Je gaat aan je bureau zitten, klaar om de dag te beginnen. Voordat u zelfs maar uw eerste e-mail kunt openen, heeft u al drie verschillende wachtwoorden ingetypt, elk complexer dan het vorige. Tegen lunchtijd heb je het ritueel een half dozijn keer herhaald. Het is frustrerend, het gaat langzaam en het overkomt miljoenen werknemers elke dag.
Dit is wachtwoordvermoeidheid– de stilte productiviteit dodelijke en verborgen veiligheidsrisico’s waar moderne ondernemingen mee kampen. Het is meer dan een ergernis; het is een kostbare kwetsbaarheid. Uit ons wereldwijde onderzoek is gebleken dat de meeste gebruikers nog steeds vertrouwen op wachtwoorden als hun primaire authenticatiemethode. Dit zou de meeste organisaties zorgen moeten baren, omdat bedrijven in een tijdperk dat wordt gekenmerkt door overal-werkbeleid, apps en mobiele apparaten nog steeds vertrouwen op een verdedigingsmechanisme dat sinds de jaren zestig niet noemenswaardig is geëvolueerd.
Complexiteit zonder beveiliging
Als het gaat om de complexiteit van wachtwoorden, zijn organisaties verdoemd als ze dat doen, en verdoemd als ze dat niet doen. Ofwel laten ze de complexiteit helemaal varen – kijk naar de Louvredat ‘Louvre’ als wachtwoord gebruikte om zijn bewakingssysteem te beveiligen – of steeds complexere reeksen van gemengde hoofdletters, cijfers, symbolen, frequente wijzigingen en multi-factor authenticatie (MFA) nodig had.
Hoewel bedoeld om de beveiliging te versterken, kunnen complexe wachtwoordvereisten net zo goed het tegenovergestelde effect hebben. Hoe vaak is iemand dagenlang buitengesloten van zijn systeem omdat hij zijn herstelantwoord is vergeten, of de telefoon is kwijtgeraakt die de authenticatielink verzendt die nodig is om toegang te verlenen? En in hoeveel gevallen heeft die persoon besloten deze goedgekeurde tools achterwege te laten en gevoelige gegevens te uploaden naar een persoonlijke Google Drive – gemakkelijker toegankelijk voor hen en hun collega’s, maar ook gemakkelijker voor cybercriminelen om te misbruiken?
De tragedie is dat extra complexiteit de veiligheid niet garandeert. Cybercriminelen hebben zich al lang aangepast aan de vooruitgang op het gebied van wachtwoorden door middel van credential stuffing en brute-force-aanvallen. Maar de meest effectieve techniek die ze gebruiken, richt zich op de zwakste schakel in de wachtwoordketen; niet het wachtwoord zelf, maar de persoon die het heeft gemaakt.
Waarom zou u urenlang proberen een slot te kraken als de eigenaar u onbewust de combinatie zal overhandigen? Er zijn voorbeelden geweest van cybercriminelen vergelijkbare inlogpagina’s om wachtwoorden te verzamelen. De enorme datalekken die toesloegen MGM-resorts En Clorox waren het resultaat van cybercriminelen die zich voordeden als legitieme gebruikers en de IT-helpdesk vroegen hun wachtwoord en MFA opnieuw in te stellen. Deze bedreigingsactoren hebben niet ingebroken, maar ingelogd.
De opkomst van AI heeft het wachtwoordprobleem nog urgenter gemaakt. Cybercriminelen nu gebruik AI om wachtwoorden te radenmaak onberispelijke phishing-e-mails en genereer zelfs deepfake-stemmen om helpdeskpersoneel te misleiden. Traditionele wachtwoorden zijn simpelweg niet bestand tegen deze nieuwe generatie aanvallen.
Volgens de RSA ID IQ-rapport 202669% van de organisaties meldde de afgelopen drie jaar een identiteitsgerelateerde inbreuk, een stijging van 27 procentpunten ten opzichte van het onderzoek van vorig jaar. Dit zijn geen abstracte statistieken; ze vertegenwoordigen echte financiële verliezen, operationele verstoringen en reputatieschade. En in veel gevallen hadden ze voorkomen kunnen worden.
Maar hoe? Werknemers worden belast met steeds onbeheersbaardere inlogrituelen, maar toch blijven organisaties blootgesteld aan de inbreuken die deze maatregelen juist moesten voorkomen. Dus, wat is het antwoord?
De wachtwoordloze oplossing
De meest haalbare uitweg uit deze cyclus is wachtwoordloze authenticatie. Als er geen wachtwoord meer te stelen is, verminderen organisaties hun risico’s aanzienlijk en stroomlijnen ze het inlogproces door de noodzaak weg te nemen om een wachtwoordreeks te onthouden, bij te werken of voortdurend opnieuw in te voeren.
Wachtwoorden zijn doorgaans afhankelijk van ‘iets dat u weet’ zodat gebruikers toegang kunnen krijgen. Wachtwoordloze authenticatie vervangt het typen van een wachtwoord door twee of meer andere factoren, waaronder ‘iets dat je hebt’, zoals een mobiele telefoon of hardwaretoken, of ‘iets dat je bent’, zoals een gezichts- of vingerafdrukscan.
