Nooit meer gedoe met wachtwoorden: word ook passwordless

Al sinds we computers zijn gaan gebruiken, hebben we er mee te maken: wachtwoorden. En nu het aantal toepassingen en systemen in ons dagelijks werkt alleen maar toeneemt, neemt ook het aantal te onthouden wachtwoorden toe. Bij onze klanten zien we dan ook dat veel gebruikers kiezen voor wachtwoorden die gedeeltelijk of volledig identiek zijn, zodat ze deze gemakkelijker kunnen onthouden. Begrijpelijk vanuit een praktisch oogpunt, maar logischerwijs komt dit de veiligheid van uw bedrijfssystemen en -gegevens niet ten goede. Ik leg u graag uit hoe u hier op een praktische en gebruiksvriendelijke manier een oplossing voor vindt.

Het wachtwoordbeleid dat voortkomt uit de behoefte naar sterkere en veilige wachtwoorden is doorgaans weinig gebruiksvriendelijk voor uw medewerkers. Vaak moeten zij hun wachtwoorden heel vaak en per systeem of toepassing wijzigen en mogen de nieuwe wachtwoorden geen overeen komsten vertonen met vorige wachtwoorden. Gebruikers vergeten deze nieuwe wachtwoorden daarom nogal eens of schrijven ze op briefjes die bij de computer bewaard worden. Niet alleen is dit een veiligheidsrisico voor uw organisatie, maar het kan ook een behoorlijke druk uitoefen op uw servicedesk en securitymedewerkers.

Het liefst wilt u een informatieveiligheidsbeleid voeren dat zowel veilig als gebruiksvriendelijk is. Dit klinkt ingewikkeld, maar met een aantal slimme oplossingen én de juiste expert- ondersteuning, is dit voor u ook mogelijk. Door bijvoorbeeld gebruik te maken van moderne technologieën als 2-factor- authenticatie maakt u het wachtwoordbeleid niet alleen velliger, maar ook prettiger voor uw medewerkers, zodat zij geen onveilige work-arounds meer hoeven te gebruiken.

Passwordless aan de slag

Passwordless-authenticatie is een vorm van multifactor-authenticatie die het ’gewone’ wachtwoord vervangt door een veilig en gebruiksvriendelijk alternatief. De passwordless-manier van authentiseren vereist 2 of meer zogenaamde verificatie- factoren. Zo’n verificatiefactor kan bijvoorbeeld een smartphone zijn, een laptop of een ander apparaat.

Deze verificatiefactoren zijn beveiligd met een cryptografisch sleutelpaar. In de praktijk verloopt passwordless-authenticatie als volgt:

  1. Uw medewerker logt in op zijn of haar account met zijn apparaat

  2. Hierdoor wordt er een authenticatieverzoek verstuurd naar een identificatiesysteem (bijvoorbeeld Azure)

  3. Dit identificatiesysteem vraagt vervolgens om validatie voor de inlogpoging door een validatieverzoek te versturen naar een ander apparaat van de medewerker (bijvoorbeeld zijn smartphone)

  4. Uw medewerker kan dit validatieverzoek heel gemakkelijk goedkeuren door dit apparaat te ontgrendelen met zijn vingerafdruk of met zijn pincode

  5. Het ontgrendelen van het apparaat gebeurt dus met de privésleutel; de persoonlijke pincode of vingerafdruk. De ontgrendeling wordt daarna als geslaagde validatie naar de Active Directory (AD) van het identificatiesysteem gestuurd

  6. In deze AD-omgeving wordt de privésleutel geverifieerd aan de hand van de publieke sleutel die in de omgeving is opgeslagen. Dit betekent dat er een koppeling wordt gemaakt tussen de privésleutel en het traditionele wachtwoord van het systeem of het programma waarop uw medewerker wilt inloggen

  7. Als de privésleutel past bij de publieke sleutel dan maakt de AD een primary refresh token (SSO-token) en een ID-token aan. Deze worden samen met een beveiligde sessiesleutel naar het toestel van uw medewerker verstuurd

  8. Met deze sessiesleutel kan uw medewerker dan automatisch inloggen bij bedrijfsapplicaties en -systemen, zonder dat er opnieuw een wachtwoord ingevoerd moet worden

Wachtwoord of pincode

Weet u wat het verschil is tussen een wachtwoord en een pincode? Hoewel ze sterk op elkaar lijken, verschillen ze in werking. Een pincode is namelijk gebonden aan een specifiek apparaat of toestel, zoals een smartphone en werkt alleen als toegangscode op dat specifieke apparaat. Als iemand de pincode van een toestel heeft weten te achterhalen, dan is deze code zonder dit fysieke toestel niet bruikbaar. Bij een wachtwoord is de combinatie van de gebruikersnaam en het wachtwoord genoeg om toegang te verkrijgen tot de omgeving die ermee wordt beveiligd.

