Voor gebruikers eenvoudige authenticatie maar toch superveilig? Het kan.
Is het getouwtrek tussen gebruikers die eenvoud willen en IT’ers die beveiliging willen binnenkort ten einde? Analist Mike Feibus denkt van wel.
Een van mijn favoriete IT-praktijkverhalen gaat over een groot internationaal bedrijf dat wilde voorkomen dat werknemers het populairste wachtwoord gebruikten. Wat natuurlijk password was. Na wat gemor en veranderende eisen, werd het nieuwe populairste wachtwoord password123. Na het blokkeren daarvan werd het password1234 en daarna password12345.
Toen de eisen verder werden verfijnd met een hoofdlettereis, richtte de frustratie zich op de IT-afdeling: het nieuwe populaire wachtwoord was fuckIT. En toen dat werd geblokkeerd natuurlijk fuckIT123.
Kat-en-muisspel
Wachtwoorden zijn een grote plaag voor IT’ers. We zien ze al decennia inmiddels dagelijks uitlekken, omdat toen we systemen in de jaren 90 netwerkten het nog makkelijker werd voor onverlaten om binnen te komen. Volgens onderzoek van Verizon is inmiddels 81 procent van alle datadiefstallen mogelijk dankzij gestolen of zwakke wachtwoorden. In slechts 8 procent ging het om fysieke toegang tot hardware.
Een fatsoenlijk wachtwoordbeleid vereist momenteel lange en/of complexe wachtwoorden die lastig te kraken en uniek genoeg zijn om niet voor te komen op rainbow tables die hashes van bekende wachtwoorden bevatten. Wat vooral duidelijk wordt met dit kat-en-muisspel tussen aanvallers en beveiligers is dat werknemers het tegenovergestelde willen: korte, simpele wachtwoorden die makkelijk te onthouden zijn.
Drempel lager – ook voor aanvallers
Pragmatisme wint en zo houden werknemers vast aan wat ze makkelijk vinden, ondanks bezwaren van informatiebeveiligers. Het gevolg is dat ook criminelen winnen, want als werknemers makkelijk te onthouden en dus te raden wachtwoorden hebben, hoeven de aanvallers niet eens complexe hacks uit te voeren om toegang te krijgen.
Na meer dan een decennium van zware verliezen in de eeuwigdurende strijd om zakelijke data beveiligd te houden, staan we misschien eindelijk aan de vooravond van een overwinning – en wapenstilstand met werknemers: door wachtwoorden helemaal te schrappen.
Hardwarebeveiliging
Deze week kondigde Intel een hoop aan over nieuwe chipsets, maar een ontbrekend stukje in het wachtwoordenverhaal is de laatste versie van Authenticate, waardoor IT’ers meer hardwarematige beveiligingsopties krijgen om gebruikers te beveiligen, zonder dat toegang moeilijker wordt gemaakt. IT kan policy’s instellen met wachtwoorden, detectie van andere aanwezige apparaten en gezichtsherkenning. Met Authenticate kunnen wachtwoorden zelfs helemaal worden uitgefaseerd.
2018 zou wel eens een omslagjaar kunnen zijn waarin we wachtwoorden beginnen te verbannen. Authenticate is beschikbaar voor Core vPro-processoren van 6e, 7e en 8e generatie. Dat betekent dat als IT-afdelingen een refresh-cyclus hebben van vijf jaar, de kans groot is dat je hoe dan ook dit jaar hardwareondersteunde multifactor-authenticatie kunt inzetten.
Factoren instellen
Ik heb Authenticate kunnen uittesten op een X1 Carbon van Lenovo voordat deze was aangekondigd. De configuratie was niet lastig. Ik moest gezichtsherkenning inschakelen, aangezien Auhenticate het enrollment-mechanisme van Windows Hello gebruikt. Dat was ook de enige factor die ik in Autheticate gebruikte die niet enkel door de software is beveiligd.
Daarna schakelde ik multifactoren in onder het OS en hardware-ondersteund: de vingerafdrukscanner, de beveiligde Bluetooth met mijn Samsung Galaxy Note 8 en de beschermde pincode. Die wordt ingevoerd in een speciaal willekeurig hardwareafhankelijk gegenereerd venster om te voorkomen dat andere software kan meegluren.
Wachtwoord uitgeschakeld
In mijn configuratie, tevens beschermd in de hardware, waren twee factoren vereist: gezichtsherkenning en de aanwezigheid van een smartphone, met vingerafdruk en hardwarebeveiligde pincode als alternatief. Toen ik er zeker van was dat dit functioneerde, schakelde ik inloggen met wachtwoorden uit.
Dat klinkt waarschijnlijk spannend maar misschien ook eng. Laat ik wat van je zorgen wegnemen.
Een van de zorgen die ik hoor gaat erover hoe de software die vingerafdrukken verwerkt of gezichten herkent gefopt kan worden. Maar met Authenicate gebeurt dat hele proces in de hardware en kun je alleen spoofen met fysieke toegang – wat van veel minder grote zorg is voor IT-beveiligers dan aanvallen op afstand.
Meerdere sleutels nodig
Zelfs als dieven fysiek toegang hadden on de vingerafdruksensor te omzeilen, hebben ze nog steeds de uitdaging dat ze meerdere ‘sleutels’ nodig hebben, omdat meerdere factoren vereist zijn om in te kunnen loggen.
Maar misschien is het beste element van multifactor-authenticatie wel dat het makkelijker is voor gebruikers om te voldoen aan beveiligingseisen. En belangrijker nog voor gebruikers is dat het vrijwel geen moeite kost om in te loggen. Wat betekent dat IT’ers niet zo hard hoeven te vechten om een goede authenticatieprocedure af te dwingen.
Daarom kunnen we ons richten op andere bedreigingen dan de zoveelste aanval via makkelijk te raden wachtwoorden.
Mike Feibus is hoofdanalist bij analyse- en marketingstrategiebedrijf FeibusTech, dat zich richt op mobiele ecosystemen en client-technologieƫn.
Bron: Computerworld