Je gaat aan je bureau zitten, klaar om de dag te beginnen. Voordat u zelfs maar uw eerste e-mail kunt openen, heeft u al drie verschillende wachtwoorden ingetypt, de ene ingewikkelder dan de vorige. Tegen lunchtijd had je het ritueel een zestal keer herhaald. Het is frustrerend, traag en overkomt dagelijks miljoenen werknemers.
Dit wachtwoordvermoeidheid– de stille productiviteit Dodelijke en verborgen veiligheidsrisico’s teisteren de moderne onderneming. Dit is meer dan alleen maar hinderlijk; Dit is een kostbare kwetsbaarheid. Uit ons wereldwijde onderzoek is gebleken dat de meeste gebruikers nog steeds vertrouwen op wachtwoorden als hun primaire authenticatiemethode. Dit zou voor de meeste organisaties een bron van zorg moeten zijn, omdat bedrijven in een tijdperk dat wordt bepaald door beleid waar je overal kunt werken, apps en mobiele apparaten nog steeds vertrouwen op verdedigingsmechanismen die sinds de jaren zestig niet noemenswaardig zijn geëvolueerd.
Complexiteit zonder beveiliging
Als het gaat om de complexiteit van wachtwoorden, zijn organisaties verdoemd als ze dat doen, en verdoemd als ze dat niet doen. Ze zullen de complexiteit totaal negeren – kijk maar eens Louvredat ‘Louvre’ als wachtwoord gebruikt om zijn bewakingssystemen te beveiligen – of een steeds complexere reeks gevallen, cijfers, symbolen, frequente wijzigingen en meervoudige authenticatie (MFA) vereist.
Hoewel bedoeld om de beveiliging te versterken, kunnen complexe wachtwoordvereisten het tegenovergestelde effect hebben. Hoe vaak is iemand dagenlang buitengesloten van zijn systeem omdat hij zijn herstelantwoord was vergeten, of de telefoon was kwijtgeraakt die de authenticatielink stuurde die nodig was om toegang te verlenen? En hoe vaak besluiten die mensen om die goedgekeurde tools achterwege te laten en gevoelige gegevens te uploaden naar een persoonlijke Google Drive – gemakkelijker toegankelijk voor hen en hun collega’s, maar ook gemakkelijker voor cybercriminelen om te misbruiken?
De tragedie is dat de toenemende complexiteit de veiligheid niet garandeert. Cybercriminelen hebben zich al lang aangepast aan de vooruitgang op het gebied van wachtwoorden door het opvullen van inloggegevens en brute force-aanvallen. Maar de meest effectieve techniek die ze gebruiken, richt zich op de zwakste schakel in de wachtwoordketen; niet het wachtwoord zelf, maar de persoon die het heeft gemaakt.
Waarom urenlang proberen een slot open te breken terwijl de eigenaar u onbewust de sleutelcombinatie heeft gegeven? Er zijn verschillende voorbeelden van cybercriminaliteit soortgelijke inlogpagina om wachtwoorden te verzamelen. Het enorme datalek dat toesloeg MGM-resorts En Chlorox is het resultaat van cybercriminelen die zich voordoen als legitieme gebruikers en de IT-helpdesk vragen hun wachtwoorden en MFA opnieuw in te stellen. Deze bedreigingsactoren breken niet in, ze breken in.
Opkomst AI heeft de wachtwoordkwestie nog urgenter gemaakt. Cybercriminelen nu gebruik AI om wachtwoorden te radencreëer de perfecte phishing-e-mail en genereer zelfs een nepstem om het helpdeskpersoneel voor de gek te houden. Traditionele wachtwoorden zijn niet bestand tegen deze nieuwe generatie aanvallen.
Volgens RSA ID IQ-rapport 202669% van de organisaties meldde de afgelopen drie jaar identiteitsgerelateerde inbreuken, een stijging van 27 procentpunten ten opzichte van het onderzoek van vorig jaar. Dit zijn geen abstracte statistieken; ze vertegenwoordigen echte financiële verliezen, operationele verstoringen en reputatieschade. En in veel gevallen kan dit zelfs voorkomen worden.
Maar hoe? Werknemers worden belast met een toenemend aantal onbeheersbare inlogrituelen, maar organisaties worden nog steeds blootgesteld aan de inbreuken die deze maatregelen juist moesten voorkomen. Dus, wat is het antwoord?
Wachtwoordloze oplossing
De meest haalbare uitweg uit deze cyclus is wachtwoordloze authenticatie. Als er geen wachtwoorden meer zijn om te stelen, verminderen organisaties het risico aanzienlijk en vereenvoudigen ze het inlogproces door de noodzaak weg te nemen om wachtwoordsets te onthouden, bij te werken of voortdurend opnieuw in te voeren.
Wachtwoorden zijn meestal afhankelijk van ‘iets dat u weet’ zodat gebruikers toegang kunnen krijgen. Wachtwoordloze authenticatie vervangt het typen van een wachtwoord door twee of meer andere factoren, waaronder ‘iets dat je hebt’, zoals een telefoon- of hardwaretoken, of ‘iets dat je bent’, zoals een gezichtsscan of vingerafdruk.
