Hebben wachtwoorden echt hun tijd gehad?
Maar terwijl organisaties moeten en kunnen transformeren door nieuwe manieren vinden om het klantcontact te verbeteren en hun eigen mensen en data te beschermen tegen verschillende bedreigingen, brokkelt het vertrouwen in technologie af. Het vertrouwen van gebruikers wordt ondermijnd door problemen met veiligheid, privacy en toestemming bij veel technologie waar we op vertrouwen.
Traditioneel gezien berust de bescherming van onze online identiteit op één belangrijke methode: het wachtwoord. Wachtwoorden bieden ons al decennialang toegang tot onze digitale identiteit en tot alles wat we online doen. En al die tijd al zijn we getuige van hoe kwetsbaar het wachtwoord in feite is. Okta heeft onderzoek gedaan en daaruit blijkt welke impact wachtwoorden hebben op onze veiligheid en de kwaliteit van ons dagelijks leven.
Maar stelt u zich eens een wereld voor waarin onze veiligheid niet afhangt van een combinatie van letters en cijfers die heel gemakkelijk kan worden gemanipuleerd. Een wereld waar de toegang tot de zaken die we nodig hebben voor ons privéleven en werk, zo uniek is dat niemand anders dezelfde toegangscode kan hebben omdat die toegang gelinkt is aan ieders persoonlijke identiteit.
2019 is een keerpunt wat betreft veiligheid. Er zal een begin gemaakt worden met beveiliging die gebaseerd is op onze persoonlijke identiteit en die compleet wachtwoordvrij is. Individualiteit speelt daarbij een essentiële rol waarbij organisaties een vertrouwensrelatie kunnen opbouwen.
Hoe heeft Okta dit onderzoek uitgevoerd?
In opdracht van Okta heeft Opinium onderzoek gedaan onder 4013 werknemers uit het Verenigd Koninkrijk, Frankrijk en Nederland. De uitkomsten zijn in mei 2019 verzameld. We verwijzen naar dit onderzoek als ‘het onderzoek van Okta’ en naar de mensen die hebben gereageerd als de ‘respondenten’.
WACHTWOORDVRIJE BEVEILIGING WORDT REALITEIT
Vertrouwen en identiteit
Vertrouwen is de nieuwe maatstaf en organisaties moeten nu meer dan ooit aan hun klanten en werknemers laten zien dat ze het vertrouwen waard zijn. Alleen op deze manier is succes mogelijk. Het belang dat aan vertrouwen gehecht wordt, is het afgelopen decennium groter geworden. Dit komt door inbreuken op persoonsgegevens, cyberaanvallen en problemen met de privacy vanwege het uitvoerig tracken van onze digitale identiteit en het gebruik van deze informatie met als doel geld te verdienen.
Identiteit staat aan de basis van vertrouwen. Mensen letten tegenwoordig meer op hun identiteit en dus moeten bedrijven er beter op letten hoe ze met deze identiteiten omgaan.
Al decennialang zijn onze identiteit en beveiliging met elkaar verweven, en we hebben wachtwoorden gebruikt om deze te beschermen. Maar de realiteit is anders: wachtwoorden zijn bewezen een zeer ineffectieve methode voor beveiliging.
De uitdaging voor bedrijven
Voor bedrijven zijn wachtwoorden de oorzaak van verschillende problemen. Volgens het Data Breach Investigation Report van Verizon uit 2018 is 81% van de inbreuken door hacken het gevolg van een zwak, gestolen of hergebruikt wachtwoord. De gevolgen van zo’n lek kunnen rampzalig zijn. De gemiddelde kosten van gestolen gegevens is $148 en het totale kostenplaatje van een datalek komt gemiddeld neer op $3,9 miljoen. Als er sprake is van een lek, kunnen organisaties opnieuw geraakt worden. De kans op herhaling van een datalek ligt gedurende de volgende 2 jaar op 32%. Om nog maar te zwijgen over de reputatieschade die vaak niet meer te repareren is.
Voor bedrijven en het wachtwoordgebruik van hun werknemers is zo’n cyberincident vaak de grootste zorg. Daarnaast komen er uit het onderzoek van Okta nog andere problemen naar voren die dagelijks een impact hebben op de bedrijfsprocessen.
Wachtwoorden belemmeren de productiviteit. En met een gestage afname van de productiviteit is een bedrijf niet in staat om de concurrentie bij te benen en zal het klanten die een uitstekende klantenservice verwachten, moeten teleurstellen.
