3 mei 2018 -
World Password Day, 3 mei, is bedoeld om meer bewustwording te kweken rond veilige wachtwoorden. Het World Wide Web Consortium (W3C) en de FIDO (Fast IDentity Online) Alliance verwachten echter binnenkort een einde aan het gebruik van wachtwoorden.
Zij promoten andere beveiligingstechnieken die beter inspelen op de huidige gebruikstoepassingen als gevolg van de digitalisering en de steeds geavanceerdere cybercrime. Volgens Bart Bruijnesteijn van CyberArk worden wachtwoorden langzaam maar zeker vervangen door authenticatie en technologieën die efficiënter beveiligen.
Bruijnesteijn: "Hackers hebben door de jaren heen hun tactieken verbeterd om IT-systemen binnen te komen. Zelfs een sterk wachtwoorden biedt niet voldoende bescherming. Bedrijven moeten meerdere beveiligingslagen aanbrengen, en gebruik maken van dubbele authenticatie waarbij gebruikers bijvoorbeeld via een token of app zichzelf kunnen identificeren."
Extra authenticatie
Deze extra authenticatie verbetert de beveiliging, maar voorkomt niet noodzakelijkerwijs dat criminelen een netwerk binnenkomen. Bruijnesteijn: "Nog altijd zien wel veel succesvolle phishing-technieken, waarbij gebruikers worden misleid en hun inloggegevens vrijgeven. Met een gestolen identiteit is het vrij eenvoudig een netwerk binnenkomen, omdat er geen alarmbellen afgaan. Beveiliging van netwerken moet dus verder gaan dan alleen aan de toegangspoorten."
Privileged accounts
Zogeheten privileged accounts, ofwel inloggegevens met meerdere rechten, zijn het meest aantrekkelijk. Eenmaal in bezit kunnen criminelen immers stapsgewijs verder in de organisatie komen. Bruijnesteijn: "Om misbruik tegen te gaan, is een eerste stap dat medewerkers alleen toegang krijgen tot de systemen en bestanden die voor hun werk van belang zijn. Helaas wijzen de meeste onderzoeken uit dat dit in veel bedrijven helemaal niet geregeld is. Bovendien is er te weinig monitoring waardoor aanvallen worden gemist."
Een extra uitdaging bij privileged accounts is dat het zich niet beperkt tot menselijke gebruikers. Inloggegevens, accounts en secrets worden ook door apparaten gebruikt, en zitten soms standaard vanuit de fabriek meegeleverd voor beheerdoeleinden. Hierdoor ontbreekt vaak een totaalbeeld van de hoeveelheid aanwezige privileged accounts in een organisatie. Bruijnesteijn: " Ze kunnen in de cloud staan, in applicaties of de supply chain. Om ze te beschermen is multifactor authenticatie een goed hulpmiddel, waarbij dus een extra handeling moet worden uitgevoerd. Andere belangrijke stappen zijn het verwijderen van onnodige, lokale beheerrechten op access points, het elimineren van zogeheten hard-coded credentials in de broncode van een toepassing, wachtwoorden in digitale kluizen beheren en het monitoren en vastleggen van activiteiten van de meest gevoelige accounts."
Machine learning als beveiliging
Organisaties kunnen ook voor beveiliging steeds meer op machine learning vertrouwen. De processing mogelijkheden en voorspellende data-analyse vormen een sterke beveiligingslaag, terwijl ze lastig en tijdsintensief werk wegnemen bij IT-teams. Bruijnesteijn: "Machine learning is van nature erg schaalbaar, speelt realtime in op de ontwikkeling van risico’s en biedt inzicht in bestaande en mogelijke kwetsbaarheden. De algoritmen bepalen in seconden of verbindingen of activiteiten te vertrouwen zijn en of er monitoring of directe interventie nodig is."
De recente technologische ontwikkelingen drukken wachtwoorden dus langzaam maar zeker weg. Ze worden vervangen door geautomatiseerde, veiligere methoden. Bruijnesteijn concludeert: "Cybersecurity moet cybercrime voorblijven, ook als dat betekent dat we afscheid moeten nemen van een gewoonte die al decennia oud is, maar nu niet meer voldoet."
