Home » Business » Productivity » Passwords are going to die

Passwords are going to die

Tech Page One

Passwords are going to die

 

Sinds jaar en dag gebruiken we wachtwoorden om mensen toegang te geven tot hun werkomgeving of webportaal. Wachtwoorden zijn echter helemaal niet gebruiksvriendelijk en ook niet veilig. Op termijn gaan ze daarom verdwijnen.

Over fraude in de financiële sector is wel eens gezegd dat het altijd gebeurt, als je maar gaat zoeken. Om de zoveel tijd kijken we even wat scherper, komt er weer een dubieuze praktijk aan het licht en kunnen we er weer over lezen in de krant. Voor security in het IT-domein is dit ook het geval. Je weet dat de beveiliging van webportalen en netwerken vaak zwak is en er massaal inbraken plaatsvinden. We onderzoeken het niet, want we hebben liever een vals gevoel van veiligheid. Maar dat betekent niet dat de aanvallen er niet zijn.

Zwak

De schijn van veiligheid wordt voor een deel in stand gehouden doordat mensen denken dat ze veilig zijn wanneer ze een werkomgeving beveiligd hebben met een wachtwoord. Wachtwoorden hebben echter het grote nadeel dat mensen er onzorgvuldig mee omspringen. Mensen gebruiken steeds weer dezelfde. Ze schrijven ze op post-its en plakken ze op hun computerscherm. En als ze de kans krijgen, kiezen ze voor single sign-on. Erg prettig voor de gebruiker maar vanuit security oogpunt wel een extra risico, want door permanent ingelogd te zijn hoeft de aanvaller alleen het apparaat te kraken om toegang te krijgen tot het webportaal.

Laatst kwam ik bij een bedrijf waar ze weer mooi lieten zien hoe onveilig wachtwoorden eigenlijk zijn. Een medewerker, eentje van de financiële administratie, had al zijn wachtwoorden in een documentje opgeslagen en dit in Dropbox gezet. Aangezien er ook andere collega’s bij de wachtwoorden moesten, had hij de map gedeeld met collega’s. Lekker makkelijk, kan iedereen erbij. Maar een wachtwoord is in zo’n geval natuurlijk niks waard.

I&AM nieuwe stijl

Passwords are going to dieBeveiligen met wachtwoorden is niet gebruiksvriendelijk, vaak zwak en ik denk zelfs dat het op den duur gaat verdwijnen. Bij het toegangsbeheer zou veel meer gekeken moeten worden naar de gebruikerscontext en een combinatie van identiteitsbepalende gegevens. Hoe meer metagegevens je daarvoor inzet, des te zorgvuldiger je daarin bent. Denk daarbij aan persoonsgegevens als geboortejaar, naam etc., maar ook aan de apparaten waarmee je werkt, het tijdstip wanneer je normaal inlogt en de locatie waar je contact maakt. Al die zaken helpen mee om een betrouwbare identificatie mogelijk te maken.

Access management gaat over de vraag wie je welke sleutels wil geven. HR hoeft bijvoorbeeld niet dezelfde toegang te hebben als de financiële administratie. Als je het identificeren goed doet, is access management eenvoudigweg een zaak van verifiëren. Het netwerk herkent de apparaten die contact willen maken en kan daarbij automatisch ophalen welke gebruiker dit is, wat zijn of haar functie is, welke databanken deze persoon gebruikt en waar hij niet hoort te zijn. Door de gebruiker in zijn handelingen te volgen en te kijken of een en ander matcht met zijn of haar identiteit, kan je inschatten hoe verdacht iemand zich gedraagt. Als je bijvoorbeeld ziet dat iemand plotseling om 3:00 ’s nachts of vanuit Nigeria inlogt, zouden er de alarmbellen moeten afgaan en zou aanvullende toegangscontrole moeten plaatsvinden (bijvoorbeeld even bellen of een controlevraag).

Hoewel dit plaatje een mooi toekomstbeeld is, is de praktijk nog ver weg. Om tot het juiste identiteitsbeeld te komen moeten afdelingen gegevens gaan combineren. Dat gebeurt meestal nog niet. Systeembeheerders die zich bezighouden met netwerkconnectiviteit houden zich niet bezig met access management en de business heeft onvoldoende scherp welke gegevens welk beveiligingsniveau nodig hebben. Wachtwoorden blijven daarom vandaag de dag nog meer de regel dan de uitzondering.

 

 

Ian Yoxall

Ian Yoxall

Ian Oorspronkelijk afkomstig uit Nieuw Zeeland, en begon Intragen in 2006. Als Principal Consultant van Intragen werkte hij aan veel van de grootste projecten in Nederland en door heel West-Europa. Met een brede ervaring met kleine en grootschalige implementaties, zowel in de private als publieke sector, brengt hij een pragmatische aanpak voor problemen die rondom identity & access management-projecten optreden. Voordat hij bij Intragen begon werkte Ian voor wereldwijde leveranciers en adviesbureaus op het gebied van infrastructuur en security.

Laatste Artikels:

 

Tags: Business, Productivity