Uitdagingen voor werknemers
Uit het onderzoek van Okta blijkt dat respondenten gemiddeld 10 wachtwoorden moeten onthouden voor gebruik in het dagelijks leven en dat ze per maand gemiddeld zo’n drie wachtwoorden vergeten. Het is bekend dat het grootste beveiligingsrisico voor werkgevers de werknemers zijn - bijna de helft (49%) van organisaties in elke sector krijgt te maken met serieuze incidenten als gevolg van fouten van werknemers.
Het is zorgelijk dat dit op de korte termijn waarschijnlijk niet zal veranderen. Uit het onderzoek van Okta blijkt dat wachtwoorden die gevoelige informatie bevatten, zelden veranderd worden. Wachtwoorden op het werk worden maar drie keer per jaar veranderd en andere wachtwoorden voor bijvoorbeeld bankrekeningen, telefoontoegang, persoonlijke e-mail en accounts op sociale media, worden gemiddeld maar één keer per jaar veranderd.
Waarom blijven organisaties toch vasthouden aan een methode die tot nu toe ontoereikend blijkt?
De afhankelijkheid van wachtwoorden heeft ertoe geleid dat organisaties en softwareaanbieders strengere eisen stellen aan de wachtwoorden die goedgekeurd worden. Iedereen heeft wel eens te maken gehad met een wachtwoord waarbij op het scherm te zien is hoe sterk dit wachtwoord is, en de vereisten van een mix van cijfers, hoofdletters, kleine letters en speciale tekens. Maar dit alleen is niet genoeg om de beveiliging te verbeteren - en in veel gevallen worden zelfs deze maatregelen niet genomen.
Wachtwoorden: een ideaal doelwit voor cybercriminaliteit
Volgens het National Cyber Security Centre in het Verenigd Koninkrijk hadden 23,3 miljoen e-mailaccounts als wachtwoord ‘123456’, terwijl miljoenen andere gebruikers wachtwoorden instelden als ‘wachtwoord’ of de naam van hun favoriete voetbalteam of band.
Ongeacht de inspanningen van een bedrijf om de aandacht voor sterke wachtwoorden te vergroten, zullen gebruikers toch op zoek gaan naar een wachtwoord dat ze gemakkelijk kunnen onthouden. Dit komt met name door het aantal wachtwoorden dat ze moeten onthouden.
Jarenlang zijn wachtwoorden beschouwd als een adequate manier van beveiligen, en de kosten vergeleken met alternatieven waren laag. Er is vaak sprake geweest van een zogenaamd ‘nieuw tijdperk’ waarin de technologiesector aankondigde dat het einde van het wachtwoord in zicht was. Er zijn nu twee verschillen: aan de ene kant bestaat er een groeiende behoefte vanuit beveiliging om de status quo aan te passen.
HET VERBORGEN PROBLEEM VAN WACHTWOORDBEVEILIGING
Wachtwoorden en de geestelijke gezondheid op het werk
De afgelopen jaren hebben we gezien hoe onze maatschappij investeert in het begrijpen en bespreekbaar maken van mentale en geestelijke problemen. Nu pas beginnen we met het bespreekbaar maken van dergelijke problemen op de werkvloer. Uit recent onderzoek9 blijkt dat maar liefst 1 op de 6 jonge mensen in zijn/haar leven te maken krijgt met een angststoornis. Vorig jaar bleek uit onderzoek van de American Psychiatric Association (APA) dat bijna 40% van de Amerikanen zich angstiger voelde dan in 2017. De toename van angstgevoelens op de werkvloer wordt veroorzaakt door verschillende factoren, maar veiligheid en beveiliging is een factor die lange tijd niet gezien is.
De mentale druk van het wachtwoord
Mensen maken zich zorgen als ze een wachtwoord vergeten, maar het vergeten van een wachtwoord op zichzelf houdt geen beveiligingsrisico in. De meerderheid van het aantal lekken door hacken wordt veroorzaakt door hergebruikte, gestolen of zwakke wachtwoorden: voor een persoon is het riskanter om een onveilig wachtwoord en geheugensteuntjes te gebruiken dan om het wachtwoord te vergeten en opnieuw in te stellen:
WAT IS HET ALTERNATIEF VOOR HET WACHTWOORD?
