Gemiddeld hebben we honderd combinaties van gebruikersnaam en wachtwoord. Ondanks de waarschuwingen om eigen, unieke en sterke wachtwoorden te maken, zien we nog veel makkelijke en gedeelde varianten. Slechte wachtwoorden, slechte beveiliging. Zeker als mensen ze niet veranderen. Komen we hier ooit vanaf?
Die vraag wordt nog urgenter als je nagaat dat in 32 procent van de datalekken er een vorm van phishing aan vooraf is gegaan, en in een derde van de gevallen social engineering. Heel vaak geven dus de gebruikers hun al dan niet sterke wachtwoord gewoon weg.
Om dit tegen te gaan is twee-factor en multifactor authenticatie geïntroduceerd. Het is niet langer afhankelijk van iets dat je weet (wachtwoord) maar ook van iets dat je hebt (bijvoorbeeld een app op je telefoon of een biometrische authenticatiemiddel). Dit versterkt de beveiliging, maar beperkt volgens sommigen weer de productiviteit. Zeker in de wereld van snelle ontwikkelaars en cloud-architecten, terwijl hun uitgebreide toegang tot systemen juist om extra beveiliging vraagt.
Wachtwoordloze authenticatie
Eerst maar even verwachtingsmanagement: wachtwoordloos betekent niet dat er geen wachtwoorden meer zijn. Het betekent wel dat eindgebruikers en applicatie-accounts niet direct gekoppeld zijn aan de inloggegevens die nodig zijn om toegang te krijgen tot cruciale systemen. Het doel is om security te verbeteren en het voor eindgebruikers makkelijker te maken om in te loggen. Dit wordt gerealiseerd doordat ze geen wachtwoorden meer hoeven in te voeren, maar toegang krijgen door iets dat alleen zij hebben en niemand anders, bijvoorbeeld biometrische identificatie. Als wachtwoorden niet zichtbaar zijn voor de gebruiker kunnen ze ook niet gestolen worden. Op deze manier is het hergebruiken en delen van wachtwoorden niet nodig, en is phishing ook zinloos. Zelfs iemand met toegang tot een systeem kan niet zomaar bij de authenticatie-gegevens, omdat ze niet lokaal worden opgeslagen.
Deze aanpak is handig voor persoonlijke wachtwoorden, maar hoe zit het met het beschermen van zeer gevoelige assets? Kunnen bedrijven wachtwoordloze toegang geven tot het root-account van een nieuwe machine of een service account dat kritieke services aanstuurt?
Deze vormen van privileged access vormen het grootste risico voor organisaties en moeten beter beschermd worden dan een normale wachtwoordloze tool kan bieden. Tier 1 en 0 systemen met de belangrijkste assets moeten worden beschermd door een geavanceerde privileged access management (pam)-oplossing. Deze kan inloggegevens opslaan en isoleren zodat gebruikers ze niet kennen – en ze daarmee feitelijk wachtwoordloos maken. Bovendien worden er extra beveiligingslagen toegevoegd zoals sessie-monitoring, recordings en op analyse gebaseerde dreiging-detectie.
Regels
Hoe zijn de verschillen te duiden tussen persoonlijke gebruikers, tier 1 beheerder en tier 0 systemen? Persoonlijke wachtwoorden zijn te beschermen met standaard wachtwoordloze methoden. Bedrijven moeten hun service accounts, admins en niet-menselijke accounts beschermen met sterkere, specifieke oplossingen. In beide gevallen zijn de regels echter gelijk:
– de gebruiker moet het wachtwoord zelf niet weten
– voor de gebruiker moet het een simpele, gestroomlijnde handeling zijn
– secrets moeten beschermd zijn en gerouleerd worden
– toegang tot deze secrets moet beschermd worden en gemonitord
Op deze manier komen we in de buurt van een wereld waar wachtwoorden niet langer de zwakste schakel zijn. Een wachtwoordloze wereld, vermoedelijk een veiligere wereld.
