Kevin Kollen Yannick Willemsen
Kevin Kollen & Yannick Willemsen
October 26, 2022

Passwordless slaat brug tussen gebruiksvriendelijkheid en veiligheid

We kennen het allemaal: een wachtwoord voor je werklaptop, je thuis-pc, je mail, al je social media en voor al die webwinkels die je regelmatig bezoekt..

Scroll down

Nooit meer passwords?

Veel mensen hebben tientallen accounts waarvan het onmogelijk is om alle verschillende wachtwoorden te onthouden. Daarom worden ze vaak onbeveiligd bijgehouden in bijvoorbeeld een Excel-sheet of op een sticky note.

passwordless biometrics

Zo wanen de meesten van ons zich veilig, hoewel we natuurlijk graag van al die wachtwoorden af zouden willen. Over de veiligheid van wachtwoorden moeten we ons geen illusies maken. Uit het bekende jaarlijkse veiligheidsonderzoek van het Amerikaanse telecommunicatieconcern Verizon blijkt dat meer dan 80 procent van de veiligheidsincidenten wereldwijd het gevolg zijn van misbruik van inloggegevens van gebruikers. Deze gegevens kunnen worden gestolen of criminelen maken gebruik van brute force-technieken om wachtwoorden te kraken.
Zou het niet ideaal zijn als je veilig zou kunnen inloggen zonder wachtwoord? Passwordless zou hier een oplossing kunnen bieden.

Buzzword

Passwordless is het nieuwe buzzword in de security-industrie en er zijn al tal van definities in omloop. Wij hanteren bij Traxion de volgende definitie: “Passwordless Authenticatie is het authentiseren van een eindgebruiker zonder dat daarbij een wachtwoord moet worden gebruikt. Of dat nu een traditioneel wachtwoord, een PIN of een One Time Password (OTP) is.”
Andere authenticatievormen, zoals een veiligheidsvraag en captcha, zou je ook kunnen beschouwen als een wachtwoord. Bij beide moet je namelijk ook authentiseren met iets wat jij persoonlijk, of jij als mens, alleen kan weten. Je zou kunnen stellen dat alles wat je weet in zekere zin een wachtwoord is.

Passwordless is sterk in opkomst. Grote namen als Google, Microsoft, Apple, Amazon en Samsung zijn hier al een tijd mee bezig en steken hier miljoenen in. Ze investeren hierin omdat ze in passwordless het antwoord zien in de toenemende vraag naar gebruiksvriendelijkheid en security bij organisaties. Deze behoefte is er bij elk type bedrijf, maar vooral bij organisaties die veel waarde hechten aan een optimale user experience, maar die zich een datalek niet kunnen veroorloven en daarom de security op orde moet hebben. Daarnaast wordt deze behoefte ook gevoed door de beweging naar cloud-based applicaties die vanaf elke device met internettoegang beschikbaar zijn.

Voordelen

Vanuit een securityperspectief is een passwordless oplossing van nature al beter ingeregeld. Denk er maar eens over na; zonder wachtwoorden zijn bijvoorbeeld de meeste brute force-methoden, phishing-aanvallen, keyloggers, password spraying, credential stuffing-methoden en man-in-the-middle- attacks niet meer relevant.
Daarnaast biedt Passwordless gebruikers een eenvoudige manier van inloggen waarbij ze zich geen zorgen hoeven te maken over het beheer van wachtwoorden. De gebruikers hoeven geen tientallen complexe wachtwoorden meer te managen die ze om de paar maanden moeten vervangen. Kortom, de gebruikers gaan er op vooruit wat betreft gebruiksvriendelijkheid.

Mogelijkheden

Overweeg je als organisatie een passwordless aanpak, dan zijn er verschillende mogelijkheden, waaronder een pushbericht naar een mobiel device (met de vraag of de gebruiker wil aanmelden), biometrie (vingerafdruk of gezichtsherkenning), een managed device dat exclusief koppelt aan het bedrijfsnetwerk en software- of hardware-tokens. De keus voor een of meerdere van deze mogelijkheden wordt enerzijds bepaald door de behoefte en eisen welke wordt gesteld vanuit de business. Anderzijds is dit afhankelijk van de mogelijkheden binnen de het security-landschap van de organisatie.

Kanttekeningen

Naast voordelen zijn er ook kanttekeningen. Zo kan het goed zijn dat je bestaande IAM-systemen passwordless niet ondersteunen. Wil je deze vorm van authentiseren inzetten, dan zal er dus een investering nodig zijn in een omgeving die dit wel ondersteund. Verder kan een keus voor biometrie mogelijk problemen opleveren op het gebied van de nieuwe Europese privacywetgeving. Deze gegevens vallen namelijk onder persoonsgegevens en het beheer hiervan moet volgens de AVG aan strenge regelgeving voldoen.

Verder is duidelijk dat cybercriminelen niet stil zitten en op zoek gaan naar mogelijke zwakke plekken van passwordless of naar de volgende zwakste schakel, bijvoorbeeld user enrollment. Gebruikers zullen ook moeten wennen aan deze nieuwe manier van authentiseren. Gebruikers-id en wachtwoord zitten zo in het systeem van gebruikers dat een andere manier van authentiseren niet zomaar wordt omarmd.

Daarnaast zien we dat bij vormen van passwordless authentiseren een back-up-authenticatiemethode wordt gebruikt op basis van een wachtwoord, wat de securityvoordelen van passwordless teniet doet. Een mooie oplossing voor wanneer je gezicht niet te herkennen is met gezichtsherkenning, maar voor aanvallers is het alsnog makkelijk binnenkomen wanneer ze het back-upwachtwoord hebben weten te bemachtigen.

Ook is passwordless in vergelijking met het traditionele wachtwoord duurder wat betreft implementatie en mogelijk ook in gebruik.

Ondanks deze kanttekeningen slaat passwordless wat ons betreft een goede brug tussen gebruiksvriendelijkheid en veiligheid. Het biedt een organisatie de mogelijkheid om echt iets te doen aan de zwakste schakel binnen je security: menselijk wachtwoordbeheer. Uiteindelijk zullen gebruikers ook blij zijn als zij niet langer lange lijsten met accounts en wachtwoorden moet bijhouden, maar overal op een makkelijkere manier kunnen inloggen.

Over de auteurs
  • Kevin Kollen

    Kevin Kollen is technical consultant at Traxion, provider of Identity Centric Security Services with over 150 highly qualified professionals. Traxion is part of the Swiss IT Security Group.

  • Yannick Willemsen

    Yannick Willemsen is technical consultant at Traxion, provider of Identity Centric Security Services with over 150 highly qualified professionals. Traxion is part of the Swiss IT Security Group.

Confidental Infomation