image

Beveiligingsexpert: wachtwoorden nog lang niet verdwenen

maandag 5 november 2018, 16:20 door Redactie, 6 reacties

Geregeld zijn er bedrijven die claimen dat ze een oplossing hebben die wachtwoorden overbodig maken, maar de realiteit is dat wachtwoorden nog lang niet zijn verdwenen, zo stelt beveiligingsexpert Troy Hunt. Hunt erkent dat mensen slecht zijn in het kiezen van veilige wachtwoorden en er niet op een veilige manier mee omgaan. Wachtwoorden blijven dan ook een risicovolle afweging voor veel mensen, aldus de expert.

Sommige mensen pleiten voor het gebruik van een wachtwoordmanager en aanvullende beveiliging zoals tweefactorauthenticatie, terwijl anderen wachtwoorden helemaal wil laten verdwijnen. Partijen zoals de Fast IDentity Online (FIDO)-Alliantie die het wachtwoord willen uitbannen zijn de afgelopen jaren met allerlei oplossingen gekomen. Het gaat dan bijvoorbeeld om tokens of apps waarmee gebruikers zich kunnen authenticeren.

Toch missen al deze producten iets waardoor ze niet met het wachtwoord kunnen concurreren. "Ondanks de vele tekortkomingen heeft het wachtwoord iets dat het voor heeft op technisch superieure alternatieven, en dat is dat iedereen weet hoe het moet worden gebruikt. Iedereen", laat Hunt weten. "Daarom zullen wachtwoorden niet in de nabije toekomst verdwijnen."

"Hoeveel aandacht er ook wordt gegeven aan hoe slecht wachtwoorden zijn of hoeveel accounts er zijn gehackt en wat het kost als mensen niet op hun account kunnen inloggen zal dit veranderen. Ook de technische bekwaamheid van alternatieve oplossingen zal de discussie niet veranderen, omdat het niet kan concurreren met wachtwoorden op die ene standaard waar organisaties zo gericht op zijn: namelijk bruikbaarheid", merkt de expert op.

Volgens Hunt introduceren oplossingen die het wachtwoordprobleem claimen op te lossen weer nieuwe uitdagingen en problemen. De expert sluit dan ook af door te zeggen dat we voor de nabije toekomst beter moeten worden in het authenticatiesysteem dat iedereen kent, het wachtwoord.

Reacties (6)
05-11-2018, 17:40 door Anoniem
Ik snap nog steeds niet waarom er geen SSO met 2FA is, en maak het wachtwoord lekker simpel -> de kracht zit hem toch vooral in de OTP.
Dan ben je volgens mij een heel eind qua beveiliging en UX.
Heb een hekel aan wachtwoorden dus liever een SSO oplossing met 2FA dan een Lastpass en overall een random wachtwoord wat meer moeite kost (ookal is het een kleine moeite)
05-11-2018, 21:50 door Anoniem
Mijn Microsoft kristallen bol zegt dat het volgend jaar, het jaar van de wachtwoordloze login wordt, het jaar van de linux desktop en gebruikt minder dan 1% nog windows.
06-11-2018, 08:00 door Anoniem
Door Anoniem: Ik snap nog steeds niet waarom er geen SSO met 2FA is, en maak het wachtwoord lekker simpel -> de kracht zit hem toch vooral in de OTP.
Dan ben je volgens mij een heel eind qua beveiliging en UX.
Heb een hekel aan wachtwoorden dus liever een SSO oplossing met 2FA dan een Lastpass en overall een random wachtwoord wat meer moeite kost (ookal is het een kleine moeite)
Hoezo is er geen SSO-oplossing met 2FA? Je kunt tegen heel erg veel websites authenticeren met je Google-account of je Facebook-account. Da's overigens ook niet de end-all be-all oplossing, maar absoluut een betere oplossing dan overal hetzelfde wachtwoord recyclen.

Lastpass is inderdaad even moeite om in gebruik te nemen, en je baalt als je een 24 character random wachtwoord over moet typen op een ander apparaat, maar qua gebruiksgemak vind ik de combi Google als SSO + Lastpass als wachtwoordmanager op zich redelijk goed.

Het grootste probleem is dat mensen nooit goed geleerd hebben gekregen hoe ze op een veilige en makkelijke manier met wachtwoorden om gaan. Elke website heeft andere eisen en dwingt je om een hele rits aan on-onthoudbare wachtwoorden te onthouden, wat niemand gaat doen met als gevolg dat wachtwoorden makkelijk te raden en veel hergebruikt worden, en vrijwel niemand die je gewoon de tip geeft om één keer fatsoenlijk aan het werk te gaan met een degelijke passwordmanager.
06-11-2018, 09:58 door Anoniem
Hunt erkent dat mensen slecht zijn in het kiezen van veilige wachtwoorden

Daarom heb je ook een security control framework nodig, om sterke wachtwoorden technisch af te dwingen. Grappig hoe mensen eindeloos blijven klagen over gebruikers die zwakke wachtwoorden kiezen, zonder de vraag te stellen waarom zij dit kunnen.

Het gebruik van zwakke wachtwoorden is primair de verantwoording van security officer & architect. Awareness moet er enkel zijn om uit te leggen waarom je geen zwak wachtwoord *kan* kiezen. Ipv hopen dat de gebruiker luistert, en een sterk wachtwoord gebruikt.

Anno 2018 moet iedere IT ''beveiliger'' die de verantwoordelijkheid voor zwakke wachtwoorden bij de eindgebruiker legt zich kapot schamen, en ander werk zoeken.

Verder vinden veel aanvallen plaats met keyloggers, infostealers en andere zaken waarbij je een wachtwoord niet hoeft te kraken; zaken als 2-factor authenticatie zijn dan ook een must vandaag de dag.
06-11-2018, 14:38 door Anoniem
Daarom heb je ook een security control framework nodig [...] Het gebruik van zwakke wachtwoorden is primair de verantwoording van security officer & architect
Iets als Cobit, ISO2700x, CISM, CISA, CISSP zegt dat de verantwoordelijkheid altijd in de lijn ligt. Een CISO heeft juist primair een control-rol en rapporteert aan management over opzet, bestaan en liefst ook werking. Op die manier gaat het ISMS werken.

Privacy en Security by Design maakt dat je niet, op z'n techneuts, alles in hokjes probeert te duwen, maar zorgt ervoor dat iedereen zijn bijdrage levert. Bijvoorbeeld een netwerkbeheerder zal verder moeten gaan kijken dan het groene touwtje in het groene gaatje; of "zeg maar of ik deze functie op de firewall aan of uit moet zetten". Een onderbouwd advies met impactanalyse is wat een beslissingsnemer dan nodig heeft. Zeker een kleine organisatie heeft geen budget voor een netwerkarchitect en netwerkbeveiligingsspecialist bovenop een netwerkbeheerder. En daarmee zal de netwerkbeheerder verantwoordelijk zijn voor het leveren van dat advies; daarbij geholpen door een interne of externe consultant. De beheerder, conform security by design, maakt bij het inrichten gebruik van benchmarks en richtlijnen zoals cisecurity, sans en nist.
07-11-2018, 12:08 door Anoniem
SSO heeft ook een nadeel, als je bent ingelogd kan je overal in.
USB sleutel met daarop een schermpje om te zien wat er gaat gebeuren lijkt me een goede oplossing.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.