Vandaag vieren we niet alleen onze vrijheid (in Nederland), maar ook World Password Day, voor de negende keer. Aanleiding voor bedrijven en overheden om de discussie rondom het gebruik van sterke wachtwoorden weer eens aan te zwengelen. Zwakke wachtwoorden (of slecht wachtwoordgebruik) zijn immers vaak de oorzaak van inbreuken. Diverse beveiligingsexpert grijpen deze dag, de eerste donderdag van mei, daarom aan om hier extra aandacht voor te vragen.
Zo geeft onderzoeks- en opleidingsinstituut Sans Institute diverse tips en trucs om het cyberaanvallers zo lastig mogelijk te maken, bijvoorbeeld voor multifactor-authenticatie (mfa). Mfa gaat op wanneer meerdere authenticatiefactoren worden gebruikt voordat toegang wordt verleend. Op deze manier zijn accounts nog steeds veilig als een wachtwoord is gecompromitteerd, aangezien de andere factor (of factoren) je nog steeds beschermen.
Uit onderzoek van Microsoft zou blijken dat mfa 99 procent van de op authenticatie gebaseerde aanvallen verslaat. Hoewel mfa niet onfeilbaar is, is het volgens Sans een van de meest effectieve en bewezen stappen die organisaties kunnen nemen om het risico op inbreuken drastisch te verminderen.
Er zijn meerdere manieren om mfa binnen de organisatie te implementeren. Welke methodieken er binnen een organisatie worden gebruikt, hangt in grote mate af van het eigen securityteam. Daarbij is het volgens Sans belangrijk dat organisaties oefenen in het gebruik van mfa; niet alleen voor werkaccounts, maar ook voor persoonlijke accounts, zoals Gmail, Amazon of andere sites. Daardoor raken medewerkers vertrouwd met de verschillende mfa-methoden en -benaderingen. In de volgende alinea geeft Sans een overzicht van de meest gebruikte technieken.
Mfa-technieken
Sms-code: een eenmalige, unieke code wordt via sms naar een smartphone verzonden. Deze code gebruik je dan samen met je wachtwoord om te authenticeren en in te loggen. De sms-code is de meest gebruikte benadering.
Codegenerator: je mobiele apparaat heeft een mobiele authenticatie-app (zoals Google Authenticator) die unieke eenmalige codes genereert, die vervolgens moeten worden ingevoerd op de computer. Deze authenticatie-apps kunnen honderden accounts tegelijk ondersteunen.
Verificatiemeldingen: sommige mobiele authenticatie-apps (waaronder Authenticator van Microsoft) zorgen ervoor dat wanneer je je aanmeldt bij bepaalde websites, de website een authenticatieverzoek naar de mobiele app stuurt met de vraag of dat je inderdaad probeert in te loggen. Als dat het geval is, keur je het authenticatieverzoek via het apparaat goed.
Fido (Fast IDentity Online): je krijgt een fysiek apparaat dat verbinding maakt met je laptop of computer en geregistreerd staat bij de websites waarop je regelmatig inlogt. Wanneer het apparaat is aangesloten op de computer en je deze websites bezoekt, authenticeert het apparaat de gebruiker. Deze benadering is de veiligste authenticatiemethode, aangezien er geen unieke code of authenticatieverzoek is en er niets is voor cyberaanvallers om hun slachtoffers te misleiden of voor de gek te houden.
Adviezen
Niet alleen Sans Institute grijpt ‘Wereldwachtwoorddag’ aan om adviezen te geven. Ook andere it-beveiligingsbedrijven komen vandaag met tip. Zo legt Sophos uit hoe je een goed wachtwoord kiest en raadt Mark-Peter Mansveld, directeur North Europe, Middle East en Israel bij Proofpoint met klem aan om verschillende wachtwoorden te gebruiken, vooral voor financiële accounts en accounts waarop veel data staan. ‘Het hergebruik van wachtwoorden is nog risicovoller geworden doordat criminelen er steeds vaker in slagen om met geavanceerde phishing-campagnes inlognamen en wachtwoorden te stelen via nepwebsites die lijken op de legitieme inlogpagina’s.’
Mansveld adviseert daarom het toepassen van multifactor-authenticatie en/of gebruik een wachtwoordmanager.’ Met zo’n laatste applicatie voor wachtwoordbeheer is het niet meer nodig om meerdere wachtwoorden te onthouden, waardoor gebruikers eerder geneigd zijn veiligere en langere wachtwoorden te gebruiken.
Let op softwarerobots
Bryan Murphy, senior director Consulting Services & Incident Response bij CyberArk, vindt dat er meer aandacht moet komen voor aanvallen op softwarerobots: kleine stukjes code die repetitieve taken uitvoeren. Die bestaan inmiddels in grote aantallen in organisatie en zijn een aantrekkelijk doelwit geworden voor cybercriminelen. Aanvallers gaan specifiek achter bots aan omdat ze weten dat hun wachtwoorden in veel gevallen niet worden gerouleerd.
Bovendien hebben deze bots over het algemeen te veel rechten, meer toegang dan ze nodig hebben en niet altijd zoals menselijke identiteiten worden gecontroleerd op opvallendheden. Een gecompromitteerde bot geeft een aanvaller toegang en gelegenheid om onopgemerkt te blijven. ‘We zien nog regelmatig bots die een back-up maken van alle servers of domein-admin-accounts. In sommige gevallen gebruiken deze bots nog steeds standaardwachtwoorden. Een overname hiervan geldt als een ‘game over’ situatie voor de betreffende organisatie’, waarschuwt Murphy.