Iedereen kent het wel. Je bent je wachtwoord vergeten of je moet weer een wachtwoord aanpassen omdat het niet meer voldoet aan de vereiste complexiteit. Hoofdletter hier, kleine letter daar, cijfers en bijzondere tekens los of aan elkaar. Tel daar de verschillende “Authenticator apps” en “Password managers” bij op en je ziet door de bomen het bos niet meer.
Zo heb je vaak een ellenlange waslijst van accounts met verschillende wachtwoorden en voor ieder account uiteraard een uniek wachtwoord. Je zou hier een password manager voor kunnen gebruiken, maar dan nog. Hoe houd je het overzicht in deze wirwar van accounts en wachtwoorden? Om nog maar te zwijgen over de negatieve gevolgen voor de veiligheid, daar waar je het uiteindelijk voor doet.
Hoe goed bedoeld ook, het gebruik van complexe wachtwoorden of het veelvuldig moeten wijzigen zorgt juist voor het tegenovergestelde van het oorspronkelijke doel: op een eenvoudige, overzichtelijke manier veiligheid bieden.
Uit onderzoek naar datalekken (2017 Data Breach Investigations Report, Verizon) blijkt namelijk dat wachtwoorden vaak de oorzaak zijn van datalekken, in plaats van dat ze deze voorkomen.
“81% of hacking related breaches used either stolen or weak passwords
Kortom, we schieten ons doel voorbij.
Als bedrijf ben je afhankelijk van je werknemers als het aankomt op de creatie van (creatieve) wachtwoorden, van origine hebben we daar geen enkele inspraak in. Als deze niet sterk genoeg zijn, zijn ze eenvoudig te kraken. Zijn je accounts daarnaast niet beveiligd met aanvullende maatregelen (zoals 2e factor authenticatie, of “Multi Factor Authenticatie”), dan kun je wel inpakken. Toch zijn bedrijven huiverig om wachtwoorden in de prullenbak te doen. Maar inloggen zonder wachtwoord kan juist voor meer veiligheid zorgen. Sterker nog, “password-less” inloggen is veiliger dan inloggen met een wachtwoord. In dit blog zal ik meer uitleggen over password-less werken. Ik bespreek de voordelen en de (business) impact voor je eindgebruikers. In volgende blogs vertel ik je hoe je hiermee kunt starten en waar de uitdagingen liggen om password-less succesvol te implementeren.
Wat is Password-less werken?
Het klinkt allemaal veelbelovend, maar wat is password-less werken nou precies? Als je kijkt naar de wereld van vandaag, zijn er al verschillende authenticatie scenario’s in ons dagelijks leven aanwezig:
- Wanneer je contactloos betaalt doe je dat met je PIN-pas (iets wat je hebt), kom je boven een bepaald bedrag uit dan zul je eerst moet verifiëren dat dit akkoord is met je PIN-code (iets wat je weet).
- Log je in met je DigiD op een gevoelige site, dan wordt gevraagd om je wachtwoord (iets wat je weet) in combinatie met een bericht-code via SMS (iets wat je hebt).
Met password-less werken gebruik je geen wachtwoord maar één of meerdere alternatieve methodes om in te loggen. Denk hierbij o.a. aan biometrische kenmerken (gezichtsherkenning of vingerprint), een pincode, een authenticator app of Security Keys (zoals een fysiek token dat iedere X-tijd een unieke code genereert). Het vervangt het gebruik van een wachtwoord en vraagt desgewenst om een 2e verificatiefactor om in te kunnen loggen.
In de praktijk ziet dit er bijvoorbeeld als volgt uit:
Je wilt password-less inloggen met je account. Je gebruikt ten eerste je glimlach als authenticator. Dit kan worden gecombineerd met een tweede factor, zoals het internetadres van je kantoor (een vertrouwde locatie) of je telefoon (companion device), waarna je wordt ingelogd. Nu maar hopen dat je niet met je verkeerde been uit bed bent gestapt 😉
Password-less is een manier van werken en bestaat uit een of meerdere technieken welke, al dan niet gecombineerd, gebruikt kunnen worden. Over het algemeen wordt er vooral gebruik gemaakt van 3 soorten technologie:
1. Password-less Phone Sign-in
Met deze app wordt de veiligheid van jouw account verhoogd, door een code of push notificatie te sturen naar je mobiel. De mobiele app vervangt een wachtwoord, maar vraagt verificatie middels een vingerafdrukscan, irisscan of pincode. Aanvullend moet de telefoon waarop de app gebruikt wordt ook beheerd worden door jouw organisatie, om de integriteit van de telefoon en de apps te waarborgen.
