Password-less werken: de drie grootste misverstanden
Binnen veel organisaties zorgt een wachtwoordbeleid voor kopzorgen. Het is namelijk lastig om in de gaten te houden hoe medewerkers (zorgvuldig) omgaan met wachtwoorden. De nauwkeurigheid en sterkte van de wachtwoorden, heb je – mits je de beschikking hebt over de juiste middelen – deels in de hand, maar wachtwoorden maken jouw werknemers voorspelbaar en dus kwetsbaar. Hiermee verlies je de controle over de veiligheid van jouw bedrijf.
Afstappen van wachtwoorden klinkt eng, maar zonder wachtwoorden zijn bedrijven een stuk veiliger af. Password-less werken, blijkt in praktijk veiliger te zijn dan inloggen met alleen een wachtwoord. Sterke authenticatie op basis van Multi-factor authenticatie (MFA) – waarbij het inloggen met een 2e factor (bv. wachtwoord & Authenticator app, of met gezichtsherkenning & vertrouwde locatie of een vingerafdruk), zorgen mede voor een veiligere organisatie.
Wanneer wij het gesprek aan gaan met organisaties over password-less werken, komen er veelal dezelfde vooroordelen op tafel. Het zijn misverstaden die zorgen voor weerstand bij de klant, wanneer het gaat om het wegnemen van wachtwoorden. Omdat het minder eng is dan het lijkt, zet ik in dit blog de drie grootste misconcepties op een rij.
1. Een pincode is net zo (on)veilig als een wachtwoord.
Pincodes en wachtwoorden lijken op elkaar, maar dit maakt ze nog niet hetzelfde. Een pincode bestaat veelal uit een getallenreeks (vaak vier getallen). Soms zijn er bedrijven die ook langere pincodes toelaten, waarin medewerkers ook tekens en letters kunnen toevoegen. Belangrijk om te weten, is dat de structuur van de pincode geen toegevoegde waarde heeft voor de veiligheid van jouw device. Het werkt op een andere manier.
Een pincode is namelijk gekoppeld aan een specifiek apparaat en heeft daarmee een unieke relatie (Private Key) die wordt opgeslagen in een “kluis” (TPM-chip). Dit kan jouw laptop, smartphone of bijvoorbeeld je tablet zijn. Zonder dit apparaat, heb je niks aan jouw pincode. Hier wordt het onderscheid gemaakt met een wachtwoord. Mochten kwaadwillende het wachtwoord van jouw account weten te achterhalen, kunnen zij vanaf elk device inloggen met jouw account. Daarnaast bestaat de kans dat je account ook toegang geeft tot diverse online Cloud-diensten, waardoor de impact zich niet langer beperkt tot jouw werkplek alleen.
Dit probleem heb je niet met een pincode. Wordt jouw pincode achterhaald, is er in eerste instantie niet zoveel aan de hand. Dit omdat de pincode alleen werkt op jouw fysieke apparaat. Zonder jouw device, kunnen mensen niks met jouw pincode en blijft de impact beperkt tot eventuele materiele schade en ongemak. Pincodes zijn dus veiliger dan wachtwoorden.
2. Password-less werken heeft negatieve invloed op mijn traditionele applicaties
De transitie naar password-less werken heeft veelal consequenties voor je bestaande (traditonele) applicaties, deze verstaan namelijk niet de (moderne) taal die password-less gebruikt om te authenticeren. Deze taalbarrière kunnen we op een aantal manieren oplossen. De meest voor de hand liggende, maar ook de meest complexe oplossing, is het moderniseren van on-premise applicaties naar SaaS-applicaties. Dit is veelal een kostbaar en langdurig proces, maar de enige echte (toekomst vaste) oplossing.
Om je hier enigszins in tegemoet te komen, geeft Microsoft een aantal opties die feitelijk als tolk fungeren. Daarmee ben je in staat om password-less werken deels te combineren met traditionele applicaties.
Tijdsgebonden Wachtwoord (TLP)
Password-less werken met verouderde protocollen is een uitdaging. Daarom heeft Microsoft een tijdelijk en eenmalig wachtwoord ontwikkeld met een tijdslimiet. Een tijdelijke wachtwoord gebruikmakend van legacy-autorisatie.
Windows Hello for Business Hybrid
Een andere optie is Windows Hello for Business Hybrid. Een pincode of gezichtsherkenning, (lees moderne authenticatie: Next Generation Credentials), wordt omgezet in traditionele auhenticatie (Kerberos). Daarmee worden de voordelen van password-less, veiliger en eenvoudiger gecombineerd. Zo krijg je toegang tot zowel traditionele (on-premise) als moderne (Cloud) applicaties.
Password-less werken heeft dus zeker invloed op jouw traditionele applicaties. Toch heb je keuze tussen een complexere toekomstvaste oplossing en tijdelijke oplossingen. Zo kun je in iedere situatie aan de slag met password-less werken en hoeft deze transitie niet negatief te zijn.
3. Een biometrisch toegangssysteem kan makkelijk worden gehackt of vervalst
Het vervalsen van jouw vingerafdruk of de gezichtsscan is niet onmogelijk. Maar Microsoft heeft veel stappen ondernomen om jouw biometrische gegevens te beschermen tegen diefstal. Allereerst wordt jouw biometrische handtekening lokaal beveiligd op jouw apparaat, ook wel bekend als Trusted Platform Module (TPM). Dit wordt nooit gedeeld met andere mensen of devices en deze manier van inloggen wordt alleen gebruikt om het apparaat te ontgrendelen. Nooit om je te authenticeren via het netwerk.
Hierdoor wordt alleen jouw biometrische handtekening of pincode opgeslagen, waardoor er geen ingang ontstaat voor een hacker om deze te stelen. Bij FIDO2 en Windows Hello authenticatie, log je in via een pincode, vingerafdruk of gezichtsherkenning. Deze persoonlijke handtekening triggert een tweede factor die ontgrendeld moet worden: een cryptografische sleutel die toegang geeft tot jouw account. Het is een verificatie om ervoor te zorgen dat een vervalsing van een lichaamsdeel, geen toegang geeft tot jouw account. Ook is Microsoft druk bezig met een detectieprogramma, dat kan zien of jij als levend wezen probeert in te loggen, of dat er neppe dingen worden gebruikt om in te loggen.
Conclusie
Met dit blog hoop ik een paar misverstanden van password-less werken te ontkrachten. Het is belangrijk om te bedenken dat password-less werken niet betekent dat er helemaal geen inlogdrempel wordt gebruikt. Integendeel. Er worden juiste meerdere authenticatiestappen ingevoerd om jouw account juist beter te beveiligen. Dit terwijl het gebruikersgemak wordt vergroot.
Mocht jij nou met vragen blijven zitten of meer informatie willen over het toepassen van password-less werken in jouw organisatie, laat het mij dan onder aan het blog weten. Ik denk graag mee over de mogelijheiden binnen jouw bedrijf en beantwoord met alle liefde de vragen die jij hebt over MFA, password-less werken en wat dit voor jouw veiligheid betekent.