BLOG – Als organisatie wil je grip houden op het wachtwoordmanagement van je medewerkers, en daarmee op mogelijke toegangswegen tot je bedrijfsdata. Het blijft een lastig dilemma. Medewerkers zoeken altijd naar manieren om zo makkelijk mogelijk wachtwoorden te onthouden en oude wachtwoorden te hergebruiken.
Het is die instelling die data in gevaar brengt, want hackers kunnen wachtwoorden eenvoudig kraken en daarmee zichzelf toegang verschaffen tot jouw netwerk en bedrijfsdata. Maar de morele vraag is: hoe houd je dan grip, zonder dat je als een soort big brother optreedt? En het tegelijkertijd zo makkelijk mogelijk maakt voor de medewerker, zodat ze niet kiezen voor de welbekende hazenpaadjes. Het is het klassieke voorbeeld van de strijd tussen security versus gemak. In dit licht zijn wachtwoordkluizen en tweevoudige verificatie (2fa) ideaal – maar ook daar zitten haken en ogen aan.
Wachtwoordkluizen
Wachtwoordkluizen (of wachtwoordmanagers) zijn ontstaan omdat we als industrie hebben besloten dat je geen twee dezelfde wachtwoorden mag hebben en dat het daarmee onmogelijk wordt om alles te onthouden. Zo’n kluis is de ideale oplossing om het leven van medewerkers te vereenvoudigen. Toch is dit niet dé ideale oplossing, omdat er bijvoorbeeld vaak privéwachtwoordkluizen worden gebruikt voor het opslaan van zakelijke wachtwoorden en vice versa. Daarmee loop je weer meer risico en schiet het zijn juist doel voorbij. Een relevante vraag bij wachtwoordkluizen is wat te doen met 2fa. Ga je deze automatiseren? Aan de ene kant wel, het verhoogt de veiligheid is relatief eenvoudig in gebruik. Aan de andere kant bestaat het risico dat de wachtwoordkluis wel een single point of failure wordt. Door de 2fa te automatiseren via de wachtwoordkluis, heb je niet echt meer twee factoren. Want áls je toegang hebt tot de kluis, heb je toegang tot zowel alle wachtwoorden als de 2fa die daar bij hoort. Dit in plaats van het onwenselijke situatie dat als de wachtwoordkluis is gehackt, je toch nog steeds een tweede factor moet hebben om verder te kunnen komen. Een duivels dilemma.
Tips voor veilig wachtwoordbeheer
- Verander gedeelde wachtwoorden als de teamsamenstelling verandert;
- Kies voor lange wachtwoorden; hoe langer, hoe moeilijker te kraken. Een veelgemaakte fout is om ieder kwartaal het wachtwoord te wijzigen. Dat is niet meer van deze tijd, want zo gaan mensen alsnog shortcuts nemen;
- Creëer unieke, het liefst willekeurig gegenereerde wachtwoorden. Hergebruik nooit wachtwoorden voor toegang tot andere systemen/applicaties;
- Gebruik tweefactorauthenticatie die écht losstaat van de eerste factor (dus die niet-geautomatiseerd is);
- Controleer als organisatie regelmatig of iedereen zich houdt aan de cyberhygiënemaatregelen;
- Veel wachtwoordkluizen hebben ook de mogelijkheid tot het opmerken van wachtwoorden voor diensten die zijn gelekt. Hierop kun je als organisatie, wanneer je een zakelijke wachtwoordkluis hebt, meten en sturen. Maak hier gebruik van!
Afschaffen
In deze context bestaat de vaak gehoorde vraag: kunnen we wachtwoorden niet afschaffen? Het einde van het wachtwoord werd vijf jaar geleden al aangekondigd en nog steeds komt het regelmatig bovendrijven. Het klinkt heerlijk maar is in de praktijk ook minder veilig dan je zou denken. Wachtwoordloze systemen werken voornamelijk met (hardware)tokens. In feite zijn het net gewone huissleutels, die je dus ook overal zou kunnen laten slingeren. In de praktijk blijven ze vaak in de laptop zitten waardoor je eigenlijk ‘de sleutels in de voordeur laat zitten’. Als we kijken naar de historie van veilig wachtwoordgebruik zie je dat we in het begin gebruik maakten van een éénfactorbeveiliging (iets wat je weet, een wachtwoord dus). Toen zijn we overgegaan naar tweefactor waarbij je iets dat je weet combineert met iets dat je hebt – je mobiel bijvoorbeeld. Een wachtwoordloos leven betekent dat je weer terug bent bij de éénfactorbeveiliging. Maar hier is iets cruciaal verschillend: want als een hacker mijn wachtwoord steelt, weet ik ‘m als het goed is ook nog steeds. Maar als iemand mijn token steelt, ben ik ‘m daadwerkelijk kwijt en heb ik geen clue. En ik hoef niet uit te leggen dat ook dat een behoorlijk risico is als bedrijf.
Je zou kunnen stellen dat de inzet van biometrie de enige goede vervanger is voor wachtwoorden, die geen afbreuk doet aan gebruikersgemak of security. Deze functionaliteit op onze mobiele telefoons hebben we maar al te snel omarmd. Als we dit breder zouden toepassen binnen de it, gaan we weer een andere (morele) discussie aan. Laten we die hier maar even voor wat het is…
Wouter van Rooij is global it security director bij Leaseweb