Innovatie en integratie
De technologische innovaties van de afgelopen tien jaar hebben bedrijven een heel scala van nieuwe mogelijkheden gegeven om op verschillende manieren met beveiliging om te gaan. Nu kunnen organisaties verschillende methodes, zoals biometrie, combineren met traditionele methoden die nog veilig zijn om te gebruiken, en zo inadequate methoden helemaal elimineren. Na jaren van valse voorspelling is er eindelijk licht aan het einde van de tunnel van de wachtwoordvrije toekomst.
In de toekomst: Biometrie
Biometrische authenticatie die gebruikmaakt van vingerafdrukken en herkenning van de ogen, het gezicht en de stem werd hoofdzakelijk ingesteld om beter te beschermen tegen ongeautoriseerde toegang tot accounts of systemen. In tegenstelling tot gebruikersnamen, wachtwoorden en pincodes zijn deze gegevens voor iedereen uniek.
Biometrische authenticatie wordt al meer gebruikelijk op apparaten voor persoonlijk gebruik en op het werk. Daarnaast zijn bedrijven ook bezig om hun eigen beveiligingsmaatregelen op basis van biometrie in te stellen.
Nadruk op educatie
Er is dus werk aan de winkel om deze misverstanden omtrent de werking van biometrische technologieën weg te nemen en vertrouwen op te bouwen.
Een voorbeeld: veel werknemers zouden onterecht kunnen denken dat het gebruik van Touch ID of Face ID op een iPhone of iPad of Windows Hello For Business het mogelijk maakt voor bedrijven om naar believen toegang te krijgen tot biometrische gegevens. In werkelijkheid zijn de biometrische gegevens zeer goed beschermd en niet toegankelijk voor externe partijen, zelfs niet voor het besturingssysteem van het apparaat in kwestie. Het is juist diep ingebed in de beveiligingshardware van het apparaat (zoals Secure Enclave of Trusted Platform Module). Dit betekent dat zelfs Apple of Microsoft er niet bij kunnen, laat staan een werkgever.
Het is aan de organisaties en aan hen die de biometrische technologie ontwikkelen om te laten zien hoe de gegevens veilig zullen worden bewaard en om daarnaast de voordelen en het gebruiksgemak van deze technologie te verkondigen om zo de aanvankelijke bedenkingen weg te nemen.
WACHTWOORDVRIJ VANDAAG AL MOGELIJK
Nu organisaties en personen meer belang hechten aan identiteit en vertrouwen, is er behoefte aan maatregelen om ervoor te zorgen dat onze identiteiten goed beschermd zijn.
We zien nu al dat onderdelen van organisaties – werkgevers, app-ontwikkelaars, fabrikanten van apparaten of aanbieders van IT-beveiliging – het vertrouwen dat de gebruiker in hen heeft weten te vergroten.
Uit het onderzoek van Okta blijkt dat de huidige en meest gebruikte methode voor het veiligstellen van apps, apparaten, systemen en accounts het wachtwoord is - maar deze methode is ontoereikend: wachtwoorden zijn makkelijk te hacken, moedigen onveilig gebruik aan, en veroorzaken stress, angstgevoelens en een afname van de productiviteit. Het is daarom tijd om anders over het wachtwoord te gaan denken.
We hebben al gezien hoe moderne SSO-oplossingen en sterke, phishingproof authenticatiemethoden een meer robuuste en logische manier creëren om een onderneming te beveiligen. Dezelfde aanpak is nodig om een wachtwoordvrije wereld mogelijk te maken. Okta draagt bij aan het ontwikkelen van een veilige, wachtwoordvrije toekomst voor ondernemingen die gemakkelijk in elk bedrijf van elke grootte en binnen elke branche te implementeren is.
Okta combineert de belangrijke capaciteiten van Single SignOn en Adaptive Multi-factor Authentication (MFA) met de biometrische authenticatiemethoden die voor de industrie gangbaar zijn. Door de combinatie van een volledige contextuele risicoanalyse en WebAuthn authenticatoren die sterk bestand zijn tegen phishing en niet omzeild of gekloond kunnen worden zijn we in staat om wachtwoorden te vervangen bij organisaties.
Organisaties kunnen de apparaten die mensen toch al hebben op een zeer veilige manier inzetten waarbij het respect voor de privacy blijft bestaan en er geen sprake is van het lekken van informatie over met wie er gecommuniceerd wordt of wat voor apps er worden gebruikt.
Ga naar www.okta.com/nl voor meer informatie over onze aanpak
