Authenticatie

Vroeger stonden computers in bewaakte ruimtes en werd uitsluitend fysiek toegang verleend tot personen om de computer te bedienen. Tegenwoordig zijn systemen via een netwerk of internet bereikbaar en is het nodig dat het systeem zelf weet of een gebruiker die iets probeert uit te voeren daadwerkelijk toestemming heeft om dat te doen. Daarvoor wordt authenticatie gebruikt. De gebruiker moet daarbij een bewijs van diens identiteit opgeven.

Verreweg het meestgebruikte bewijs van identiteit is het wachtwoord. Er zijn echter verschillende andere manieren van authenticatie, die vallen in drie categorieën:

• Iets wat je weet: zoals een wachtwoord, wachtzin of pincode.
• Iets wat je hebt: zoals een pasje, token of los apparaat.
• Iets wat je bent: biometrische kenmerken zoals een vingerafdruk, irisscan of aderpatroon.

Met ieder van deze soorten authenticatiemiddelen kan iets misgaan, hoewel steeds op een andere manier.

• Iets wat je weet kan door iemand anders worden geraden, afgeluisterd of onder valse voorwendselen onttrokken.
• Iets wat je hebt kan door iemand anders worden gestolen.
• Iets wat je bent kan door iemand anders worden gekopieerd.

Er bestaat op dit moment geen authenticatiemiddel waar geen misbruik van gemaakt kan worden. Daarom wordt altijd aanbevolen om tweefactorauthenticatie te gebruiken. Dat is een combinatie van authenticatiemiddelen uit twee van de bovengenoemde categorieën. Door twee factoren te combineren wordt misbruik veel moeilijker, omdat de methode van misbruik per factor anders is.

Lang niet alle internetdiensten geven tweefactorauthenticatie als optie. Dit heeft onder meer te maken met de kosten. Het vragen van een wachtwoord kost geen extra geld, maar als er tokens aan gebruikers moeten worden uitgedeeld dan kost dat extra geld per gebruiker. Als er een sms-bericht met een extra code wordt verstuurd dan kost dat extra geld per keer dat er wordt ingelogd. Een aanbieder moet die kosten afzetten tegen het risico op misbruik: hoe vaak komt dat voor en wat is de schade daarvan?

Omdat het wachtwoord het eenvoudigst en voordeligst is, wordt het vrijwel overal gebruikt. Tegelijkertijd is het wachtwoord ook het minst veilig. Via datalekken en phishingwebsites worden wachtwoorden voortdurend gestolen. Om een einde te maken aan deze situatie hebben technologiebedrijven samen de FIDO-alliantie opgericht. De FIDO-alliantie heeft een standaard ontwikkeld waarmee kan worden ingelogd zonder wachtwoord, die bestand is tegen afluisteren en phishing en die voor de aanbieder geen extra kosten met zich meebrengt. Dit is de WebAuthn-standaard.

WebAuthn gebruikt een digitale handtekening die op een apart apparaat wordt gemaakt (iets wat je hebt). Dat apparaat kan toegang verlenen tot die handtekening door middel van een biometrische scan (iets wat je bent) of een pincode (iets wat je weet). De gebruiker mag zelf kiezen welk apparaat hij of zij gebruikt, de digitale handtekening is voor de aanbieder altijd van gelijke aard. De gebruiker kan ook hetzelfde apparaat voor verschillende diensten gebruiken, en verschillende apparaten voor dezelfde dienst.

WebAuthn wordt nog niet vaak aangeboden, maar de verwachting is dat het binnen enkele jaren het traditionele wachtwoord zal hebben vervangen. Voor een toekomstbestendig authenticatiemechanisme beveelt het NCSC aan om WebAuthn te gebruiken.

Authenticatie is de technische kant van identiteits- en toegangsbeheer. Zorg dat je organisatie een beleid heeft waarin staat welke (typen) gebruikers toegang hebben tot welke systemen met welke rechten, hoe gebruikers toegang krijgen, hoe en wanneer de gebruikersaccounts worden aangemaakt en verwijderd en wat er moet gebeuren bij diverse uitzonderingssituaties.

Waarschijnlijk gebruikt jouw organisatie wachtwoorden. Het eerste advies van het NCSC is om over te stappen op de WebAuthn-standaard. Die standaard wordt echter nog niet ondersteund door alle systeemfabrikanten, dus zit je nog steeds vast aan het wachtwoord. Daarvoor heb je een wachtwoordbeleid nodig. In het wachtwoordbeleid staat welke eisen er aan wachtwoorden worden gesteld:

• Voorspelbaarheid: als gebruikers eenvoudig te raden wachtwoorden kiezen, kunnen aanvallers makkelijk binnendringen. Het NCSC adviseert om een actuele lijst met 10.000 veelgebruikte wachtwoorden te gebruiken en die wachtwoorden te verbieden.
• Lengte: hoe langer een wachtwoord, hoe sterker. Het NCSC adviseert om, afhankelijk van uw eigen risicobeoordeling, te kiezen voor een minimumlengte van 10 tot 24 tekens. Dwing geen maximumlengte af.
• Levensduur: als een wachtwoord wordt gestolen kan het worden gewijzigd. Het NCSC adviseert om bij tekenen van diefstal zoals phishingaanvallen of malwarebesmettingen gebruikers hun wachtwoord te laten wijzigen. Het periodiek wijzigen van wachtwoorden biedt slechts marginale verbetering en leidt in de praktijk tot eenvoudiger te raden wachtwoorden. Het NCSC adviseert om hier geen beperkingen in op te leggen.
• Variatie: verschillende tekens zoals hoofdletters, cijfers en leestekens bieden slechts marginale versterking en leiden in de praktijk tot eenvoudiger te raden wachtwoorden. Het NCSC adviseert om hier geen beperkingen in op te leggen.

Uiteindelijk is de sterkte van een wachtwoord slechts beperkt van invloed op de beveiliging. De meeste wachtwoorden worden gestolen via phishingaanvallen, en ieder wachtwoord is daar weerloos tegen. Tweefactorauthenticatie biedt meer bescherming tegen phishingaanvallen, en als u de WebAuthn-standaard gebruikt is phishing op dit moment nagenoeg onmogelijk.

Het NCSC is het Nederlandse aanspreekpunt in een internationaal netwerk voor het identificeren van dreigingen en het bestrijden van phishing. Om phishingwebsites zo snel mogelijk uit de lucht te halen geven we signaleringen van in Nederland gehoste websites door aan de relevante hostingpartij, en melden we phishing gericht tegen Nederlandse organisaties bij het contactpunt van het land waar die phishingwebsite gehost wordt. Dreigingsinformatie wordt ook gedeeld binnen het Nationaal Detectie Netwerk.

Het NCSC werkt ook samen met nationale en internationale partners aan kennisopbouw en het uitwisselen van ervaringen. De WebAuthn-standaard wordt nog niet veel toegepast, waardoor ervaringen van partijen die het wel toepassen zeer waardevol zijn voor anderen die de overstap nog moeten maken. Door partijen bij elkaar te brengen en eigen expertise in te brengen versterkt het NCSC de toepassing van WebAuthn en wordt Nederland stap voor stap digitaal veiliger dankzij het afschaffen van onveilige wachtwoorden.