Kiezen voor een passwordless-beleid

Steeds meer van onze klanten kiezen voor een passwordless-beleid. Niet verrassend, want een passwordless-beleid is niet alleen gemakkelijk en veilig, maar biedt ook nog andere voordelen:

  • Gebruikerservaring en gebruiksvriendelijkheid verbetert
    Regelmatig wachtwoorden veranderen is voor veel medewerkers vervelend, omdat ze wachtwoorden hierdoor niet meer kunnen onthouden. Passwordless-beleid geeft uw medewerkers een makkelijke manier om in te loggen en toegang te krijgen tot data en bedrijfsgegevens met hun eigen privésleutel.

  • Minder beroep op de servicedesk en minder verlies van productiviteit
    Bij passwordless-beleid wordt gebruikgemaakt van bio- metrische herkenning of een pincode in combinatie met een (persoonlijk) apparaat, waardoor medewerkers hun wachtwoord niet meer kunnen vergeten. Hierdoor is er minder tijd nodig voor het herstellen van (vergeten) wachtwoorden en houdt uw servicedesk meer tijd over voor andere vraagstukken.
  • Minder kwetsbaarheden
    Gelijksoortige of gemakkelijk te onthouden wachtwoorden zijn ook voor kwaadwillenden gemakkelijk te voorspellen of te achterhalen. Multifactor-authenticatiemethoden zoals passwordless-authenticatie zorgen ervoor dat uw bedrijfsgegevens beter beveiligd zijn, omdat kwaadwillenden een combinatie van 2 zaken (code én fysiek apparaat) moeten bemachtigen om toegang te krijgen tot uw gegevens.

Bereid u goed voor

Wilt u ook een passwordless-beleid doorvoeren in uw organisatie? Dan is het belangrijk dat u goed nadenkt over gebruikersadoptie en de keuze voor een bepaalde technologie. Het veranderen van een werkwijze is namelijk complex en vergt veel tijd. Zorg daarom dat u goed weet hoe uw organisatie werkt en wat het van uw medewerkers vraagt om af te stappen van het huidige wachtwoordbeleid. Laat hen duidelijk zien en ervaren hoe gemakkelijker, veiliger en slimmer passwordless inloggen is. Als u goed weet hoe uw organisatie werkt, kunt u ook makkelijker kiezen welke vorm van passwordless bij uw organisatie en uw medewerkers past. Denk er ook goed over na of de apparaten die uw medewerkers (op dit moment) gebruiken, geschikt zijn voor biometrische herkenning. Als dit voor een groot deel van uw medewerkers niet het geval is, dan kan een authenticator-applicatie wellicht beter bij uw organisatie passen.

Bent u nieuwsgierig geworden naar de mogelijkheden voor uw organisatie of wilt u een specifieke vraag stellen aan 1 van onze experts? De business consultants en servicemanagers van KPN Modern Workplace staan altijd klaar om uw vragen te beantwoorden.

Neem contact op via r.kelder@kpnwerkplek.com of kijk voor meer informatie op kpn.com/mwp.

Onze expert

Robbert Kelder is binnen KPN verantwoordelijk voor door- ontwikkeling en innovaties op de public en private cloud werkplekdienstverlening van KPN. Hierbij heeft hij als doel om uw eindgebruikers optimaal digitaal te laten werken. Hij verwacht dat de werkplek in de toekomst steeds intelligenter zal worden en langzaamaan een digitale tweeling van ons zelf wordt die ons helpt ons werk optimaal uit te voeren.

Naast digitale werkplekken heeft Robbert meegewerkt aan ons 5G Field Lab in Groningen en heeft hij met zijn KPN-team in 2018 de Computable Awards ‘Digitale Transformatie van het jaar’ gewonnen voor 1 van onze eHealth-oplossingen. Zijn Tedx Talk over 5G is te vinden onder de titel: ‘5G: Building the next version of telecommunication’.

Gerelateerde artikelen