2. Windows Hello for Business
Windows Hello for Business vervangt het gebruik van wachtwoorden op Windows 10 apparaten. Het geeft je de mogelijkheid om in te loggen met een PIN, gezichtsherkenning of vingerprint. Deze manier van inloggen kan tevens gecombineerd worden met contextuele signalen (zgn. trusted signals) en vormen een seamless tweede factor. Denk hierbij aan je smartphone (die gekoppeld is aan je apparaat door middel van Bluetooth) of je netwerk locatie. Deze manier van werken biedt een veilige, maar vooral een zeer prettige, gebruikerservaring.
3. Windows Hello Security Keys
FIDO staat voor Fast IDentity Online. In plaats van het invoeren van een wachtwoord, draag je jouw digitale identiteit (die je gebruikt in de Cloud), fysiek bij je. Zo kun je bijvoorbeeld een token als sleutelhanger bij je dragen die jouw account ontgrendelt zodra je vinger het token aanraakt. Ideaal voor het gebruik van flex-werkplekken (Shared PC’s) waarbij met meerdere gebruikers op één machine wordt gewerkt, of het eenvoudig inloggen op websites (WebAuth).
Wat betekent password-less voor mijn organisatie?
Wachtwoorden maken jouw werknemers voorspelbaar en kwetsbaar. Zo kun je vaak met wat onderzoek naar de persoon in kwestie een wachtwoord snel achterhalen. Vaak worden kinder- of huisdiernamen en geboortedata/-jaren als input voor wachtwoorden, zaken die met bijvoorbeeld wat social mediaonderzoek snel achterhaald kunnen worden
Het wegnemen van wachtwoorden zorgt niet alleen voor een hoger gebruikersgemak, het verlaagt ook de veiligheidsrisico’s aanzienlijk. Daarnaast worden de kosten voor de helpdesk binnen jouw organisatie verlaagd. Veel mensen hebben moeite zich hun wachtwoord weer te herinneren na een vakantie, dat levert de nodige extra druk op bij een Service-/Helpdesk. Door password-less te werken is het wachtwoord niet meer de primaire factor om in te kunnen loggen. Daarnaast wordt gelijktijdig met de introductie van password-less werken of multi-factor authenticatie (MFA) vrijwel altijd de optie geïntroduceerd om “Self-Service Password Reset” te introduceren: Omdat je meerdere/andere factoren hebt waarmee je je kunt authenticeren, kun je deze ook gebruiken om het wachtwoord dat je wilt veranderen, aan te passen. Denk hierbij bijvoorbeeld aan het opnieuw instellen van je wachtwoord wanneer je dat vergeten bent na een vakantie, of het wijzigen van je mobiele nummer als je van telefoonaanbieder bent veranderd.
Password-less kan jou en je organisatie helpen de kosten van support omlaag te brengen door bijvoorbeeld de standaard vragen van het resetten van een wachtwoord onnodig te maken. Daarnaast worden voor Service-/Helpdesk handen vrijgespeeld voor andere werkzaamheden.
Conclusie
Password-less werken klinkt voor veel bedrijven als iets engs en wordt over het algemeen niet gezien als veiligere optie. Niets is minder waar, want met behulp van onder andere de Authenticator app, Windows Hello en het gebruik van Security Keys kunnen jouw medewerkers makkelijk(er) en veilig(er) inloggen. Daardoor krijgen zij toegang tot applicaties, terwijl jij met jouw bedrijf minder risico loopt.
In een volgend blog zal ik ingaan op hoe je met password-less werken aan de slag kunt gaan en wat de misconcepties zijn bij de overstap naar password-less werken. Heb je vragen over hoe jij met jouw bedrijf het beste kunt starten met password-less werken? Neem gerust contact op en we kijken samen wat wij voor jouw bedrijf kunnen betekenen. Start vandaag jouw reis om password-less werken aan te bieden aan je eindgebruikers. Je eindgebruikers zijn er klaar voor jij ook? Start vandaag nog met de startkit.
