Een toekomst zonder wachtwoorden

Een toekomst zonder wachtwoorden
  • 4 maart 2024
  • Gastauteur

Inloggen met een gebruikersnaam en wachtwoord is niet alleen omslachtig, het brengt nog altijd risico's met zich mee. Cybercriminelen stelen deze toegangsgegevens vooral via phishing en social engineering.

Volgens het CBS kregen in 2022 2,2 miljoen Nederlanders te maken met online criminaliteit. Naast financiële schade is er ook emotionele schade. Tijd om de Nederlanders digitale vaardigheden bij te brengen, vond het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties eind 2023. De campagne Laat je niet interneppen hoort hierbij.

Ondanks alle inspanningen om de cyberveiligheid te verbeteren en de bescherming van persoonsgegevens te versterken, liggen er online nog steeds bekende gevaren op de loer. 'Het is echt tijd voor gebruiksvriendelijke en veilige alternatieven', zegt Ingolf Rauh, hoofd product- en innovatiemanagement bij Swisscom Trust Services.

Gegevensdiefstallen
Wachtwoorden zijn een van de belangrijkste zwakke punten die criminelen gebruiken om toegang te krijgen tot gevoelige gegevens. Vooral phishing en social engineering blijven serieuze bedreigingen, omdat ze voor cybercriminelen de makkelijkste manier zijn om toegang te krijgen tot gebruikersaccounts. Dergelijke gegevensdiefstallen zijn met ongeveer 40 procent de meest voorkomende vorm van cyberaanval. Dit kan deels te wijten zijn aan het feit dat phishing en social engineering geen significante IT-kennis vereisen, wat betekent dat de poorten naar cybercriminaliteit voor bijna iedereen openstaan.

En hoewel experts al sinds het bestaan van logins met een gebruikersnaam benadrukken hoe veilig wachtwoorden eruit moeten zien, hoe lang ze moeten zijn en dat je ze regelmatig moet veranderen en niet meer dan één keer mag gebruiken, loopt hun advies vaak op niets uit. Veel gebruikers blijven uit gemak kiezen voor eenvoudige wachtwoorden die ze makkelijk onthouden, maar niet voldoen aan de veiligheidseisen. Met alle gevolgen van dien.

Authenticatie
Het is tijd voor nieuwe en innovatieve manieren om internetgebruikers te verifiëren, die veilig zijn en makkelijk in gebruik. De FIDO Alliance voert hier al sinds 2013 campagne voor en werkt aan een wachtwoordvrije toekomst. Zij zien asymmetrische cryptografie als een alternatief voor gebruikersnamen en wachtwoorden, waarbij gebruikers hun identiteit verifiëren met behulp van een privésleutel die is opgeslagen op een apparaat als een mobiele telefoon of een USB-stick. Tijdens de authenticatie blijft de sleutel op zijn plek en wordt een zogenaamde ‘uitdaging’ naar het betreffende apparaat (de mobiel of de USB) gestuurd. De privésleutel lost de uitdaging op en bewijst zo de identiteit van de gebruiker. Deze procedure maakt de methode bijzonder veilig.

Privésleutel
De initiële identificatie van de gebruiker is echter cruciaal om dit te laten werken. Er moet een garantie zijn dat de persoon achter de privésleutel ook daadwerkelijk de opgegeven persoon is. BankIdent of AI-ondersteunde video-identificatie zijn hiervoor efficiënte en gebruiksvriendelijke methoden.

Het concept van self-sovereign identity, kortweg SSI, is een andere optie. Hiermee creëren gebruikers een soort gedecentraliseerde digitale afbeelding van hun identiteit in een wallet en gebruiken deze om zich ondubbelzinnig te identificeren in de digitale ruimte. Ze hoeven bijvoorbeeld niet voor elke online winkel een aparte gebruikersaccount aan te maken en kunnen zelfs hun digitale identiteit gebruiken om het betalingsproces af te ronden. Dit maakt het leven in een gedigitaliseerde wereld in veel opzichten gemakkelijker.

Ingolf Rauh
Swisscom Trust Services

comments powered by Disqus