Back

Het einde nabij voor wachtwoorden?

Die kop heeft waarschijnlijk uw interesse gewekt, begrijpelijk. Ik zal direct iets opbiechten, nabij is misschien tóch iets verder weg dan dat we eigenlijk zouden willen zien. Een feitelijkere titel: “Het begin van het einde voor wachtwoorden”.

Er zijn ontwikkelingen, en dat op zich belooft goeds. De wachtwoordloze oplossing (passkey) zien we steeds vaker terug in bekende applicaties.

In dit artikel:

  1. De evolutie van wachtwoorden
  2. Wachtwoordmanagers
  3. Passkeys
  4. Key takeaways
  5. Concrete actiepunten

De evolutie van wachtwoorden

Wachtwoorden… Ik vind het een pijnlijk onderwerp. Wachtwoorden maken onderdeel uit van uw digitale veiligheid. Niet alleen persoonlijk maar óók zakelijk. Voor velen zijn wachtwoorden een noodzakelijk kwaad. Van oudsher zijn wachtwoorden iets wat men gemakkelijk moet kunnen onthouden: naam van huisdier, naam van kind, eventueel een geboortedatum en/of een stad erbij. Het is dus vaak iets persoonlijks. Het originele wachtwoord stamt waarschijnlijk af uit een tijd waarin er nog geen eisen werden gesteld aan wachtwoorden. Denk aan: Jan1990, Voetbal15 of simba. Dankzij de eisen die worden gesteld vanuit verschillende platformen zal het origineel inmiddels variaties hebben gekregen. Denk aan: !Jan1990#, VoetBal15^& en !s¡mb@?. Veilig, is wat u waarschijnlijk denkt.

Bovenstaand zal voor velen herkenbaar zijn, uitzonderingen daargelaten (bijvoorbeeld technici).

Wat impliceert dit nu? Mocht jouw originele (oude) wachtwoord (Jan1990 ) ooit ergens zijn uitgelekt is het voor een kwaadwillend individu niet erg ingewikkeld om variaties hierop te generen en uit te proberen (!Jan1990#). Dit is volledig te automatiseren en dé reden van het mailtje wat op enig moment in de mailbox beland: “Onbekende inlogpoging vanaf [VREEMD_VER_LAND]”.

De kans dat u ditzelfde wachtwoord (of variaties) óók bij andere diensten gebruikt is aanzienlijk, deze zal u vanaf dat moment allemaal als gecompromitteerd moeten beschouwen (persoonlijk én zakelijk). Overal moet het wachtwoord aangepast worden. Doet u dit niet, is het als een schimmel die terug blijft komen.

Of u ooit betrokken bent geweest bij een datalek kunt u hier controleren op basis van uw e-mailadres. Door in de menubalk op “Notify me” te drukken wordt u zelfs direct op de hoogte gesteld bij nieuwe lekken.

Hoe kan dit beter?

Wachtwoordmanagers (Google, Apple & Microsoft)

Wachtwoordmanagers. Tegenwoordig worden telefoons en computers vanuit de fabriek geleverd met een wachtwoordmanager. Deze zit in de webbrowser verstopt (Chrome, Edge & Safari) of bevinden zich op systeemniveau (Android & iOS). Het is de functionaliteit die steeds maar weer die irritante melding geeft: “Wilt u een veilig wachtwoord genereren en opslaan?”. Nee, ik heb al een wachtwoord (!Jan1990#).

Maar stel, stél dat u op akkoord zou gaan, dan zou er een veilig wachtwoord gegenereerd worden, een wachtwoord dat u niet kunt onthouden. Een wachtwoord die verder nergens anders wordt gebruikt, enkel bij de dienst waar we deze melding krijgen. De kans is 99,99% dat u het wachtwoord zelfs nooit gaat zien en dit is in tegenstelling tot wat u nu misschien denkt geen enkel probleem. En doordat dit wachtwoord enkel bij deze dienst wordt gebruikt is de schade beperkt in geval van een datalek.

Wat er namelijk is gebeurd op het moment dat u akkoord bent gegaan is dat de verantwoordelijkheid voor het onthouden van het wachtwoord is verschoven. Van u, naar uw Google, Apple of Microsoft account. Dit betekent dat wanneer iemand toegang heeft tot een van deze accounts, deze persoon óók toegang heeft tot ál uw wachtwoorden. Het is dus van belang dat deze kluis veilig is. Zorgt dat alle beveiligingsinstellingen (bijv. 2FA & controlevraag bij nieuwe locatie) goed staan op uw Google, Apple of Microsoft account. En het allerbelangrijkste; gebruik een wachtwoord die u nergens anders gebruikt, zo wordt het risico dat deze ooit uitlekt gedicht.

