Vraag de gemiddelde voorbijganger om een basiselement van ICT-beveiliging te noemen, en de kans is groot dat het antwoord ‘wachtwoorden’ luidt. Als u vervolgens vraagt wat ‘sterke’ wachtwoorden precies inhouden, zal zelfs de grootste digibeet u weten te vertellen dat het gaat om wachtwoorden die moeilijk te raden zijn. Ze bevatten een combinatie van verschillende tekens. En hij weet dat hetzelfde wachtwoord niet voor meerdere applicaties mag worden ingezet.
Begrijpen en toepassen zijn echter twee verschillende dingen. Daarbij is de mens van nature lui, en wil niet teveel gedoe met inloggen. Dat geldt niet alleen voor de gemiddelde werknemer, ook politici (die toch echt beter moeten weten) negeren het gevaar dat wachtwoorden met zich meebrengt. Dat werd pijnlijk duidelijk in januari van dit jaar, toen een paar RTL-redacteuren de social media accounts van onder andere SGP-voorman Kees van der Staaij hackten. Dat was niet moeilijk, want de redacteuren gebruikten de eerder gestolen inloggegevens van LinkedIn, Dropbox en Adobe. Deze gegevens zijn gemakkelijk online te achterhalen. De RTL-redacteuren lieten zien dat veel Nederlandse politici voor meerdere accounts exact dezelfde inloggegevens gebruikten. Én dat zij deze wachtwoorden niet hadden veranderd. Ook niet toen LinkedIn dat na een hack in 2012 en 2016, aan al zijn leden dringend adviseerde.
Werknemers (en politici dus) gebruiken niet alleen dezelfde wachtwoorden voor meerdere accounts, maar ook vaak extreem simpele inlog combinaties. Uit nieuw onderzoek blijkt dat veel mensen nog altijd gebruikmaken van makkelijk te raden wachtwoorden of zwakke tekencombinaties. De meest voorkomende wachtwoorden van 2016 bleken ‘123456’, ‘qwerty’ en ‘111111’. Meer dan de helft van de respondenten hanteerde een wachtwoord dat deel uitmaakte van de top 25 van meest gebruikte wachtwoorden; alleen al 17% gebruikte ‘111111’ als wachtwoord. Deze ranglijst werd samengesteld op basis van een analyse van aanmeldingsgegevens die tijdens datalekken werden gestolen. Het ging om in totaal 10 miljoen wachtwoorden.
Funest
Dit is niet alleen een probleem voor consumenten, die het gevaar lopen dat cybercriminelen zich toegang verschaffen tot hun e-mailadres of bankrekening. Bedrijven in alle soorten en maten zouden hier notitie van moeten maken. Slechte wachtwoordpraktijken kunnen funest zijn voor een organisatie. Een datalek dat het gevolg is van een hacker die een zwak wachtwoord kraakt, zal net als elk ander datalek moeten worden gemeld, met alle omzetverlies en reputatieschade van dien.
En dan is er nog de kwestie van wachtwoorden die worden ingesteld voor bedrijfssystemen. Wat als uw medewerkers zwakke of voorspelbaar wachtwoorden gebruiken om de toegang tot gevoelige bedrijfsgegevens te beschermen? En wat als zij dezelfde wachtwoorden gebruiken voor uiteenlopende applicaties binnen en buiten uw organisatie? Statistisch gezien zal een fors percentage van uw medewerkers slechte wachtwoordpraktijken hanteren die uw organisatie in gevaar brengen.
Voorlichting
Het is van groot belang om het eindgebruikers beter voor te lichten over het gebruik van goede wachtwoordpraktijken. Een nog effectievere oplossing voor dit probleem is echter om het proces van wachtwoordbeveiliging zelf onder de loep te nemen. Zoals eerder aangegeven is het gebruik van wachtwoorden een hoeksteen van cyberbeveiliging. Dat wil zeggen: een hoeksteen die al jaar en dag wordt gebruikt. Is het niet tijd voor een meer geavanceerde oplossing?
Die oplossing bestaat natuurlijk, en is veel veiliger. Hij is niet afhankelijk van de toepassing van best practices door eindgebruikers en kan eenvoudig en op kostenefficiënte wijze worden geïmplementeerd. Two factor-autenticatie of multi-factor-authenticatie wijst aan elke gebruiker een eigen unieke code of handtekening toe waarmee hij of zij toegang tot bedrijfssystemen kan krijgen. De beveiliging wordt daarbij versterkt door de toevoeging van een aanvullende, nog contextspecifiekere verificatielaag. Het systeem vraagt daarmee niet alleen om een wachtwoord dat zou kunnen worden gekraakt of gestolen, maar controleert de identiteit van de gebruiker daarnaast aan de hand van een vingerafdruk of spraakherkenning (biometrische verificatie) of een extra wachtwoord of code dat/die tijdsgevoelig is of voor eenmalig gebruik is bestemd. De laatste optie kan meestal het meest eenvoudig en kostenefficiënt worden geïmplementeerd. De tweede code kan dan simpelweg via een sms-bericht naar de smartphone van de gebruiker worden verzonden.
Tijdrovend
Dat betekent dat elke cybercrimineel die toegang tot een systeem of applicatie wil krijgen, eerst het oorspronkelijke wachtwoord moet stelen of raden, en vervolgens moet proberen om het sms-bericht te onderscheppen dat naar de gebruiker wordt verzonden. Dit is een tijdrovende en kostbare opgave. In de meeste gevallen zullen cybercriminelen het al snel voor gezien laten.
Multi-factor-authenticatie wordt steeds vaker ingezet bij ICT-beveiliging. Gebruikersnamen en wachtwoorden waren al decennia oud toen Clavister de multi-factor authentication-oplossing MFA introduceerde. Nu kunnen gebruikers met gebruik van Multi-Factor Authenticatie op een veilige en eenvoudige manier inloggen op het netwerk, of op webapplicaties. Dit minimaliseert de kans dat bedrijven het slachtoffer worden van cyberaanvallen die misbruik maken van zwakke of herhaaldelijk gebruikte wachtwoorden. Het is een eenvoudige optelsom — net zo eenvoudig als 123456. Of, meneer Van der Staaij, zo makkelijk als zo nu en dan je wachtwoorden aanpassen.
Niels Pluijmen, Clavister
