ESET

Zijn de dagen van "123456" geteld? Terwijl Microsoft de wereld verder van wachtwoorden wegduwt, is hier wat een bedrijf moet overwegen voordat het wachtwoordvrij wordt.

Advertentie

“Password Free” belooft het leven van zowel gebruikers als beveiligingsteams veel gemakkelijker te maken. Het biedt uitzicht op het verlagen van de administratieve lasten, het verbeteren van de productiviteit en het verminderen van cyberrisico’s. Ondanks deze voordelen is de acceptatie in B2C- en B2B-omgevingen echter niet zo hoog als men zou kunnen denken.

Maar als ‘s werelds grootste softwarebedrijf besluit een nieuwe technologische benadering te ondersteunen, moet men er aandacht voor hebben. Microsoft zei een tijd geleden over wachtwoorden dat ze “onhandig, onveilig en duur” waren. In maart van dit jaar introduceerde het bedrijf password free authenticatie voor zijn zakelijke klanten. In september maakte Microsoft bekend deze ondersteuning uit te breiden naar alle gebruikers. We kunnen dus zeggen dat het tijdperk van password free authenticatie eindelijk is aangebroken.

Als wachtwoorden niet langer geschikt zijn

Wachtwoorden bestaan ​​al sinds er computers zijn. Hun einde is al vaak aangekondigd, maar ze zijn er nog steeds en beveiligen alles, van zakelijke apps en online bankrekeningen tot e-mails en e-commerce.

Het probleem: we moeten te veel van deze inloggegevens beheren en onthouden. In de VS heeft naar schatting 57% van de werknemers bedrijfswachtwoorden op post-its geschreven. En dat aantal groeit naarmate we onze digitale voetafdruk uitbreiden. In oktober 2020 werd geschat dat een ‘gemiddelde’ persoon +/- 100 wachtwoorden had, bijna 25% meer dan voor de pandemie.

Vanuit een beveiligingsstandpunt is de wachtwoorduitdaging goed gedocumenteerd. Voor  aanvallers is het een steeds gemakkelijker doelwit om te stelen, te raden, te forceren of voor physhing. En eens ze deze hebben, kunnen kwaadwillende actoren zich voordoen als legitieme gebruikers, perimeterbeveiligingen vermijden en veel langer verborgen blijven in bedrijfsnetwerken dan het anders het geval zou zijn. De tijd die nodig is om een ​​datalek te identificeren en in te dijken is vandaag 287 dagen (today stands at 287 days).

Wachtwoordmanagers en eenmalige aanmeldingen bieden een zekere vorm van verdediging tegen deze uitdagingen. Ze bewaren en herinneren complexe wachtwoorden voor elk account, zodat gebruikers dat niet hoeven te doen. Maar ze zijn nog steeds niet echt populair bij consumenten. Daarom hergebruiken we eenvoudig te onthouden inloggegevens voor meerdere accounts, waardoor individuele en zakelijke accounts worden blootgesteld aan credential stuffing en andere brute force-technieken.

Het gaat niet enkel om veiligheidsrisico’s. Het beheren van wachtwoorden kost veel tijd en geld, en het kan extra frictie toevoegen aan het klantenparcours. Inbreuken kunnen enorme resets vereisen op grote hoeveelheden accounts en dit kan de gebruikerservaring in B2B- en B2C-omgevingen verstoren.

Hoe kan “Password Free”  goed zijn voor een bedrijf?

Authenticatie zonder wachtwoord is een grote stap vooruit. Door gebruik te maken van een authenticatie-app met biometrische beveiliging zoals gezichtsherkenning, een beveiligingssleutel of zelfs een unieke code die via e-mail/sms wordt verzonden, kunnen organisaties in één klap beveiligings- en privacyproblemen elimineren die gekoppeld zijn aan statische identificatie.

Door deze techniek voor B2B- en B2C-activiteiten te gebruiken, kunnen organisaties:

  • De gebruikerservaring verbeteren: door het inloggen transparanter te maken zodat gebruikers hun wachtwoord niet meer te hoeven onthouden. Het kan zelfs de verkoop verbeteren als er minder winkelwagentjes worden achtergelaten vanwege inlogproblemen.
  • De beveiliging verbeteren: als er geen wachtwoorden te stelen zijn, kunnen organisaties een belangrijke vector voor compromittering verwijderen. Vorig jaar bleek dat wachtwoorden verantwoordelijk waren voor 84% van de inbreuken. De slechteriken zouden veel harder moeten werken om te krijgen wat ze willen. En aanvallen met credential stuffing, die momenteel in de miljarden per jaar worden geprobeerd, zouden tot het verleden behoren.
  • Kosten en reputatieschade verminderen: door de kansen op financieel schadelijke datalekken en ransomware te minimaliseren. Het zal ook de ICT-administratiekosten, gepaard met het opnieuw instellen van wachtwoorden en incidentonderzoeken, verlagen. Een rapport zegt dat het tot $ 200 per reset en 30.000 uur productiviteitsverlies per jaar kan kosten. Om nog maar te zwijgen over de extra tijd die IT-teams zouden kunnen besteden aan taken met een hogere toegevoegde waarde.

Wat staat in de weg “Password Free”?

Password free is geen wondermiddel. Er blijven verschillende obstakels voor de goedkeuring ervan, waaronder:

  • De beveiliging is niet 100% gegarandeerd: SIM-swap-aanvallen kunnen piraten bijvoorbeeld helpen om eenmalige toegangscodes (OTP) per sms verzonden, te omzeilen. En als hackers toegang krijgen tot toestellen/machines, kunnen ze ook OTP’s via spyware onderscheppen.
  • Biometrie is geen wondermiddel: door authenticatie met een fysiek kenmerk dat de gebruiker niet kan wijzigen of resetten, wordt de inzet veel hoger als aanvallers een manier vinden om het systeem te hacken. Er worden machinale leertechnieken ontwikkeld om de spraak- en gezichtsherkenningstechnologie te ondermijnen.
  • Hoge kosten: KMO’s met een groot gebruikers- of klantenbestand vinden de implementatie van technologie zonder wachtwoord misschien erg duur, om nog maar te zwijgen over de mogelijke kosten die gepaard gaan met vervangingstoestellen of tokens. Het gebruik van een gerenommeerde leverancier als Microsoft is logischer, hoewel er ook nog interne ontwikkelingskosten zijn.
  • Terughoudendheid van de gebruiker: wachtwoorden hebben de tand des tijds doorstaan, ondanks hun aanzienlijke tekortkomingen, maar gebruikers weten instinctief hoe deze te gebruiken. Het overwinnen van angst voor het onbekende kan gemakkelijker worden aangepakt in een zakelijke omgeving waar gebruikers geen andere keuze hebben dan de regels te volgen. Maar in B2C kan dit voor veel extra wrijvingen zorgen en de klanten ontmoedigen. Daarom is het belangrijk ervoor te zorgen dat het inlogproces zo transparant en intuïtief mogelijk is.

Nu het postpandemische tijdperk is aangebroken, zullen twee trends de toekomst van password free vormgeven: het toenemende gebruik van online diensten door de consumenten en de opkomst van de hybride werkplek. Het lijkt dus logisch dat elke bedrijfsstrategie zonder wachtwoord nu begint.

Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.


LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here