Alleen een wachtwoord is niet veilig genoeg meer
Expertblogs
Meervoudige authenticatie staat in de belangstelling. Er klinken steeds meer geluiden dat authenticatie op basis van alleen een wachtwoord niet meer voldoende is en dat er een extra authenticatiestap aan toe moet worden gevoegd. Waar komen deze geluiden vandaan? En waarom wordt het nog zo weinig gebruikt? Ik wil jullie in deze blog meenemen in dit probleem, maar ook uitleggen dat traditionele meervoudige authenticatie nog niet het definitieve antwoord is. FIDO2 is de standaard die we meer zouden moeten toepassen.
Het wachtwoord is de zwakste schakel
Heel veel digitale aanvallen richten zich op wachtwoorden. Voor een aanvaller is dat het makkelijkst. Een wachtwoord stelen is heel eenvoudig; je stuurt een paar phishing-e-mails met een link naar een neppe inlogpagina en als je er genoeg hebt verstuurd is er altijd wel iemand die hapt. Als je eenmaal een wachtwoord gestolen hebt, kun je op een netwerk binnendringen en heel veel narigheid aanrichten zonder dat het wordt opgemerkt.
De Autoriteit Persoonsgegevens ziet ook dat veel datalekken voorkomen hadden kunnen worden als een wachtwoord niet de enige beveiligingslaag was. We zijn dus op een punt beland dat we moeten vaststellen dat het wachtwoord onvoldoende beveiliging biedt.
Phising niet meer het probleem van banken alleen
Phishing was vroeger vooral een probleem voor banken. Vandaag de dag kan iedere organisatie met phishing te maken krijgen. Dat komt omdat banken steeds beter beveiligd zijn, en cybercriminelen andere verdienmodellen hebben gevonden. Op dit moment is ransomware in de mode. Hierbij gijzelen criminelen bestanden door ze te versleutelen en geven ze pas terug als er losgeld is betaald. We zien dat ook deze aanvallers vaak als eerste via een gestolen wachtwoord bij een organisatie binnenkomen.
Meervoudige authenticatie
Meervoudige authenticatie is beter bestand tegen phishing, maar niet immuun. Er zijn verschillende oplossingen voor meervoudige authenticatie. De meeste komen neer op een extra code die ingevuld moet worden en die voor een zeer beperkte tijd geldig is. Deze code komt uit een aparte app of wordt per sms verstuurd. Dit helpt voor een deel. Aanvallers kunnen nog wel een phishingwebsite maken die op de achtergrond ook 'live' inlogt bij de echte dienst. Ze zorgen er dan voor dat het slachtoffer hun code invult op een tweede pagina.
Dit is nuttig voor de aanvaller als die ook direct van de gelegenheid gebruik wil maken. Wat aanvallers vervolgens vaak doen is een achterdeur op het netwerk installeren waardoor ze niet meer via die gestolen account hoeven in te loggen. Cybercriminelen willen echter ook hun gestolen wachtwoorden doorverkopen, maar daarvoor zijn ze waardeloos geworden.
Voor grote organisaties is meervoudige authenticatie betaalbaar. Houd je echter op vrijwillige basis een hobbyforum in de lucht, dan is het regelen van meervoudige authenticatie een kostenpost die niet in verhouding lijkt te staan tot de extra beveiliging die het oplevert. Toch zul je moeten zoeken naar een oplossing, want zelfs voor een hobbyforum is alleen een wachtwoord niet veilig genoeg meer.
Als je de adviezen van mijn collega Hugo Leisink hebt opgevolgd dan heb je natuurlijk een risicocoanalyse gedaan. Daar kwam destijds misschien uit dat de beperkte extra beveiliging van meervoudige authenticatie de kosten niet waard waren. Ik wil je uitnodigen om die risicoanalyse nog eens te doen gezien twee veranderde variabelen: het dreigingsniveau is hoger geworden, zoals ik hierboven al beschrijf, en er is nu een betere én goedkopere oplossing beschikbaar.
De oplossing: FIDO2
Bijna alle grote technologiebedrijven hebben de afgelopen jaren samengewerkt aan een nieuwe open standaard voor inloggen: FIDO2. Deze standaard werkt op basis van een cryptografisch token in plaats van een wachtwoord. Dit lost diverse problemen op. Phishing wordt veel ingewikkelder voor aanvallers, het stelen van authenticatiemiddelen is niet schaalbaar en kan niet op afstand, het is goedkoop om aan te bieden en voor gebruikers prettiger om mee te werken.
Heb je een webapplicatie? Gebruik dan WebAuthn. Dat is de webversie van de FIDO2-standaard. Er is een demonstratiewebsite die toont hoe het werkt en hoe je het zelf kunt toepassen. Je hebt geen excuus om hier niet vandaag mee te beginnen.
Andere softwareplatformen die je gebruikt kunnen ook voor FIDO2 aangepast worden. Vraag er vooral naar bij de ontwikkelaars, want zij hebben ook geen excuus om er niet vandaag mee te beginnen.
Koen Sandbrink
Adviseur bij het NCSC
Meer weblogberichten
Reactie toevoegen
U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.
Reacties
Er zijn nu geen reacties gepubliceerd.