. Het is afhankelijk van de veiligheid van de e-mailinbox (die vaak alleen wordt beschermd door een zwak wachtwoord) en is nog steeds vatbaar voor phishing en afluisteren.
Platformbiometrie (Face ID, Touch ID, Windows Hello):
- Wat het is: De gebruiker verifieert zijn identiteit met behulp van een vingerafdrukscan of gezichtsherkenning die rechtstreeks in zijn laptop of smartphone is ingebouwd.
- Voordelen: Dit levert het hoogste gemak en snelheid op; gebruikers zijn al getraind om hun telefoons op deze manier te ontgrendelen.
Nadelen: Het koppelt de inloggegevens aan een specifiek apparaat. Als dit apparaat kwijtraakt of kapot gaat, moeten de mechanismen voor accountherstel robuust zijn.
Waar u op moet letten bij een wachtwoordloze oplossing van ondernemingsklasse
Als u wachtwoordloze opties voor uw bedrijf evalueert, stel uzelf dan deze twee vragen:
1. Is het uitgebreid? Als uw oplossing slechts voor één omgeving of gebruikersgroep werkt, moet u zich bezighouden met aanvullende oplossingen voor van alles en nog wat. Een oplossing kan bijvoorbeeld naadloze biometrische login bieden voor moderne cloud-apps zoals Office 365, maar volledig mislukken met oudere on-premises mainframes of VPN’s, waardoor gebruikers gedwongen worden terug te vallen op wachtwoorden voor kritieke interne systemen.. Uw oplossing moet op alle platforms, implementatiemodellen en omgevingen werken: cloud, on-premise, edge, legacy, Microsoft en macOS.
2. Is het echt veilig? Weerstand tegen phishing is een belangrijke trend in wachtwoordloze oplossingen en is een cruciaal kenmerk bij het elimineren van een van de meest voorkomende en effectieve aanvalsvectoren. Maar weerstand tegen phishing is niet genoeg; organisaties moeten ook bypass-bestendig, malware-bestendig, fraudebestendig en uitvalbestendig zijn. Als een cybercrimineel wachtwoordloze MFA kan omzeilen door uw IT-helpdesk ervan te overtuigen hem binnen te laten, dan is de wachtwoordloze methode zelf niet veel waard.
De transitie maken
De overstap naar een ander paradigma gebeurt niet van de ene op de andere dag, maar de resultaten zijn onmiddellijk zichtbaar. Begin met uw meest kritieke applicaties of gebruikers met een hoog risico en kies apparaatgebonden toegangssleutels in plaats van gesynchroniseerde alternatieven waarmee sleutels tussen apparaten kunnen zwerven voor een betere beveiliging.
Bouw rigoureuze inschrijvingsprocessen met identiteitsverificatie en liveness-detectie die valideren dat de biometrische bron een levend persoon is. Bescherm bovendien uw helpdesk met bilaterale verificatie: dit proces bevestigt de identiteit van de beller via een apparaatprompt en bewijst de legitimiteit van de agent door de geverifieerde status op het scherm van de beller weer te geven.
Plan voor veilig herstel wanneer apparaten verloren gaan door het maken van hoogbeveiligde back-ups, zoals vooraf geregistreerde back-upsleutels of biometrische herverificatie, in plaats van wachtwoorden. Zoek naar oplossingen die automatisch apparaatgebonden toegangssleutels bieden wanneer gebruikers de app registreren. Meet ten slotte het percentage wachtwoordloze goedkeuringen in de loop van de tijd ten opzichte van eventuele vermoedelijke accountcompromissen om er zeker van te zijn dat uw acties een positieve impact hebben.
Door de dagelijkse last van wachtwoordmoeheid te elimineren en tegelijkertijd een van de grootste deuren voor cybercriminelen te sluiten, kunnen bedrijven eindelijk zowel de productiviteit als de gemoedsrust herwinnen.