Meestal wordt het gebruik van dergelijke factoren op een van de drie manieren gerealiseerd, die elk hun eigen gevolgen hebben:
Authenticator-app en pushmeldingen:
- Wat is dat: In plaats van een wachtwoord in te voeren, voeren gebruikers hun gebruikersnaam in en ontvangen ze een beveiligde melding in een vertrouwde mobiele app waarin hen wordt gevraagd hun login te verifiëren, vaak door een nummer te matchen.
- Overmaat: Zeer populair in zakenkringen; vertrouwend op de smartphone die de gebruiker al bij zich heeft.
- Balie: Vereist dat gebruikers een smartphone hebben met gegevenstoegang; iets langzamer dan directe biometrie; kwetsbaar voor phishing en andere aanvallen.
Magische link:
- Wat is dat: Net als de ‘wachtwoord vergeten’-link die Instagram of Slack je kunnen sturen, stuurt het systeem een unieke link via e-mail of stuurt je een sms-code om je in te loggen.
- Overmaat: Geen hardware of configuratie vereist; het werkt op elk apparaat dat toegang heeft tot e-mail.
- Balie: Hoewel het ‘wachtwoordvrij’ is, is het niet echt ‘wachtwoordvrij’ in termen van beveiliging. Het is afhankelijk van de beveiliging van e-mailinboxen (die vaak alleen worden beschermd door zwakke wachtwoorden) en is nog steeds kwetsbaar voor phishing en onderschepping.
Platformbiometrie (Face ID, Touch ID, Windows Hello):
- Wat is dat: Gebruikers verifiëren hun identiteit met behulp van vingerafdrukscans of gezichtsherkenning die rechtstreeks in hun laptop of smartphone is ingebouwd.
- Overmaat: Het biedt ultiem comfort en snelheid; gebruikers zijn al getraind om hun telefoons op deze manier te ontgrendelen.
Balie: Hiermee worden inloggegevens aan een specifiek apparaat gekoppeld. Als het apparaat kwijtraakt of beschadigd raakt, moeten de mechanismen voor accountherstel robuust zijn.
Waar u op moet letten bij een wachtwoordloze oplossing op ondernemingsniveau
Als u wachtwoordloze opties voor uw bedrijf evalueert, stel uzelf dan deze twee vragen:
1. Is het alomvattend? Als uw oplossing slechts voor één omgeving of groep gebruikers werkt, moet u aanvullende oplossingen implementeren die alles en iedereen dekken. Een oplossing kan bijvoorbeeld naadloze biometrische login bieden voor moderne cloudapplicaties zoals Office 365, maar volledig mislukken met oudere mainframes of lokale VPN’s, waardoor gebruikers gedwongen worden terug te vallen op wachtwoorden voor kritieke interne systemen.. Uw oplossing moet op elk platform, implementatiemodel en elke omgeving werken: cloud, on-premise, edge, legacy, Microsoft en macOS.
2. Is het echt veilig? Weerstand tegen phishing is een belangrijke trend in wachtwoordloze oplossingen en is een cruciaal kenmerk voor het elimineren van een van de meest voorkomende en meest impactvolle aanvalsvectoren. Maar phishing-bestendigheid alleen is niet voldoende; organisaties moeten ook bypass-proof, malware-proof, fraudebestendig en uitvalbestendig zijn. Als cybercriminelen wachtwoordloze MFA kunnen omzeilen door uw IT-helpdesk ervan te overtuigen hen binnen te laten, zal de wachtwoordloze methode zelf niet erg nuttig zijn.
De transitie maken
De verschuiving naar een ander paradigma gebeurde niet van de ene op de andere dag, maar de voordelen waren onmiddellijk zichtbaar. Begin met uw meest kritische applicaties of gebruikers met het hoogste risico en kies apparaatgebonden wachtwoordsleutels in plaats van gesynchroniseerde alternatieven waarmee sleutels tussen apparaten kunnen worden verplaatst voor een betere beveiliging.
Zorg voor een rigoureus inschrijvingsproces met identiteitsverificatie en liveness-detectie, waarbij wordt gevalideerd dat de biometrische bron een levend persoon is. Bescherm uw helpdesk bovendien met bilaterale verificatie: dit proces bevestigt de identiteit van de beller via apparaatopdrachten en bewijst de legitimiteit van de agent door de geverifieerde status op het scherm van de beller weer te geven.
Plan een veilig herstel wanneer een apparaat kwijtraakt door een veilige terugval te creëren, zoals een vooraf geregistreerde back-upsleutel of het opnieuw verifiëren van biometrische gegevens in plaats van wachtwoorden. Zoek naar een oplossing die automatisch een sleutel geeft die aan het apparaat is gekoppeld wanneer de gebruiker de app registreert. Meet ten slotte het percentage wachtwoordloze authenticatie in de loop van de tijd ten opzichte van vermoedelijke accountcompromissen om er zeker van te zijn dat uw acties een positieve impact hebben.
Door de dagelijkse wachtwoordmoeheid te elimineren en tegelijkertijd een van de grootste deuren voor cybercriminelen te sluiten, kunnen bedrijven eindelijk hun productiviteit en gemoedsrust herwinnen.
