Vier 5 mei... met World Password Day

Dit artikel delen:

Vandaag vieren we niet alleen onze vrijheid (in Nederland), maar ook World Password Day, voor de negende keer. Aanleiding voor bedrijven en overheden om de discussie rondom het gebruik van sterke wachtwoorden weer eens aan te zwengelen. Zwakke wachtwoorden (of slecht wachtwoordgebruik) zijn immers vaak de oorzaak van inbreuken. Diverse beveiligingsexpert grijpen deze dag, de eerste donderdag van mei, daarom aan om hier extra aandacht voor te vragen.

Zo geeft onderzoeks- en opleidingsinstituut Sans Institute diverse tips en trucs om het cyberaanvallers zo lastig mogelijk te maken, bijvoorbeeld voor multifactor-authenticatie  (mfa). Mfa gaat op wanneer meerdere authenticatiefactoren worden gebruikt voordat toegang wordt verleend. Op deze manier zijn accounts nog steeds veilig als een wachtwoord is gecompromitteerd, aangezien de andere factor (of factoren) je nog steeds beschermen.

Uit onderzoek van Microsoft zou blijken dat mfa 99 procent van de op authenticatie gebaseerde aanvallen verslaat. Hoewel mfa niet onfeilbaar is, is het volgens Sans een van de meest effectieve en bewezen stappen die organisaties kunnen nemen om het risico op inbreuken drastisch te verminderen.

Er zijn meerdere manieren om mfa binnen de organisatie te implementeren. Welke methodieken er binnen een organisatie worden gebruikt, hangt in grote mate af van het eigen securityteam. Daarbij is het volgens Sans belangrijk dat organisaties oefenen in het gebruik van mfa; niet alleen voor werkaccounts, maar ook voor persoonlijke accounts, zoals Gmail, Amazon of andere sites. Daardoor raken medewerkers vertrouwd met de verschillende mfa-methoden en -benaderingen. In de volgende alinea geeft Sans een overzicht van de meest gebruikte technieken.

Mfa-technieken

Sms-code: een eenmalige, unieke code wordt via sms naar een smartphone verzonden. Deze code gebruik je dan samen met je wachtwoord om te authenticeren en in te loggen. De sms-code is de meest gebruikte benadering.

Codegenerator: je mobiele apparaat heeft een mobiele authenticatie-app (zoals Google  Authenticator) die unieke eenmalige codes genereert, die vervolgens moeten worden ingevoerd op de computer. Deze authenticatie-apps kunnen honderden accounts tegelijk ondersteunen.

Verificatiemeldingen: sommige mobiele authenticatie-apps (waaronder Authenticator van Microsoft) zorgen ervoor dat wanneer je je aanmeldt bij bepaalde websites, de website een authenticatieverzoek naar de mobiele app stuurt met de vraag of dat je inderdaad probeert in te loggen. Als dat het geval is, keur je het authenticatieverzoek via het apparaat goed.

Fido (Fast IDentity Online): je krijgt een fysiek apparaat dat verbinding maakt met je laptop of computer en  geregistreerd staat bij de websites waarop je regelmatig inlogt. Wanneer het apparaat is aangesloten op de computer en je deze websites bezoekt, authenticeert het apparaat de gebruiker. Deze benadering is de veiligste authenticatiemethode, aangezien er geen unieke code of authenticatieverzoek is en er niets is voor cyberaanvallers om hun slachtoffers te misleiden of voor de gek te houden.

Adviezen

Niet alleen Sans Institute grijpt 'Wereldwachtwoorddag' aan om adviezen te geven. Ook andere it-beveiligingsbedrijven komen vandaag met tip. Zo legt Sophos uit hoe je een goed wachtwoord kiest en raadt Mark-Peter Mansveld, directeur North Europe, Middle East en Israel bij Proofpoint met klem aan om verschillende wachtwoorden te gebruiken, vooral voor financiële accounts en accounts waarop veel data staan. 'Het hergebruik van wachtwoorden is nog risicovoller geworden doordat criminelen er steeds vaker in slagen om met geavanceerde phishing-campagnes inlognamen en wachtwoorden te stelen via nepwebsites die lijken op de legitieme inlogpagina’s.'

Mansveld adviseert daarom het toepassen van multifactor-authenticatie en/of gebruik een wachtwoordmanager.' Met zo'n laatste applicatie voor wachtwoordbeheer is het niet meer nodig om meerdere wachtwoorden te onthouden, waardoor gebruikers eerder geneigd zijn veiligere en langere wachtwoorden te gebruiken.

Let op softwarerobots

Vakbeurs Cybersec Europe

Op 11 en 12 mei vindt Cybersec Europe plaats. Deze Europese securityvakbeurs kan zowel fysiek in Brussel als online worden bezocht. Registreren voor een bezoek kan via www.cyberseceurope.com.

Bryan Murphy, senior director Consulting Services & Incident Response bij CyberArk, vindt dat er meer aandacht moet komen voor aanvallen op softwarerobots: kleine stukjes code die repetitieve taken uitvoeren. Die bestaan inmiddels in grote aantallen in organisatie en zijn een aantrekkelijk doelwit geworden voor cybercriminelen. Aanvallers gaan specifiek achter bots aan omdat ze weten dat hun wachtwoorden in veel gevallen niet worden gerouleerd.

Bovendien hebben deze bots over het algemeen te veel rechten, meer toegang dan ze nodig hebben en niet altijd zoals menselijke identiteiten worden gecontroleerd op opvallendheden. Een gecompromitteerde bot geeft een aanvaller toegang en gelegenheid om onopgemerkt te blijven. 'We zien nog regelmatig bots die een back-up maken van alle servers of domein-admin-accounts. In sommige gevallen gebruiken deze bots nog steeds standaardwachtwoorden. Een overname hiervan geldt als een 'game over' situatie voor de betreffende organisatie', waarschuwt Murphy.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-05-05T12:26:00.000Z Rik Sanders


Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.