Al sinds we computers zijn gaan gebruiken, hebben we er mee te maken: wachtwoorden. En nu het aantal toepassingen en systemen in ons dagelijks werkt alleen maar toeneemt, neemt ook het aantal te onthouden wachtwoorden toe. Bij onze klanten zien we dan ook dat veel gebruikers kiezen voor wachtwoorden die gedeeltelijk of volledig identiek zijn, zodat ze deze gemakkelijker kunnen onthouden. Begrijpelijk vanuit een praktisch oogpunt, maar logischerwijs komt dit de veiligheid van uw bedrijfssystemen en -gegevens niet ten goede. Ik leg u graag uit hoe u hier op een praktische en gebruiksvriendelijke manier een oplossing voor vindt.
Het wachtwoordbeleid dat voortkomt uit de behoefte naar sterkere en veilige wachtwoorden is doorgaans weinig gebruiksvriendelijk voor uw medewerkers. Vaak moeten zij hun wachtwoorden heel vaak en per systeem of toepassing wijzigen en mogen de nieuwe wachtwoorden geen overeen komsten vertonen met vorige wachtwoorden. Gebruikers vergeten deze nieuwe wachtwoorden daarom nogal eens of schrijven ze op briefjes die bij de computer bewaard worden. Niet alleen is dit een veiligheidsrisico voor uw organisatie, maar het kan ook een behoorlijke druk uitoefen op uw servicedesk en securitymedewerkers.
Het liefst wil je een informatieveiligheidsbeleid voeren dat zowel veilig als gebruiksvriendelijk is. Dit klinkt ingewikkeld, maar met een aantal slimme oplossingen én de juiste expert- ondersteuning, is dit voor jou ook mogelijk. Door bijvoorbeeld gebruik te maken van moderne technologieën als 2-factor- authenticatie maak je het wachtwoordbeleid niet alleen velliger, maar ook prettiger voor medewerkers, zodat zij geen onveilige work-arounds meer hoeven te gebruiken.
Passwordless aan de slag
Passwordless-authenticatie is een vorm van multifactor-authenticatie die het ’gewone’ wachtwoord vervangt door een veilig en gebruiksvriendelijk alternatief. De passwordless-manier van authentiseren vereist twee of meer zogenaamde verificatiefactoren. Zo’n verificatiefactor kan bijvoorbeeld een smartphone zijn, een laptop of een ander apparaat.
Deze verificatiefactoren zijn beveiligd met een cryptografisch sleutelpaar. In de praktijk verloopt passwordless-authenticatie als volgt:
De medewerker logt in op zijn of haar account met zijn apparaat
Hierdoor wordt er een authenticatieverzoek verstuurd naar een identificatiesysteem (bijvoorbeeld Azure)
Dit identificatiesysteem vraagt vervolgens om validatie voor de inlogpoging door een validatieverzoek te versturen naar een ander apparaat van de medewerker (bijvoorbeeld een smartphone)
De medewerker kan dit validatieverzoek heel gemakkelijk goedkeuren door dit apparaat te ontgrendelen met de eigen vingerafdruk of pincode
Het ontgrendelen van het apparaat gebeurt dus met de privésleutel; de pincode of vingerafdruk. De ontgrendeling wordt daarna als geslaagde validatie naar de Active Directory (AD) van het identificatiesysteem gestuurd
In deze AD-omgeving wordt de privésleutel geverifieerd aan de hand van de publieke sleutel die in de omgeving is opgeslagen. Dit betekent dat er een koppeling wordt gemaakt tussen de privésleutel en het traditionele wachtwoord van het systeem of het programma waarop de medewerker wilt inloggen
Als de privésleutel past bij de publieke sleutel dan maakt de AD een primary refresh token (SSO-token) en een ID-token aan. Deze worden samen met een beveiligde sessiesleutel naar het toestel van de medewerker verstuurd
Met deze sessiesleutel kan de medewerker dan automatisch inloggen bij bedrijfsapplicaties en -systemen, zonder dat er opnieuw een wachtwoord ingevoerd moet worden
Wachtwoord of pincode
Weet je wat het verschil is tussen een wachtwoord en een pincode? Hoewel ze sterk op elkaar lijken, verschillen ze in werking. Een pincode is namelijk gebonden aan een specifiek apparaat of toestel, zoals een smartphone en werkt alleen als toegangscode op dat specifieke apparaat. Als iemand de pincode van een toestel heeft weten te achterhalen, dan is deze code zonder dit fysieke toestel niet bruikbaar. Bij een wachtwoord is de combinatie van de gebruikersnaam en het wachtwoord genoeg om toegang te verkrijgen tot de omgeving die ermee wordt beveiligd.
Altijd eenvoudig en veilig identificeren? Ontdek PiM:
Kiezen voor een passwordless-beleid
Steeds meer van onze klanten kiezen voor een passwordless beleid. Niet verrassend, want een passwordless beleid is niet alleen gemakkelijk en veilig, maar biedt ook nog andere voordelen:
Gebruikerservaring en gebruiksvriendelijkheid verbetert
Regelmatig wachtwoorden veranderen is voor veel medewerkers vervelend, omdat ze wachtwoorden hierdoor niet meer kunnen onthouden. Passwordless-beleid geeft de medewerkers een makkelijke manier om in te loggen en toegang te krijgen tot data en bedrijfsgegevens met hun eigen privésleutel.- Minder beroep op de servicedesk en minder verlies van productiviteit
Bij passwordless-beleid wordt gebruikgemaakt van biometrische herkenning of een pincode in combinatie met een (persoonlijk) apparaat, waardoor medewerkers hun wachtwoord niet meer kunnen vergeten. Hierdoor is er minder tijd nodig voor het herstellen van (vergeten) wachtwoorden en houdt de servicedesk meer tijd over voor andere vraagstukken. - Minder kwetsbaarheden
Gelijksoortige of gemakkelijk te onthouden wachtwoorden zijn ook voor kwaadwillenden gemakkelijk te voorspellen of te achterhalen. Multifactor-authenticatiemethoden zoals passwordless-authenticatie zorgen ervoor dat uw bedrijfsgegevens beter beveiligd zijn, omdat kwaadwillenden een combinatie van twee zaken (code én fysiek apparaat) moeten bemachtigen om toegang te krijgen tot uw gegevens.
Bereid je goed voor
Wil je ook een passwordless-beleid doorvoeren in jouw organisatie? Dan is het belangrijk dat je goed nadenkt over gebruikersadoptie en de keuze voor een bepaalde technologie. Het veranderen van een werkwijze is namelijk complex en vergt veel tijd. Zorg daarom dat je goed weet hoe de organisatie werkt en wat het van medewerkers vraagt om af te stappen van het huidige wachtwoordbeleid. Laat hen duidelijk zien en ervaren hoe gemakkelijker, veiliger en slimmer passwordless inloggen is.
Als je goed weet hoe uw organisatie werkt, kun je ook makkelijker kiezen welke vorm van passwordless bij jouw organisatie en medewerkers past. Denk er ook goed over na of de apparaten die medewerkers (op dit moment) gebruiken, geschikt zijn voor biometrische herkenning. Als dit voor een groot deel van de medewerkers niet het geval is, dan kan een authenticator-applicatie wellicht beter bij jouw organisatie passen.