Een van mijn favoriete IT-praktijkverhalen gaat over een groot internationaal bedrijf dat wilde voorkomen dat werknemers het populairste wachtwoord gebruikten. Wat natuurlijk password was. Na wat gemor en veranderende eisen, werd het nieuwe populairste wachtwoord password123. Na het blokkeren daarvan werd het password1234 en daarna password12345.
Toen de eisen verder werden verfijnd met een hoofdlettereis, richtte de frustratie zich op de IT-afdeling: het nieuwe populaire wachtwoord was fuckIT. En toen dat werd geblokkeerd natuurlijk fuckIT123.
Kat-en-muisspel
Wachtwoorden zijn een grote plaag voor IT'ers. We zien ze al decennia inmiddels dagelijks uitlekken, omdat toen we systemen in de jaren 90 netwerkten het nog makkelijker werd voor onverlaten om binnen te komen. Volgens onderzoek van Verizon is inmiddels 81 procent van alle datadiefstallen mogelijk dankzij gestolen of zwakke wachtwoorden. In slechts 8 procent ging het om fysieke toegang tot hardware.
Een fatsoenlijk wachtwoordbeleid vereist momenteel lange en/of complexe wachtwoorden die lastig te kraken en uniek genoeg zijn om niet voor te komen op rainbow tables die hashes van bekende wachtwoorden bevatten. Wat vooral duidelijk wordt met dit kat-en-muisspel tussen aanvallers en beveiligers is dat werknemers het tegenovergestelde willen: korte, simpele wachtwoorden die makkelijk te onthouden zijn.
Drempel lager - ook voor aanvallers
Pragmatisme wint en zo houden werknemers vast aan wat ze makkelijk vinden, ondanks bezwaren van informatiebeveiligers. Het gevolg is dat ook criminelen winnen, want als werknemers makkelijk te onthouden en dus te raden wachtwoorden hebben, hoeven de aanvallers niet eens complexe hacks uit te voeren om toegang te krijgen.
Na meer dan een decennium van zware verliezen in de eeuwigdurende strijd om zakelijke data beveiligd te houden, staan we misschien eindelijk aan de vooravond van een overwinning - en wapenstilstand met werknemers: door wachtwoorden helemaal te schrappen.
Hardwarebeveiliging
Deze week kondigde Intel een hoop aan over nieuwe chipsets, maar een ontbrekend stukje in het wachtwoordenverhaal is de laatste versie van Authenticate, waardoor IT'ers meer hardwarematige beveiligingsopties krijgen om gebruikers te beveiligen, zonder dat toegang moeilijker wordt gemaakt. IT kan policy's instellen met wachtwoorden, detectie van andere aanwezige apparaten en gezichtsherkenning. Met Authenticate kunnen wachtwoorden zelfs helemaal worden uitgefaseerd.
Hierna: Een praktijktests met Authenticate.
2018 zou wel eens een omslagjaar kunnen zijn waarin we wachtwoorden beginnen te verbannen. Authenticate is beschikbaar voor Core vPro-processoren van 6e, 7e en 8e generatie. Dat betekent dat als IT-afdelingen een refresh-cyclus hebben van vijf jaar, de kans groot is dat je hoe dan ook dit jaar hardwareondersteunde multifactor-authenticatie kunt inzetten.
Factoren instellen
Ik heb Authenticate kunnen uittesten op een X1 Carbon van Lenovo voordat deze was aangekondigd. De configuratie was niet lastig. Ik moest gezichtsherkenning inschakelen, aangezien Auhenticate het enrollment-mechanisme van Windows Hello gebruikt. Dat was ook de enige factor die ik in Autheticate gebruikte die niet enkel door de software is beveiligd.
Daarna schakelde ik multifactoren in onder het OS en hardware-ondersteund: de vingerafdrukscanner, de beveiligde Bluetooth met mijn Samsung Galaxy Note 8 en de beschermde pincode. Die wordt ingevoerd in een speciaal willekeurig hardwareafhankelijk gegenereerd venster om te voorkomen dat andere software kan meegluren.
