Wachtwoorden. We gebruiken ze elke dag. We houden van ze en we haten ze. We raken er constant door gefrustreerd – het bedenken en onthouden van de vereiste reeks hoofdletters en kleine letters, cijfers en speciale tekens.
Simpel gezegd: “Wachtwoorden zijn zwak en gebruikersonvriendelijk”, zegt senior director-analist Paul Rabinovich van Gartner.
Wat u wel en niet moet doen bij het bijscholen en opschalen van burgerontwikkelaars in uw hele organisatie – Low-Code/No-Code Summit
En ze vormen een enorm beveiligingsrisico: 81% van de hackgerelateerde inbreuken gebruiken gestolen en/of zwakke wachtwoorden.
Consumenten erkennen dit: 68% gelooft dat wachtwoorden de minst veilige beveiligingsmethode zijn en 94% is bereid extra beveiligingsmaatregelen te nemen om hun identiteit te bewijzen. Tegelijkertijd blijft meer dan de helft van ons wachtwoorden gebruiken.
Noem het gewoonte, onwil om te veranderen of gewoon onverschilligheid, wachtwoorden zijn ingeburgerd geraakt – maar we moeten de gewoonte doorbreken, zeggen experts. Met name dringen velen in de beveiligingsindustrie aan op wachtwoordloze authenticatiemethoden en het gebruik van wachtwoordsleutels – en sommigen verwachten zelfs dat deze industriestandaard worden.
“Wachtsleutels zijn een belangrijke vooruitgang in de identiteits- en beveiligingsindustrie”, zegt Ralph Rodriguez, president en CPO bij het digitale identiteitsvertrouwensbedrijf Daon. “Ze zijn een veel veiliger alternatief voor wachtwoorden, vooral in een tijd waarin cyberdreigingen toenemen.”
Passkeys: op weg naar brede acceptatie
Passkeys zijn een vorm van wachtwoordloze identiteitsbeveiliging die FIDO2-authenticatie mogelijk maakt (standaarden die zijn opgesteld door de FIDO Alliance, die is toegewijd aan het verminderen van de afhankelijkheid van wachtwoorden). Industriereuzen, waaronder Apple, Microsoft en Google, hebben onlangs wachtwoordsleutels ondersteund, in samenwerking met de FIDO Alliance en het World Wide Web Consortium.
Deze authenticatiemethode maakt gebruik van cryptografische sleutels en slaat inloggegevens op voor verschillende apparaten in de cloud, legt Rodriguez uit. Gebruikers combineren een wachtwoord op hun smartphone met veilig opgeslagen en gecodeerde inloggegevens in de cloud.
“Wachtsleutels elimineren de behoefte aan wachtwoorden, waardoor een veiligere en snellere manier van accountauthenticatie mogelijk wordt”, aldus Rodriguez. Ze kunnen worden geïntegreerd met bestaande applicaties en kunnen het aantal pogingen tot identiteitsdiefstal en phishing aanzienlijk verminderen.
Uiteindelijk zullen ze de industriestandaard worden, voorspelde Rodriguez, en acceptatie door multinationale reuzen zal het wijdverbreide gebruik ervan helpen stimuleren.
“Het gebruik van wachtwoordsleutels door ondernemingen, met name in sectoren die verantwoordelijk zijn voor financiële en persoonlijke gegevens, is een enorme stap in de goede richting”, aldus Rodriguez.
Maar is dit echt het einde van wachtwoorden?
Omdat wachtwoordloze authenticatiemethoden gebruikers uitdagen om alternatieve inloggegevens te gebruiken, zullen ze wachtwoorden verder verminderen – en mogelijk zelfs elimineren -, zei Rabinovich.
Op dit moment kunnen organisaties meerdere applicaties hebben die afhankelijk zijn van een wachtwoord in dezelfde directory. Maar aangezien deze applicaties worden gemigreerd naar authenticatie zonder wachtwoord, “zal het wachtwoord op een dag niet meer nodig zijn”, zei hij.
Als of wanneer dit punt is bereikt, kunnen wachtwoorden volledig worden uitgeschakeld in een map (hoewel vanaf nu slechts een paar mappen en identiteitsservices beheerders toestaan dit te doen). In sommige gevallen kunnen beheerders wachtwoorden instellen op een willekeurige en veilige waarde die niet wordt gedeeld met de gebruiker, “waardoor het wachtwoord effectief wordt verwijderd uit alle gebruikerservaringen”, zei Rabinovich.
Zoals hij opmerkte, is het moeilijk om een goed wachtwoord te genereren en te onthouden (en nog moeilijker als je er meerdere moet hebben). En als u er een vergeet of als deze wordt gecompromitteerd, moet u een proces voor het opnieuw instellen van het wachtwoord doorlopen. Hoewel veel organisaties self-service wachtwoordherstel (SSPR) implementeren, kan het door een beheerder ondersteunde wachtwoordherstel kostbaar zijn: $ 15 tot $ 70 per gebeurtenis.
Toch vertrouwden alle applicaties op wachtwoorden, en gebruikers zijn eraan gewend “zelfs als ze ze graag haten”, zei Rabinovich.
Daarom moeten nieuwe authenticatiemethoden en nieuwe processen voor acquisitie, inschrijving, dagelijkse authenticatie en accountherstel zorgvuldig worden ontworpen.