Maar… u voelde het misschien al aankomen met deze grote namen. Hoe gaat dit in zijn werk wanneer u een Android (Google) tablet, een iOS (Apple) iPhone en een Windows desktop / laptop in gebruik heeft? Dat is een uitdaging. Daarom adviseer ik een alternatieve onafhankelijke wachtwoordmanager. U hoeft dan, wanneer u van apparaat wisselt, ook niet alle wachtwoorden te migreren.

Bitwarden (onafhankelijke wachtwoordmanager)

Om ervoor te zorgen dat uw wachtwoordmanager altijd en overal werkt raad ik graag een systeemonafhankelijke aan, zoals Bitwarden. Deze werkt op uw Apple, Android en Microsoft apparaten. Probleemloos. De werking is nagenoeg gelijk aan de wachtwoordmanager van het systeem zelf. Naast Bitwarden zijn er alternatieven wachtwoordmanagers.

Zelf ben ik heel wat jaren geleden de dupe geworden van een datalek. Ik gebruikte destijds overal hetzelfde wachtwoord. Dat een vreemd iemand nu toegang had tot al mijn online diensten maakte mij kwetsbaar. Het was een race tegen de klok, een race die dagen duurde. Het handmatig resetten van wachtwoorden en deze invoeren in Bitwarden is een arbeidsintensief proces. Het ging in mijn geval om honderden wachtwoorden. Gelukkig geldt niet voor elke dienst waar ik online gebruik van maak dat het kritiek is of zeer gevoelige informatie bevat. Door de diensten te classificeren op de mate waarin ze een risico vormen had ik binnen een half uur de belangrijkste diensten weer waterdicht. Incl. 2FA waar mogelijk. Ten tijden van dit voorval was 2FA in dezelfde mate gestandaardiseerd als passkeys vandaag de dag (op passkeys kom ik zo terug).

Ik was vastbesloten om dit nooit meer te ervaren. Daarom besloot ik het roer om te gooien. Nu worden alle wachtwoorden automatisch gegenereerd. Het enige wachtwoord dat ik nog ken, is dat van mijn wachtwoordmanager, en dat gebruik ik nergens anders voor. In de nabije toekomst voeg ik er een hardware key aan toe, zoals de Yubikey, die zal functioneren als een fysieke sleutel tot mijn kluis met wachtwoorden (back-ups belangrijk). Als ik Google mag geloven, liggen de pepernoten over drie weken al in de supermarkt. Dit lijkt me het perfecte moment om hét kerstcadeau voor 2023 aan te kondigen: de hardware key. Al is het maar als cadeau voor mezelf, alvast bedankt.

Wachtwoordloos (passkeys)

In de voortdurende evolutie van digitale beveiliging is een nieuwe benadering van authenticatie in opkomst: wachtwoordloze authenticatie of passkeys (op basis van het WebAuthn protocol). In plaats van een traditioneel wachtwoord te gebruiken, maken gebruikers gebruik van unieke passkeys die naar hun toestel worden gestuurd of van biometrische methoden, zoals vingerafdrukken of gezichtsherkenning vanaf het toestel of een hardware sleutel.

De voordelen zijn duidelijk: er is geen wachtwoord dat kan worden gestolen of gehackt, en gebruikers hoeven zich geen zorgen te maken over het onthouden of regelmatig veranderen van wachtwoorden. Dit vermindert het risico op datalekken aanzienlijk en vereenvoudigt het inlogproces. De passkeys zijn veel laagdrempeliger dan wachtwoordmanagers en vullen hiermee een groot gapend gat. Ervan uitgaande dat de adoptie van passkeys goed verloopt zal dit resulteren in een veel betere en veiligere gebruikerservaring voor hen waar een wachtwoordmanager net té complex is.

Toch zijn er uitdagingen verbonden aan deze technologie. Niet elk platform of bedrijf ondersteunt het al. En er zijn zorgen over wat er gebeurt als een toestel verloren gaat of wanneer biometrische data wordt gecompromitteerd.

Desondanks is het duidelijk dat de toekomst van beveiliging wellicht minder afhankelijk is van traditionele wachtwoorden. Naarmate passkeys en biometrische authenticatiemethoden mainstream worden, kunnen we ons verheugen op een veiligere digitale omgeving.

Deze passkeys zullen standaard worden opgeslagen in uw Google, Apple of Microsoft account. Met dezelfde implicaties als die eerder zijn genoemd voor de wachtwoordmanager. Gelukkig is Bitwarden ondersteuning voor passkeys aan het ontwikkelen, zo kunt u er dus op alle apparaten gebruik van maken.