Doorgaans manifesteert het gebruik van deze factoren zich op een van de volgende drie manieren, elk met zijn eigen afwegingen:
Authenticator-apps en pushmeldingen:
- Wat het is: In plaats van een wachtwoord te typen, voert de gebruiker zijn gebruikersnaam in en ontvangt hij een beveiligde melding op een vertrouwde mobiele app waarin hem wordt gevraagd de login te verifiëren, vaak door een nummer te matchen.
- Pluspunten: Zeer populair in zakelijke omgevingen; is afhankelijk van de smartphone die de gebruiker al bij zich heeft.
- Nadelen: Vereist dat de gebruiker een smartphone heeft met gegevenstoegang; iets langzamer dan directe biometrie; gevoelig voor phishing en andere aanvallen.
Magische koppelingen:
- Wat het is: Vergelijkbaar met de ‘wachtwoord vergeten’-link die Instagram of Slack je kan sturen, stuurt het systeem een unieke link per e-mail of sms’t het een code om je in te loggen.
- Pluspunten: Er is geen hardware of configuratie vereist; het werkt op elk apparaat met toegang tot e-mail.
- Nadelen: Hoewel dit ‘wachtwoordvrij’ is, is dit niet echt ‘wachtwoordloos’ in de zin van beveiliging. Het is afhankelijk van de veiligheid van de e-mailinbox (die vaak alleen wordt beschermd door een zwak wachtwoord) en is nog steeds vatbaar voor phishing en onderschepping.
Platformbiometrie (Face ID, Touch ID, Windows Hello):
- Wat het is: De gebruiker verifieert zijn identiteit met behulp van een vingerafdrukscan of gezichtsherkenning die rechtstreeks in zijn laptop of smartphone is ingebouwd.
- Pluspunten: Dit biedt het hoogste gemak en snelheid; gebruikers zijn al getraind om hun telefoons op deze manier te ontgrendelen.
Nadelen: Het koppelt de inloggegevens aan een specifiek apparaat. Als dat apparaat kwijtraakt of kapot gaat, moeten de mechanismen voor accountherstel robuust zijn.
Waar u op moet letten bij een wachtwoordloze oplossing op ondernemingsniveau
Als u wachtwoordloze opties voor uw bedrijf evalueert, stel uzelf dan deze twee vragen:
1. Is het alomvattend? Als uw oplossing slechts voor één omgeving of gebruikersgroep werkt, moet u aanvullende oplossingen toevoegen om alles en iedereen te dekken. Een oplossing kan bijvoorbeeld naadloze biometrische login bieden voor moderne cloud-apps zoals Office 365, maar volledig mislukken met oudere on-premises mainframes of VPN’s, waardoor gebruikers gedwongen worden terug te vallen op wachtwoorden voor kritieke interne systemen.. Uw oplossing moet op elk platform, implementatiemodel en elke omgeving werken: cloud, on-premise, edge, legacy, Microsoft en macOS.
2. Is het echt veilig? Bestand tegen phishing is een belangrijke trend in oplossingen zonder wachtwoord, en is een cruciaal kenmerk voor het elimineren van een van de meest voorkomende aanvalsvectoren met de grootste impact. Maar phishing-resistentie is niet voldoende; organisaties moeten ook bypass-bestendig, malware-bestendig, fraudebestendig en bestand tegen storingen zijn. Als een cybercrimineel wachtwoordloze MFA kan omzeilen door uw IT-helpdesk ervan te overtuigen hem binnen te laten, dan is de wachtwoordloze methode op zich niet zoveel waard.
De transitie maken
De overstap naar een ander paradigma gebeurt niet van de ene op de andere dag, maar de beloning is onmiddellijk zichtbaar. Begin met uw meest kritieke applicaties of gebruikers met het hoogste risico en kies apparaatgebonden wachtwoordsleutels in plaats van gesynchroniseerde alternatieven waarmee sleutels tussen apparaten kunnen zwerven voor een betere beveiliging.
Bouw rigoureuze inschrijvingsprocessen met identiteitsverificatie en liveness-detectie, die valideert dat de biometrische bron een levend persoon is. Bescherm bovendien uw helpdesk met bilaterale verificatie: dit proces bevestigt de identiteit van de beller via een apparaatprompt en bewijst de legitimiteit van de agent door de geverifieerde status op het scherm van de beller weer te geven.
Plan voor veilig herstel wanneer apparaten verloren gaan door het instellen van fallbacks met hoge zekerheid, zoals vooraf geregistreerde back-upsleutels of biometrische herverificatie, in plaats van wachtwoorden. Zoek naar oplossingen die automatisch apparaatgebonden toegangscodes verstrekken wanneer gebruikers de app registreren. Meet ten slotte het percentage wachtwoordloze authenticaties in de loop van de tijd ten opzichte van eventuele vermoedelijke accountcompromissen om er zeker van te zijn dat uw acties een positieve impact hebben.
Door de dagelijkse verspilling van wachtwoordmoeheid te elimineren en tegelijkertijd een van de grootste deuren voor cybercriminelen te sluiten, kunnen bedrijven eindelijk zowel de productiviteit als de gemoedsrust terugwinnen.
