Moeten bedrijven wachtwoorden afschaffen?

Simon Bramble

12/06/2017

Naar aanleiding van een aantal spraakmakende beveiligingsinbreuken in de afgelopen jaren, stellen we in dit tweede deel van de serie ‘Je bedrijf beveiligen’ het nut van wachtwoorden ter discussie.

De lijst met grote bedrijven die het slachtoffer zijn geworden van dure beveiligingsinbreuken die hun reputatie ernstig schaadden, wordt met de dag langer. Bedrijven als TalkTalk, eBay, Sony en de Amerikaanse bank JPMorgan Chase zijn het slachtoffer geworden van aanvallers die handig zijn in het kraken van wachtwoorden en social engineering-technieken toepassen om persoonlijke gegevens los te krijgen.

Zelfs Mark Zuckerberg was een doelwit: zijn Twitter-account werd gehackt. De grote baas van Facebook mag dan slim genoeg zijn om zijn concurrenten bij te benen, zijn wachtwoordgewoonten zijn dat beslist niet. Bij het recent ontdekte LinkedIn-lek waarbij vele wachtwoorden zijn gestolen, bleek dat Zuckerberg dezelfde inloggegevens gebruikte voor beide socialemediasites.

En hij is niet de enige. Uit een enquête door internetbeveiligingsbedrijf AVG onder kleine en middelgrote ondernemingen blijkt dat vier op de tien medewerkers dezelfde wachtwoorden gebruiken voor verschillende bedrijfssites. Verbazingwekkend is dat 67% van de respondenten zei dat één of twee anderen toegang tot hun wachtwoorden hadden.

Menselijke fouten zijn de belangrijkste oorzaak

Volgens AVG-beveiligingsevangelist Tony Anscombe “hebben aanvallen op de beveiliging vaak succes wanneer menselijke zwakheden worden misbruikt om nietsvermoedende bedrijfswerknemers toegang tot gevoelige gegevens te ontfutselen”. Veel bedrijven maken gebruik van wachtwoordsterktemeters om veilige inloggegevens te waarborgen – hoewel zelfs deze ter discussie worden gesteld door internetconsultant Mark Stockley – maar als werknemers hun inloggegevens per ongeluk onthullen, hebben die meters geen zin.

Het is veel moeilijker om biometrische identificatiegegevens te onthullen, en daarom is met name het bankwezen zeer voortvarend bezig met de introductie van alternatieven voor wachtwoorden. Dankzij de nauwkeurige herkenningstechnologie die nu gemeengoed is op smartphones van allerlei merken, wordt steeds er steeds vaker ingelogd via vingerafdrukherkenning.

In 2015 introduceerden RBS en NatWest apps waarbij je met je vinger moet tikken om toegang tot bankrekeningen te krijgen. Amerikaanse banken deden hetzelfde, waarbij Wells Fargo, Citigroup en USAA zelfs zover gingen dat ze vragen om respectievelijk een irisscan, spraakherkenning en gezichtscontourprofilering.

Vingerafdrukken kunnen niet zo worden opgeslagen als wachtwoorden

Banken maken zich steeds meer zorgen over het gemak waarmee traditionele wachtwoorden kunnen worden verkregen, zowel uit hun eigen datastores als uit die van hun klanten. En hoewel er ongerustheid bestaat over de mogelijkheid dat hackers straks ook de biometrische beveiliging kunnen kraken, zijn er al tegenmaatregelen. Zo is er irisscantechnologie die gebruikers vraagt de ogen te bewegen en op bepaalde momenten te knipperen om er zeker van te zijn dat er geen statische afbeelding van een oog wordt gebruikt.

Maar misschien zijn vingerafdrukscans, betere wachtwoordsterktemeters of training van werknemers om hun gegevens beter te beheren niet het beste wapen tegen wachtwoordhackers. Dat is tweestapsverificatie: je bevestigt iets waarmee je laat zien dat jij jij bent, zoals een pincode of een vingerafdruk, met iets wat je hebt, zoals een smartphone.

Samir Nanavati, expert op het gebied van biometrische beveiliging, zei het zo tegen de The New York Times: “Als je je telefoon hebt en je bevestigt met je vingerafdruk, is de kans groot dat jij het inderdaad bent.” Dus als je bedrijf er nog niet helemaal klaar voor is om wachtwoorden af te schaffen, is het verstandig een tweede beveiligingslaag toe te voegen, vooral op mobiele apparaten.

De volgende maand zal ThinkBlog in het laatste deel van de serie ‘Je bedrijf beveiligen’ adviseren welke essentiële maatregelen je bedrijf moet nemen om gegevens veilig te houden.

DIT VINDT U MISSCHIEN OOK INTERESSANT

Het kantoor in 2020

Wat organisaties van de 21e eeuw moeten weten.