Emmanuel David
Een wereld zonder wachtwoorden: deny or approve
Is het je al opgevallen dat je de laatste tijd bij quasi elke website moet inloggen? En telkens een wachtwoord moet onthouden? Ik heb het dan nog niet eens over alle apps op je smartphone die ook een login vragen. Die wachtwoorden zijn er voor je eigen veiligheid, hoor je dan. Wel: The password is dead. Lets’ get rid of the password.
Het zijn niet mijn woorden, maar een uitspraak van Bill Gates, oprichter en bezieler van Microsoft. Hij deed deze uitspraak niet vorige week, maar tijdens zijn keynote speech op de RSA Security Conference in februari 2004. Dus 15 jaar geleden voorspelde Bill dat het klassieke wachtwoord aan zijn einde zou komen.
Vandaag speelt technologie hem in de kaart. De netwerk-perimeter is niet meer. Want waar vroeger de security voornamelijk gebaseerd was op het beschermen van de ‘omwalling’ (meestal de fysieke en digitale perimeter van het bedrijfsgebouw en het bedrijfsnetwerk met de nodige firewalls), is jouw identiteit de nieuwe perimeter. Met je persoonlijke credentials log je immers in op sociale media, op je verschillende apparaten zoals smartphone en laptop – en wie weet binnenkort jouw bedrijfswagen – maar ook op de diverse bedrijfstoepassingen: ERP-systemen zoals Salesforce, samenwerkingtools (Office 365, Teams, Slack…) of Cloud-omgevingen (Azure, AWS, …). Bovendien kan je met cloud-services van om het even waar inloggen en toegang krijgen.
Identiteit ontdekt
Deze technologische stroomversnelling brengt security-uitdagingen met zich mee. We zien trouwens al verschuivingen in het cybercrimelandschap. ‘Identiteit’ klimt immers richting top als nieuwste aanvalsvector: 80 procent(1) van de datalekken vloeit voort uit misbruik van persoonlijke wachtwoorden. En 81 procent van de breaches komt door een zwak standaard wachtwoord of door gestolen wachtwoorden. De evolutie is ook duidelijk in andere statistieken. Tien jaar geleden zat in de top vier(1) van data breaches nog maar één identiteit-gerelateerde oorzaak. In 2019 waren dit al drie op de vier breaches (gestolen inlogdata, phishing, misbruik van privégegevens).
De gebruikers zijn uiteraard deels zelf de oorzaak. Maar liefst 59 procent van hen herbruikt hetzelfde wachtwoord als het gestolen wordt. Het is misschien een menselijke reflex wanneer je er zo veel moet onthouden. En als je weet dat identiteit de nieuwe aanvalsvector is, dan is het verontrustend dat de helft van al het overheids- en militair personeel op LinkedIn een zwak wachtwoord blijkt te gebruiken. Een beetje hacker kan zo je identiteit achterhalen en met je persoonlijke inloggegevens aan de haal gaan.
Zeker wanneer je in een cloud-omgeving werkt, is jouw identiteit (en die van de werknemers) het eerste wat je supergoed zou moeten beschermen.
I am. So, IAM
Het probleem – en de bijbehorende uitdaging voor elk security-team – heeft ook met de user experience te maken. Veel apps, dat betekent veel wachtwoorden. Bovendien moet je steeds vaker een complexere combinatie zoeken (met cijfers, hoofdletter, speciale tekens en zeker geen delen van je eigen naam). Niet eenvoudig om die allemaal te onthouden en te roteren. Ook het telkens weer verplicht hernieuwen van wachtwoorden doet een zekere wachtwoordmoeheid optreden. Zelfs bij gebruik van tools om je inloggegevens te beheren.
Je kan het probleem oplossen door Single Sign On (SSO). Dit is een heel interessante optie waarbij de gebruiker maar één wachtwoord moet onthouden om toegang te krijgen tot zowel zijn corporate apps als zijn persoonlijke toepassingen. Hij hoeft dus ook geen wachtwoorden meer in de cloud op te slaan, want alles kan op één veilige plaats (central directory) bewaard, en dus ook beveiligd worden.
Om deze SSO veilig te maken kan je niet meer op één authenticatiemethode, zoals een wachtwoord, rekenen. Daarom is het sterk aangeraden om bij deze methode gebruik te maken van Multi-factor Authentication (MFA). Zo kan SSO in vele gevallen gekoppeld worden aan de toegangsbadge van de werknemer of aan zijn smartphone. Single Sign On kan onderdeel uitmaken van een verregaand Identity and Access Management (IAM). Concreet houdt IAM in dat je gebruikersprofielen automatisch aanmaakt, updatet of verwijdert. De toegang verbonden aan deze profielen geldt zowel voor de gehele it-systemen als data en apps.
Met IAM kan je het authenticatieproces grotendeels in handen geven van de gebruiker. Eens je de processen vereenvoudigd hebt, door de automatisatie die gelinkt is aan bestaande businessprocessen, kan je als it-team de gebruiker de verantwoordelijkheid geven om zelf zijn wachtwoorden te resetten. Anderzijds kan je met IAM ook de toegangsrechten tot bepaalde documenten, apps of zelfs ruimtes beheren. Waardoor de kans dat een onbevoegd persoon zich toegang verschaft tot de data, ook enorm wordt verkleind.
De ultieme stap – en daar is Bill Gates weer – is een wachtwoordvrije authenticatie. Bijvoorbeeld met een link die beperkt geldig is in tijd (denk bijvoorbeeld aan downloads via WeTransfer) of alleen maar door de bestemmeling kan worden geopend. De werknemer is tevreden omdat hij uitsluitend nog zijn login moet invullen en dan automatisch via een push-melding op zijn smartphone kan inloggen. Deny of approve is het enige waar hij op moet klikken. Je zou dit eventueel nog kunnen koppelen aan biometrische beveiliging zoals een vingerafdrukscan.
Waarom starten met IAM?
Voordelen zijn niet alleen een verhoogde productiviteit. Een goed IAM verlaagt ook de werkdruk van de it-afdeling die de vraag ‘Ik ben mijn wachtwoord vergeten’ niet meer moet beantwoorden. En het verhoogt de veiligheid, want de gebruiker is onmiddellijk op de hoogte wanneer iemand zijn login wenst te gebruiken. Hij krijgt immers direct een push-notificatie van de tool. Door gebruik te maken van een IAM-aanpak kan je de verschillende identiteiten centraal bewaren en baseren op vastgelegde regels. Waardoor het ook sneller gaat om nieuwe mensen met een klik op basis van een profiel te integreren.
Op die manier verhoog je niet alleen de tevredenheid bij de gebruiker, maar ook bij het it-team dat zich op meer strategische zaken kan focussen. IAM gaat niet alleen over technologie. Het gaat ook over mensen en over processen.
1 Bronnen: Verizon “2008 Databreach investigation” & Verizon “2018 Databreach investigation”
Fout opgemerkt of meer nieuws? Meld het hier