Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • Ministerie wil wachtwoorden op termijn uitfaseren

    Ministerie wil wachtwoorden op termijn uitfaseren

    Verspreid over drie dagen vond vorige week het One Conference plaats in het World Forum in Den Haag. Op deze internationale conferentie op het gebied van cyberveiligheid heeft het Nationaal Cyber Security Centrum (NCSC) - onderdeel van het Ministerie van Justitie en Veiligheid - laten weten dat ze inzetten op het uitfaseren van wachtwoorden.

    Koen Sandbrink is adviseur bij de afdeling Expertise en Advies van het NCSC. Op het congres gaf hij een presentatie genaamd 'We Are Going to Kill Passwords (or at Least Try)', waaruit één van de voornaamste stellingen was dat het ouderwetse wachtwoord zoals wij dat kennen in feite een verschrikkelijke manier is om de identiteit van mensen mee te verifiëren.

    Aangezien cybercrime in de vorm van phishing ieder jaar toeneemt en er de laatste jaren ook steeds meer spraakmakende datalekken worden gemeld (zo werden deze week nog gestolen gegevens van 250.000 gebruikers van prostitutieforum Hookers.nl te koop aangeboden, inclusief wachtwoorden), wordt het traditionele wachtwoord steeds minder veilig, luidt het argument. Wachtwoorden kunnen immers lekken, ze kunnen worden geraden, je kunt ze abusievelijk buitgeven als je in een phishingmail trapt en je hebt nooit honderd procent de garantie dat een webshop of sociaal netwerk waar je je aanmeldt jouw wachtwoord gehasht opslaat, waardoor een inbraak in de database mogelijk verregaande consequenties heeft.

    Volgens Sandbrink is een wachtwoord evenmin gebruiksvriendelijk. In eigen woorden: 'Wanneer het [een wachtwoord - red.] niet gebruiksvriendelijk is, is het niet veilig'.

    FIDO 2.0

    Maar wat dan wel? De beveiligingsstandaard FIDO 2.0 (een afkorting van Fast IDentity Online) is volgens het NSCS een beter alternatief. Dit is in zekere zin een beveiligingsstandaard van een alliantie techbedrijven die er gezamenlijk voor pleiten om wachtwoorden te vervangen door 'veiliger en gebruiksvriendelijker' authenticatiemethoden, aldus Security.nl. Er is niet zozeer één concrete standaard, maar gedacht wordt aan verificatie- en inlogprocedures die geschieden door een combinatie van biometrie en usb-beveiligingssleutels. Concreet houdt dat in dat je bijvoorbeeld pas kunt inloggen zodra je over een persoonsgebonden usb-stick beschikt met een unieke beveiligingssleutel en je vervolgens pas door een irisscan, een gezichtsscan of een scan van je vingerafdruk toegang kunt krijgen tot je persoonlijke en gevoelige informatie.

    'Gebruikers kunnen hetzelfde token voor verschillende diensten hergebruiken, wat de gebruikerservaring verbetert. We zijn ervan overtuigd dat deze nieuwe standaard de digitale veiligheid aanzienlijk zal verbeteren. Geen wachtwoordlekken meer, geen phishing meer en geen frustraties meer over het wachtwoordbeleid', aldus Sandbrink. Vrijwel iedereen die online actief is, heeft gebruikersaccounts bij tientallen, zo niet honderden verschillende platformen (banken, e-mail, sociale media, fora, webwinkels, maar denk ook aan allerlei applicaties die je misschien wel nodig hebt voor je werk). Velen lopen tegen het probleem aan dat ze te veel wachtwoorden moeten onthouden: in theorie zou dat probleem door FIDO 2.0 tot het verleden behoren.

    Nog geen concrete campagne

    Op dit moment is het nog te vroeg om de theorie om te zetten in concrete beleidsplannen: bewustwording creëren en daardoor het gebruik van FIDO 2.0 aanmoedigen is voor nu van belang. Sandbrink sprak op de conferentie nog niet over een campagne, maar stelt tegenover Security.nl wel: 'Onze aanpak zit hem in deze periode hoofdzakelijk nog in informeel contact met de doelgroepen van het NCSC. Wij hopen dat er organisaties zijn die ervaring opdoen met FIDO 2.0 voor authenticatie van eigen werknemers en later eind- of thuisgebruikers'.

    Op basis van deze ervaringen hoopt het NSCS in kaart te kunnen brengen of een overgang naar deze beveiligingsstandaard praktisch en haalbaar is. Belangrijke vragen die gesteld worden, zijn onder meer wat implementatie van FIDO 2.0 betekent voor beheerlasten en overige bijkomende kosten. Ook wordt onderzocht of het aantal aan authenticatie gerelateerde beveiligingsincidenten (gestolen wachtwoorden, datalekken) hierdoor omlaag gaat. Pas zodra men concrete antwoorden weet te formuleren op deze vragen, wil het NSCS andere partijen actief adviseren om voor authenticatiedoeleinden over te stappen op FIDO 2.0.

    Brede toepassing niet ondenkbaar

    Sandbrink is optimistisch over het potentieel van FIDO 2.0. Zo verwacht hij dat deze standaard niet alleen interessant is voor bedrijven en allerlei online toepassingen, maar kan het op termijn ook worden toegepast op lidmaatschapspassen: 'Of alles ook exact die richting op gaat is natuurlijk afhankelijk van de tussentijdse resultaten en ervaringen, maar ik schat de kans klein in dat de problemen dusdanig groot zullen zijn dat we ouderwetse wachtwoorden toch weer gaan aanbevelen.'

    Bron: Security.nl

  • Ook interessant