De key takeaways op een rijtje

  1. Wachtwoorden zijn cruciaal voor digitale veiligheid, zowel persoonlijk als zakelijk.
  2. Veel mensen gebruiken eenvoudige wachtwoorden, vaak gebaseerd op persoonlijke informatie. Deze kunnen gemakkelijk worden geraden, vooral als ze ooit zijn gelekt.
  3. Als een wachtwoord wordt gelekt, kunnen variaties ervan worden gebruikt om in te loggen op andere accounts.
  4. Wachtwoordmanagers, geïntegreerd in apparaten van grote merken zoals Google, Apple en Microsoft, genereren en onthouden sterke wachtwoorden voor u. De beveiliging hiervan is echter afhankelijk van de beveiliging van uw hoofdaccount bij deze bedrijven.
  5. Bitwarden, een onafhankelijke wachtwoordmanager, wordt aanbevolen voor systeemonafhankelijk gebruik en biedt dezelfde functionaliteit als ingebouwde managers.
  6. Er is een verschuiving naar wachtwoordloze authenticatie, zoals passkeys en biometrische methoden (vingerafdrukken, gezichtsherkenning). Deze zijn veiliger en gebruiksvriendelijker, maar hebben hun eigen uitdagingen, zoals ondersteuning door platforms en zorgen over verlies van apparaten of gecompromitteerde biometrische gegevens.
  7. Passkeys worden ook opgeslagen in Google, Apple of Microsoft accounts, met dezelfde implicaties als wachtwoordmanagers. Bitwarden ontwikkelt ondersteuning voor passkeys om overal gebruik van te kunnen maken.

Concrete acties die u kunt ondernemen

Product owners

  1. Implementeer wachtwoordloze authenticatie.
    1. Als dit niet mogelijk is, zet het dan op de backlog of roadmap.
  2. Zorg ervoor dat uw product compatibel is met wachtwoordmanagers.
  3. Informeer gebruikers over het gebruik van veilige wachtwoorden.
  4. Bied enkel persoonlijke accounts aan (zodat iedereen een eigen login heeft) en vermijd bedrijfsbrede accounts. Deze laatste beperken de mogelijkheid tot een audit trail.
  5. Promoot het gebruik van tweefactorauthenticatie (2FA).

Ontwikkelaars

  1. Update regelmatig veiligheidsprotocollen.
  2. Voer een sterk wachtwoordbeleid in (zie link NCSC)
    1. Controleer of het wachtwoord van een gebruiker reeds gelekt is of veelgebruikt is. Doe dit bij registratie of wijzigen van wachtwoord.
    2. 10 tot 24 tekens (geen maximumlengte)
    3. Leg geen beperkingen op de levensduur van een wachtwoord (zoals elke maand wijzigen)
    4. Leg geen verplichtingen het gebruik maken van verschillende tekens zoals hoofdletters, cijfers en leestekens.
  3. Sla wachtwoorden veilig op (hashing m.b.v. SHA-256 of SHA-384).

IT-Managers

  1. Bied passende, relevante en recente training aan die past bij de primaire taken en competenties van medewerkers.
  2. Promoot het gebruik van wachtwoordmanagers.
  3. Monitor op datalekken.
  4. Verplicht het gebruik van 2FA.

Overige medewerkers/ particulieren/ overig

  1. Kies voor unieke wachtwoorden, verschillend voor elke online dienst. (Een wachtwoordmanager kan dit voor je regelen.)
  2. Gebruik een wachtwoordmanager.
    1. Als je zakelijk handelt, kies er dan een die is goedgekeurd door de organisatie waarvoor je werkt.
    2. Zorg voor een "emergency access" zodat naasten in noodgevallen toegang hebben tot je kluis, bijvoorbeeld bij overlijden.
  3. Controleer op mogelijke datalekken.
  4. Activeer tweefactorauthenticatie.

Dankwoord

Bedankt voor het lezen van dit artikel, ik hoop dat u iets heeft geleerd. Voor mij is het al geslaagd als ik één iemand heb kunnen activeren om gebruik te gaan maken van een wachtwoordmanager.

Bedankt aan het Nationaal Cyber Security Centrum (NCSC-NL) voor het nadrukkelijk stimuleren van WebAuthn. Zij publiceerden in 2019 al een artikel getiteld "Wachtwoorden verleden tijd?" met als onderwerp WebAuthn en op hun pagina toegewijd aan authenticatie wordt WebAuthn genoemd als het aanbevolen authenticatiemechanisme. In mijn ogen geven zij hiermee een duidelijk signaal af en dit getuigt van lef en verantwoordelijkheidsgevoel.

Bedankt aan Kevin Wils van SECURESULT voor het geven van feedback. Als u behoefte heeft aan een passende training voor uzelf en/of uw medewerkers, kunt u bij hem terecht.