Non-phishable authenticatie biedt de beste bescherming tegen cybercriminelen

Wachtwoorden zijn de sleutel tot belangrijke informatie, maar zo behandelen we ze dus niet. “Wieringa: “Ons inschattingsvermogen als mens wat betreft de risico’s van slechte wachtwoorden is beroerd. Ik denk dat dat komt omdat online nog steeds ontastbaarder is dan offline. Bovendien maakt een mens gemiddeld gebruik van zo’n honderd online diensten waarvoor honderd wachtwoorden nodig zijn. Voor een huis heb je maar één sleutel nodig. Dat is bovendien een fysieke sleutel, dat houdt het overzichtelijk.”

Een wachtwoord moet tegenwoordig meestal minimaal uit 12 karakters bestaan, maar volgens Wieringa is het beter om uit te gaan van 16 tot 20 karakters. “Echt veilig wordt het pas als je een wachtzin maakt, met meer dan 30 letters en cijfers. En dan in een niet-logische combinatie die voor niemand te onthouden is”, vertelt hij.

Onbekend maakt onbemind

Het ringetje waaraan je sleutels bewaart vergelijkt hij met een wachtwoordmanager online. Die maakt je sleutelbos veiliger. “Die wachtwoordmanagers zijn er ook in gratis varianten. Maar mensen denken al snel dat het complex is om een wachtwoordmanager te gebruiken. Waarschijnlijk geldt hier: Onbekend maakt onbemind. Want het is juist heel simpel in gebruik. Daar is het voor ontworpen. De complexiteit die men denkt te ervaren heeft meer te maken met foutief gebruik.”

En dat terwijl een wachtwoordmanager zo’n makkelijke manier is om cybercriminelen te slim af te zijn. “Een eenvoudig wachtwoord kraken is niet zo moeilijk. Een kwaadwillende heeft jouw wachtwoord in seconden tot minuten. En diegene die jouw wachtwoord heeft, kan vervolgens alle websites af. Ook zijn er op het dark web gewoon lijsten te koop met gevalideerde wachtwoorden”, legt Wieringa uit.

Biometrische gegevens

Met de biometrische authenticatiemethode Windows Hello biedt Microsoft nu een alternatief voor wachtwoorden, maar Wieringa vindt alleen gezichtsherkenning, irisscan of vingerafdruk niet veilig genoeg als alternatief. “Biometrische gegevens hebben voor- en nadelen. Natuurlijk is het wel makkelijk, maar ja, gemak is niet altijd veilig. Eigenlijk gaan we hiermee weer terug naar 1-factor-authenticatie. Dat is regressie in de technologie. We zijn al jaren op multi-authenticatie aan het hameren.”

Hoe moet het dan wel? Het helpt al om met een Fast IDentity Online (FIDO)-sleutel te werken, daar zit een beveiligingsprotocol op en het is een non-phishable product, een fysiek product. Met FIDO log je in met een gebruikersnaam/wachtwoord combinatie, en een fysieke FIDO-sleutel. En ook hierbij moet het natuurlijk een sterk wachtwoord zijn. Daarmee verklein je het risico enorm.”

De toekomst van authenticatie

Ondanks de verschillende ontwikkelingen ziet Wieringa wachtwoorden de komende tijd niet snel verdwijnen. “Er zijn zo veel websites en er zijn frameworks die die websites voorschrijven dat ze beveiliging moeten bieden aan bezoekers. Dat willen die websites wel, maar ze willen het klanten tegelijkertijd niet te moeilijk maken. De drempel moet dus niet te hoog zijn. Aan de andere kant willen websites daarvoor niet afhankelijk zijn van partijen als Google en Microsoft. Er is dus nog geen vervangende optie waarvoor zij willen kiezen.”

Een mogelijke toekomst van authenticatie ligt volgens hem in tokens die gebaseerd zijn op iemands gedrag. “Veel authenticatie is phishable. bij gedrag is dat een stuk moeilijker te doen. Iemands computergedrag is bijvoorbeeld uniek De micro-karakteristieken van hoe iemand scrolt of de manier hoe iemand typt, zijn uniek voor die persoon. Tot deze vormen echt volwassen zijn, geldt: bestaande middelen, zoals wachtwoorden en MFA, goed blijven gebruiken. De praktijk hobbelt immers nog zoveel jaar achter de mogelijkheden aan”, besluit hij.