Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Complexe wachtwoorden maken toegang niet veiliger

De sleutel tot goede authenticatie

Zeer waarschijnlijk is het apparaat waarop je deze blog leest alleen toegankelijk via een vorm van authenticatie. In de meeste gevallen zal dat een wachtwoord zijn. Wachtwoorden zijn zo’n integraal onderdeel van ons leven geworden, dat we er vaak niet meer bewust over nadenken. En juist doordat we minder alert worden, dreigt gevaar.

De sleutel tot goede authenticatie bestaat uit het combineren van gebruiksvriendelijkheid met veiligheid. Het is soms een uitdaging om dit ​​evenwicht te vinden. Met gebruik van nieuwe technologieën, is gebruiksvriendelijke en veilige verificatie echter zeker binnen handbereik. Een voorbeeld daarvan is IBM’s Security Access Manager (SAM).

50% van de wachtwoorden blijkt hetzelfde

Regelmatig zijn massale hacks in het nieuws. Soms worden de gegevens van wel miljoenen accounts blootgelegd. In een recent onderzoek werden meer dan 10 miljoen wachtwoorden uit lekken van 2016 geanalyseerd. Hieruit bleek dat de 25 meest gebruikte wachtwoorden maar liefst 50% vormde van het totaal aantal gebruikte wachtwoorden. Verrassend? Eigenlijk niet. Het ligt namelijk in onze natuur om te worstelen met wachtwoorden: we kunnen ze gewoon niet goed genoeg herinneren. Helemaal niet als het grote aantallen lange en complexe wachtwoorden zijn. Dus we gaan voor eenvoudige wachtwoorden, die we vaak gebruiken voor meerdere accounts . Dat begint al vanaf een jonge leeftijd. Tijdens een van mijn zogenaamde Hack4Teens-sessies liet ik kinderen een formulier invullen (inclusief naam en wachtwoord) om aan het einde van de sessie een prijs te winnen. En niet tot mijn verbazing erkenden de meeste van deze kinderen dat ze hun wachtwoord hadden ingediend voor Facebook.

Gemakkelijk te gebruiken, moeilijk te hacken

Het doel van een solide verificatiemethode kan in twee principes worden samengevat: makkelijke en gebruiksvriendelijke toegang voor jezelf, onmogelijke toegang voor de rest van de wereld. Het lijkt een slimme tactiek om gebruikers te dwingen om hun wachtwoorden moeilijker te maken, onder meer door nummers, speciale tekens en hoofdletters te verplichten. Maar het is niet echt de eenvoudige en gebruiksvriendelijke toegang die we zoeken.

Innovatie in authenticatie

Het leidt tot wat ik de wachtwoord-paradox noem. Als je te weinig wachtwoorden gebruikt die ook nog eens makkelijk te onthouden zijn, kun je makkelijker worden gehackt. Maar als je juist een breed scala aan lange, complexe wachtwoorden gebruikt, kun je ze weer niet bijhouden. Het vastleggen van deze wachtwoorden om het leven makkelijker te maken leidt echter weer tot nieuwe onveiligheid.

Moderne authenticatiemethoden kunnen gelukkig helpen bij het creëren van meer gebruiksvriendelijkheid en tegelijkertijd meer veiligheid garanderen. Alle verificatiemethoden kunnen in drie groepen worden ingedeeld, op basis van bepaalde unieke eigenschappen die alleen jij weet, hebt of bent:

  • Wat je weet: deze methode exploiteert alleen dingen die je kan weten, zoals wachtwoorden, pincodes of beveiligingsvragen.
  • Wat je hebt: het meest bekende voorbeeld hiervan is een betaalpas. Een kwaadwillende heeft niets aan de pincode zonder de feitelijke, fysieke kaart.
  • Wat je bent: deze groep authenticatiemethoden omvat alle moderne soorten biometrie. Sommige fysieke eigenschappen zijn uniek voor jou en jou alleen – denk aan een vingerafdruk, de iris van je oog, je gezicht… Er is ook gedragsbiometrie, zoals: het gebruik je stem, de manier waarop je loopt of zelfs de unieke manier waarop je de toetsen op je toetsenbord aanslaat.

Idealiter wordt een combinatie van twee of meer methoden gebruikt, de zogenaamde multi-factor authenticatie. Voorbeelden zijn een wachtwoord gecombineerd met een logincode via sms voor sommige sociale netwerken, of de reeds genoemde betaalpas.

Banneriamkenniscyclus

Wachtwoordloze authenticatie

Een belangrijke motor voor innovatie op het gebied van authenticatie vormt het gebruik van smartphones. Met de opkomst van mobiele apparaten, de toegenomen precisie en lagere kosten van biometrische authenticatiemethoden komt authenticatie zonder wachtwoorden dichterbij. Goed nieuws voor zowel de gebruikerservaring als de beveiliging: hoe minder moeite een gebruiker hoeft te doen, des te meer geneigd zal hij zijn om de beveiliging ook in acht te nemen.

Is er iemand thuis?

Een van deze nieuwe mobiele methoden is aanwezigheidsverificatie. Wanneer een gebruiker zich aanmeldt bij een applicatie, wordt hij via zijn mobiel uitgenodigd om te reageren op een ja / nee-prompt. Wanneer de gebruiker die zich aanmeldt via de mobiel overeenkomt met de gebruiker die wil inloggen, krijgt deze toegang. Het verbetert de gebruikerservaring naar soepele authenticatie: je hoeft geen SMS meer te ontvangen, deze te openen, de code te onthouden en deze in te typen in de app of website…

Het bovenstaande voorbeeld bestaat uit het gebruik van je smartphone als ‘wat je hebt’. Elk apparaat is uniek, en door het te registreren (zogenaamde ‘device fingerprinting’) wordt het een unieke authenticator. Als je wachtwoord wordt gestolen, kan niemand er iets aan doen, behalve als ook je mobiele apparaat wordt gestolen. Voor extra beveiliging kun je de ‘wat je bent’ toevoegen. Nadat de gebruiker zich heeft aangemeld, kan het apparaat de gebruiker nog vragen om een vingerafdrukverificatie. Mits het apparaat uiteraard is voorzien van een vingerafdruklezer.

Naar een veilige en gebruiksvriendelijke toekomst

De sleutel voor veilige toegang tot systemen is om zo veel mogelijk van het verificatieproces naar de achtergrond te verplaatsen. De hierboven beschreven moderne methoden zijn manieren waarop gebruikerservaring, design en veiligheid samen het perfecte huwelijk vormen. Bij IBM Security hebben we onlangs onze bestaande IBM Security Access Manager (SAM) bijgewerkt om deze sterkere mobiele methoden op te nemen. We hebben een mobiele SDK (Software Development Kit) beschikbaar gemaakt, waarmee ontwikkelaars gemakkelijk beveiliging kunnen invoeren zoals vingerafdrukverificatie, eenmalige wachtwoordgeneratie en aanwezigheidsverificatie. Deze kant-en-klare oplossing heet IBM Verify: een mobiele app die is gebouwd op basis van dezelfde mobiele SDK. Met deze moderne vormen van authenticatie tot je beschikking kunnen gebruikers worden geverifieerd zonder de gebruiksvriendelijkheid in het gedrang te brengen.