Wachtwoord uitgeschakeld
In mijn configuratie, tevens beschermd in de hardware, waren twee factoren vereist: gezichtsherkenning en de aanwezigheid van een smartphone, met vingerafdruk en hardwarebeveiligde pincode als alternatief. Toen ik er zeker van was dat dit functioneerde, schakelde ik inloggen met wachtwoorden uit.
Dat klinkt waarschijnlijk spannend maar misschien ook eng. Laat ik wat van je zorgen wegnemen.
Een van de zorgen die ik hoor gaat erover hoe de software die vingerafdrukken verwerkt of gezichten herkent gefopt kan worden. Maar met Authenicate gebeurt dat hele proces in de hardware en kun je alleen spoofen met fysieke toegang - wat van veel minder grote zorg is voor IT-beveiligers dan aanvallen op afstand.
Meerdere sleutels nodig
Zelfs als dieven fysiek toegang hadden on de vingerafdruksensor te omzeilen, hebben ze nog steeds de uitdaging dat ze meerdere 'sleutels' nodig hebben, omdat meerdere factoren vereist zijn om in te kunnen loggen.
Maar misschien is het beste element van multifactor-authenticatie wel dat het makkelijker is voor gebruikers om te voldoen aan beveiligingseisen. En belangrijker nog voor gebruikers is dat het vrijwel geen moeite kost om in te loggen. Wat betekent dat IT'ers niet zo hard hoeven te vechten om een goede authenticatieprocedure af te dwingen.
Daarom kunnen we ons richten op andere bedreigingen dan de zoveelste aanval via makkelijk te raden wachtwoorden.
Mike Feibus is hoofdanalist bij analyse- en marketingstrategiebedrijf FeibusTech, dat zich richt op mobiele ecosystemen en client-technologieën.
Voor de zoveelste keer, wát een flauwe kul van alwéér zo'n zogenaamde goeroe.
Het password is here to stay. Mogelijk aangevuld met iets van een two factor authenticatie. Maar alle andere paden, vingerafdruk, gezichtsherkenning, etc. zijn allemaal ten dode opgeschreven. Immers eenmaal gelekt door Facebook zijn ze niet meer te gebruiken.
Daarentegen kan een password áltijd weer vernieuwd en verbeterd worden. Ze voorspellen al vele jaren het einde van het password, maar nog steeds is geen site of toegang tot iets, waar dat ook werkelijk het geval is. Wat wel mogelijk gaat verdwijnen is de PIN-code, die is immers véél te zwak. Iedere verstandige iPhone gebruiker realiseert zich door de laatste "kraak"-ontwikkelingen dat zijn PIN-code gewoon een goed wachtwoord dient te zijn.
Hoezo zouden vingerafdrukken of gezichtsherkenning kunnen uitlekken? Al dan niet via facebook. En een pin-code is net zo zeker of onzeker als een wachtwoord. Hangt alleen af van de versleuteling van pincode of wachtwoord. En ik ga er even vanuit dat er een oplopende back-off is na 3 mislukte pogingen.
wachtworden geven kun je weigeren,
en kun je aleen geven bij leven.
verder hoef je die niet te geven. (hulp eigen veroordeling vinger afdrukken face id wel)
een vingerafdruk kunnen ze afdwingen zelfde geld voor gezichts herkenning.
bijde werken nemelijk ook als je dood bent.
zeggen dat het beter is is naief op zijn best maar waarschijnlijk gedreven door een bepaalde agenda.
jIn fysieke vorm zullen jouw vinger afdruk en gezicht niet uitlekken. Echter, nadat je een vingerdruk of gezicht gebruikt voor authenticatie, dan word er een set met een heleboel datapunten vastgelegd, en bij elke nieuwe authenticatie word gerefereerd aan deze dataset om vast te stellen dat jij...eh, jij bent.
Die datasets kunnen wel degelijk uitlekken. Hoe ging die gevleugelde Engelse uitspraak ook alweer? "If you think the situation cannot get any worse...you lack imagination!"
Reageer
Preview