In onze vorige twee nieuwsbrieven stonden we stil bij wat een wachtwoord sterk maakt, en hoe je die sterke wachtwoorden in de praktijk gebruikt. Maar welke functie hebben wachtwoorden eigenlijk precies in het proces van inloggen? En zijn er alternatieven?
In deze derde en laatste brief van onze “wachtwoorden-trilogie” onderzoeken we het begrip ‘authenticatie’, en hoe je dit praktisch kan toepassen.
WAT IS AUTHENTICATIE?
Onder authenticatie verstaan we het proces waarmee de ‘echtheid’ van iets wordt vastgesteld. Het controleren van jouw identiteit vormt hier een belangrijk onderdeel van: ben je wie je zegt dat je bent? Het is dus een methode om de authenticiteit van een gebruiker te verifiëren.
Door iets wat je uniek maakt (bijvoorbeeld een wachtwoord) te vergelijken met informatie die al gekend is door de gebruikte software, zal deze software de controle uitvoeren. Een sterk wachtwoord betekent een sterke identificatie, de kans is klein dat iemand anders dit wachtwoord kent en hiermee probeert in te loggen.
De sterkte van dit authenticatieproces, of de eisen waaraan het moet voldoen hangen in grote mate af van wat er beschermd moet worden. Bij toegang tot financiële gegevens of transacties of inzage in je zorgdossier is een zorgvuldige afscherming belangrijker dan wanneer je een tennisterrein wenst te reserveren in je favoriete tennisclub!
Factoren bij een authenticatie zijn het aantal veilige deuren waarachter je je betrokken gegevens wil bewaren. Hoeveel unieke eigenschappen of factoren wil je gebruiken om je identiteit te bewijzen? Een goed wachtwoord is één factor omdat je de enige bent die het kent, iets wat jij alleen weet. De twee andere meest gebruikte factoren bekijken we even meer in detail.
DE FACTOR “ZIJN”, OFWEL AUTHENTICATIE VIA BIOMETRISCHE PERSOONSGEGEVENS
Iets wat jij alleen bent, zoals een vingerafdruk, een gezichtsscan of een irisscan zijn allemaal biometrische persoonsgegevens. Dit is heel bruikbaar in een authenticatieproces: je hebt je lichaam altijd bij je, en het kan niet gestolen worden. Deze welbepaalde lichaamskenmerken worden omgezet in een lange reeks getallen die dan vergeleken worden met de gegevens die al bekend zijn in het systeem.
Het zal duidelijk zijn dat het verwerken van biometrische gegevens strikt geregeld is in de GDPR-wetgeving. Deze worden beschouwd als bijzondere persoonsgegevens waarbij men dus steeds de beschermingsregels van de GDPR in acht moeten houden. Bij een datalek waarin wachtwoorden gelekt zijn, kunnen die steeds veranderd worden. Dat geldt natuurlijk niet voor gezichtskenmerken of vingerafdrukken.
DE FACTOR “HEBBEN”, OFWEL AUTHENTICATIE VIA IETS WAT JIJ ALLEEN HEBT
Voorbeelden hiervan zijn een toegangspasje, een bankkaart of eID-card, of je smartphone waarop je een sms ontvangt als onderdeel van de authenticatie. Dit heet een digitaal token en werkt in principe hetzelfde als een biometrisch gegeven in het authenticatieproces. De unieke reeks getallen wordt op een andere manier gegenereerd of staat op een chip in bijvoorbeeld uw toegangspas.
Die code wordt vergeleken met een andere code die al bekend is in het systeem. Bij sommige tokens verandert de cijferreeks na verloop van tijd. Bijvoorbeeld als u een tijdelijke sms-code ontvangt. Dit heeft als voordeel dat de code slechts tijdelijk misbruikt kan worden als deze wordt onderschept door cybercriminelen.
Andere factoren die bijkomend kunnen gebruikt worden: het tijdstip waarop je probeert toegang te krijgen, of een locatie, bijvoorbeeld een IP-adres.
MULTI-FACTOR AUTHENTICATIE (MFA)
Als er meerdere factoren gebruikt worden om toegang te krijgen, wordt dit multi-factor authenticatie genoemd. Je begrijpt onmiddellijk, dit is een veel veiliger manier om in te loggen dan het gebruiken van één wachtwoord.
Een eenvoudig voorbeeld van twee-factor authenticatie (2FA) is de betaalkaart gecombineerd met een pincode. De pincode (iets dat de gebruiker weet) wordt gecombineerd met een pasje (iets dat de gebruiker heeft). Het pasje is in dit voorbeeld voor een kwaadwillende derde onbruikbaar zonder de pincode en vice versa. Ook een wachtwoord gecombineerd met een code ontvangen via een SMS op je smartphone behoort hiertoe. Hier moet de cybercrimineel ook al je telefoon te pakken krijgen.
Door het gebruik van meerdere factoren maak je het hackers extra moeilijk. Een hacker moet immers meerdere factoren bemachtigen vooraleer toegang te krijgen tot je account. Het is dus veiliger om MFA te gebruiken.
Bovendien maakt het gebruik van MFA je eigen leven ook eenvoudiger. Je hoeft je immers minder zorgen te maken over phishing-aanvallen, je moet niet nadenken over complexe, lange wachtwoorden en geen vreemde beveiligingsvragen en -tips onthouden. Inloggen gebeurt bovendien ook vaak sneller.
Bij officiële instanties zoals banken en overheidsinstellingen, of voor toegang tot je medisch dossier is multi-factor authenticatie al goed ingeburgerd of zelfs verplicht. Hier moet je inloggen met speciale bankkaartlezers, of via de itsme®-app op je smartphone of met je elektronische identiteitskaart (eID) via een eigen eID-kaartlezer.
De grote IT-bedrijven (bv. Apple, Microsoft, Google, Yahoo, …), opslagmedia in de cloud (bv. Dropbox, …), en de meeste sociale media (Facebook, Instagram, LinkedIn, Twitter, Whatsapp, …) bieden allemaal de mogelijkheid om MFA te activeren. Er zijn dus mogelijkheden genoeg om MFA te installeren in je bedrijf. Jouw IT-partner zal je daar zeker bij helpen.
CONCLUSIE
Inloggen met een wachtwoord als enige factor is nog steeds een van de gemakkelijkste en meest gebruikte vormen van authenticatie. Rekening houdend met wat je te beschermen hebt, kan dit ook voldoende zijn. Sterke wachtwoorden zijn echter lang en willekeurig, en dus moeilijk te onthouden. Een wachtwoordenkluis gebruiken is een goede optie.
Toch is het beter om meerdere factoren te gebruiken om de veiligheid drastisch te verhogen. Multi-factor authenticatie (MFA) biedt een zeer goede beveiliging door een extra laag van bescherming te creëren naast het traditionele wachtwoord. Deze gelaagde aanpak maakt het aanzienlijk moeilijker voor aanvallers om ongeautoriseerde toegang te krijgen tot accounts en systemen. Hierdoor verkleint MFA de kans op datalekken en cyberaanvallen aanzienlijk, wat het een essentiële maatregel maakt voor zowel je persoonlijke als zakelijke beveiliging.
Rolf Vermeulen
Privacy-expert
+32 475 96 01 18
Bart Ocket
Privacy-expert
+32 491 08 37 84
Karel Mol
Privacy-expert
+32 476 30 91 47