Waarom wachtwoorden niet meer genoeg zijn om hackers buiten de deur te houden

De drie factoren om identiteit vast te stellen

Allereerst is het goed om te begrijpen waarom wachtwoorden vandaag de dag zowel persoonlijk als zakelijk nog steeds de standaard zijn als het gaat om het vaststellen van iemands identiteit. Er zijn namelijk verschillende factoren die kunnen worden gebruikt om iemands identiteit vast te stellen. De meest gebruikte methoden zijn:

Iets wat iemand weet: Denk hierbij aan het gebruik van een wachtwoord, een pincode of een antwoord op een geheime vraag. Het idee is dat alleen de juiste persoon de juiste informatie kan verstrekken. Dit is een van de eenvoudigste en goedkoopste methoden om identiteit vast te stellen.

Iets wat iemand heeft: Deze methode omvat het gebruik van een fysiek object dat de persoon bezit, zoals een pasje, een mobiele telefoon of een huissleutel. Dit gaat uit van het principe dat alleen de juiste persoon het fysieke object kan gebruiken om zijn of haar identiteit te bewijzen.

Iets wat iemand is: Hierbij gaat het om biometrische gegevens zoals vingerafdrukken of een pasfoto in een paspoort om de identiteit van een persoon vast te stellen. Het idee is dat elk individu unieke biometrische kenmerken heeft die kunnen worden gebruikt om de identiteit te verifiëren.

Hoe meer methoden er worden gecombineerd, hoe zekerder men kan zijn van de identiteit van de persoon. Bijvoorbeeld, als iemand een wachtwoord, een pasje en een vingerafdruk nodig heeft om zijn of haar identiteit te bewijzen, dan is de kans zeer klein dat iemand anders dan de juiste persoon toegang krijgt. Maar in de praktijk krijgen wachtwoorden (iets wat iemand weet) meestal de voorkeur, omdat dit vaak de eenvoudigste en goedkoopste methode is om iemands identiteit vast te stellen.

Het probleem met wachtwoorden

Dat wachtwoorden het vaakst worden gebruikt om iemands identiteit vast te stellen, betekent niet dat het ook de veiligste methode is. De menselijke factor gooit hier namelijk roet in het eten. Het gebruik van zwakke wachtwoorden, zoals namen van huisdieren of favoriete sportclubs, maakt het voor aanvallers gemakkelijker om toegang te krijgen. Maar het voornaamste probleem is dat mensen wachtwoorden te vaak hergebruiken. Want hoe vaker je een geheim deelt, hoe minder geheim het uiteindelijk is.

Wanneer hetzelfde wachtwoord wordt gebruikt voor meerdere accounts, maak je het voor hackers gemakkelijker om toegang te krijgen tot alle online activiteiten. Want als een wachtwoord eenmaal op straat ligt, door bijvoorbeeld een datalek, kunnen hackers opeens bij alle andere accounts van de gebruiker, inclusief de bedrijfs-VPN en zakelijke e-mailaccounts.

Het is dus belangrijk dat medewerkers unieke wachtwoorden gebruiken voor elk account. Maar de gemiddelde Nederlander heeft 20 tot 25 verschillende accounts, waardoor het vrijwel onmogelijk is om elk wachtwoord te onthouden. Een wachtwoordmanager biedt hier zowel zakelijk als privé een oplossing. Het helpt om unieke en sterke wachtwoorden te genereren en op te slaan voor elk account dat je hebt. Op deze manier hoeven medewerkers slechts één hoofdwachtwoord te onthouden om toegang te krijgen tot alle opgeslagen wachtwoorden.

Hoewel er enig risico is dat een wachtwoordmanager zelf gehackt kan worden, is dit risico over het algemeen kleiner dan het risico dat het hergebruiken van wachtwoorden met zich meebrengt. Bovendien is de toegang tot de wachtwoordmanager beveiligd met een extra laag beveiliging, zoals tweestapsverificatie, zodat zelfs als een aanvaller toegang heeft tot het apparaat, men niet in staat zal zijn om toegang te krijgen tot de opgeslagen wachtwoorden.

