Tijdens het recente Computable-seminar over authenticatie lieten de systeembeheerders uit de zaal bijna luidkeels blijken dat ze genoeg hadden van wachtwoorden. In de praktijk zijn ze óf te eenvoudig, worden te vaak gebruikt óf zodanig gegenereerd dat geen mens ze meer kan onthouden.
Zelfs Microsoft liet vorig jaar op de CeBit weten dat het einde van het wachtwoord nabij is. “Ik ben er van overtuigd dat de tijd dat we alleen maar wachtwoorden gebruiken voorbij is”, zei Detlef Eckert, directeur van MS Thrustworthy Computing Initiative. “We zullen naar een tweevoudige authenticatie moeten. Het kan gewoonweg niet anders.” Dat het wachtwoordentijdperk voorbij is, gelooft ook Paul Overbeek, directeur van KPMG Information Risk Management stellig. “Ze zijn nog prima toepasbaar in de consumentensfeer waar een wachtwoord noodzakelijk is om het weer op de vakantiebestemming te bekijken, maar voor zakelijke toepassingen zijn er simpelweg te veel problemen.”
Volgens Overbeek moeten bedrijven wel overstappen op two-factor authenticatie. “Vroeger hadden we dat al zonder er bij stil te staan. De eerste authenticatie vond plaats wanneer het bedrijfsgebouw werd binnengegaan. Het inloggen met een wachtwoord was dan al de tweede wijze van zich bekendmaken. Nu alles via internet te bereiken is, valt die eerste beveiligingslaag weg. Daar moeten we nu vervanging voor zoeken.” Overbeek gelooft dat tokens of smartcards daar de makkelijkste oplossing voor zijn. “Dan is er iets wat je hebt en iets wat je weet. In zo’n geval mag het wachtwoord ook best eenvoudig zijn en desnoods bestaan uit een viercijferige pincode. Alleen voor remote toegang of wanneer de card is vergeten, wordt een wachtwoord toegepast. Bij Shell bestaat dat bijvoorbeeld uit een gegenereerde code van dertig tekens. Zo’n card zal men niet snel nogmaals vergeten mee te nemen.”
Het kostenplaatje is de belangrijkste reden dat nog te weinig organisaties two-factor authenticatie inzetten. Bij wachtwoorden zijn de investeringen nihil en valt het beheer onder de het normale budget. Smartcards, tokens of biometrische oplossingen zijn duur in aanschaf en ook nog eens veel kostbaarder om te beheren.
Objectief gezien wegen deze kosten echter niet op tegen de risico’s die een organisatie loopt als alleen met wachtwoorden wordt gewerkt. “Het is nog slechts een kwestie van tijd, want er is een stimulans”, meent Overbeek. “Sarbanes Oxley staat een enkelvoudige authenticatie met wachtwoorden niet langer toe!”