Twee zijn beter dan één

Om de risico’s van wachtwoorden te beperken bieden steeds meer partijen tweestapsverificatie aan. In plaats van alleen een wachtwoord te gebruiken, vraagt tweestapsverificatie om een tweede factor om te bewijzen dat de gebruiker daadwerkelijk toegang moet krijgen tot het account. Dit kan bijvoorbeeld iets zijn wat iemand heeft, zoals een code gegenereerd door een app op de telefoon of een fysieke token, maar ook iets iemand is zoals een vingerafdruk of gezichtsherkenning.

Tweestapsverificatie is een belangrijke stap voorwaarts op het gebied van beveiliging, omdat het de veiligheid verbetert als het wachtwoord zwak is. Een hacker die het wachtwoord van een gebruiker weet te kraken, heeft ook de tweede factor nodig om toegang te krijgen tot het account. Dit betekent dat tweestapsverificatie een sterkere beveiligingslaag biedt dan alleen een wachtwoord.

Maar aanvallers blijven op zoek naar manieren om in te breken in organisaties, en sommige aanvallen kunnen nog steeds succesvol zijn, zelfs als tweestapsverificatie is ingeschakeld. Bijvoorbeeld door middel van phishing-aanvallen, waarbij een aanvaller een valse website maakt die lijkt op de echte website en de gebruiker vraagt om in te loggen met hun wachtwoord en tweede factor. Als de gebruiker zijn of haar inloggegevens invoert op de phishing-site, kan de aanvaller toegang krijgen tot het account.

Ook zien we dat veel partijen tweestapsverificatie aanbieden via een app op de telefoon, die een pop-up met de keuze om te accepteren of af te wijzen weergeeft. Dit is een stuk gebruiksvriendelijker dan een sms-code. Maar in de praktijk klikken veel mensen veel te makkelijk op accepteren. En wanneer ze op annuleren klikken gebeurt er weinig om de hacker tegen te gaan. Tweestapsverificatie is dus ook geen waterdichte oplossing.

Een wachtwoordloze toekomst

Bestaande verificatiemogelijkheden zijn dus nog niet waterdicht. Om deze problemen op te lossen, werkt de security-branche momenteel aan nieuwe methoden voor identificatie en authenticatie. Eén van de meest veelbelovende methoden is Passkey, dat ontwikkeld is op basis van de FIDO-standaard en nu wordt ondersteund op bijvoorbeeld iPhones van Apple.

Passkey maakt gebruik van een apparaat dat in feite fungeert als digitale sleutel (iets wat iemand heeft) voor alle accounts en websites. In tegenstelling tot het traditionele systeem van gebruikersnamen en wachtwoorden, hoeft men bij Passkey geen wachtwoorden meer te onthouden. In plaats daarvan gebruikt men het apparaat om in te loggen op verschillende websites. Ook is het mogelijk om een tweede factor toe te voegen, zoals biometrie (iets wat iemand is) met behulp van de vingerafdrukscanner van de iPhone.

Het grote voordeel van Passkey is dat het veel veiliger is dan traditionele wachtwoorden. Het apparaat controleert namelijk of de website waar op wordt ingelogd ook daadwerkelijk betrouwbaar is. Als de website niet overeenkomt met de echte website, weigert het apparaat de inlogpoging. Hierdoor is phishing vrijwel onmogelijk geworden. Een ander voordeel van Passkey is dat er geen back-ups meer gemaakt hoeven te worden van de sleutels. Als een medewerker zijn of haar apparaat verliest, kunnen de sleutels namelijk eenvoudig teruggehaald worden via een Apple- of Google-account.

Passkey heeft de potentie om de manier waarop we ons identificeren en authenticeren drastisch te veranderen. Maar het is wel afhankelijk van de ondersteuning van websites. Als deze methode echter breed wordt geadopteerd dan gaan we een wachtwoordloze en veiligere toekomst tegemoet.