Cyber secure zónder wachtwoorden
Een serie over cyber security.
Al ruim 50 jaar zijn een wachtwoord en een gebruikersnaam het fundamentele en grotendeels ongewijzigde model voor het identificeren en verifiëren van gebruikers. Toch bestaan er bij deze strategie vijf grote nadelen.
Door John Schaap. Hij is Senior Director Benelux & Nordics bij BlackBerry. Daarvoor werkte hij bij FireEye, Citrix, en Euqinix.
Complexe en lange gebruikersnamen en wachtwoorden zijn niet gebruiksvriendelijk. Dat leidt tot een spanningsveld: tussen wat het beste is voor de gebruikerservaring (UX) en wat het beste is voor de beveiliging. ‘Wachtzinnen’ zijn bijvoorbeeld veiliger dan de bekende wachtwoorden, maar met de komst van mobiele devices en apps, zijn de voorkeuren van gebruikers verschoven. Tegenwoordig willen ze snelle en praktische toegang: wachtzinnen zijn daar te lang en onpraktisch voor.
Een intelligent antwoord
Gelukkig is er een aanpak in opkomst die de zorgen weg kan nemen: kunstmatige intelligentie (artificial intelligence, AI). De nadruk verschuift van het herkennen van gebruikersnamen en wachtwoorden, naar het herkennen van de gebruiker zelf. Hierbij worden technieken van AI toegepast om inzichtelijk te krijgen hoe geverifieerde gebruikers omgaan met bedrijfsapps, -data en -services. Zo kunnen cyberbeveiligingsprofessionals detecteren wanneer kwaadwillende gebruikers of malware toegang proberen te krijgen tot data.
De verschillende, individuele technieken die allemaal kunnen samenwerken om gebruikers te herkennen, vallen over het algemeen in twee hoofdcategorieën:
1. Continue authenticatie
In tegenstelling tot wachtwoordgebaseerde authenticatie en andere twee-factor-authenticatie (2FA)-technieken, vergelijkt authenticatie gebruik het gedrag van de gebruiker tijdens elke sessie met bestaande (aangeleerde) modellen van gedrag uit het verleden. Continue authenticatie zoekt daarnaast naar afwijkingen, die erop kunnen wijzen dat de sessie is overgenomen door een externe dreiging. Onder deze technieken vallen bijvoorbeeld biometrie, bijvoorbeeld de typsnelheid en muisbewegingen, en transactionele gedragingen, zoals transacties en bijbehorende bedragen.
2. Contextueel bewustzijn
Deze benadering is gebaseerd op het begrijpen van de context van een bepaalde sessie of transactie en deze vervolgens afstemmen op het beveiligingsbeleid. Het beveiligingsbeleid voert controles uit op basis van de context en kan vervolgens de nodige actie ondernemen. Dit omvat doorgaans zowel de fysieke context, zoals gebruikt apparaat/netwerk, tijdstip van de dag, welke locatie, als ook de transactionele context, zoals bedragen overmaken of terugvorderen.
Vanuit de gebruiker gezien is het grote voordeel van de bovenstaande technieken dat ze geen extra handelingen hoeven uit te voeren om zichzelf te authenticeren. De technieken maken namelijk automatische en doorlopende authenticatie mogelijk. Deze kan zich tegelijkertijd aanpassen aan de context van de gebruiker, terwijl de gebruiker zich op de eigen werktaken concentreert. Op deze manier wordt er minder strenge authenticatie toegepast op het moment dat een gebruiker bezig is binnen een context met een lager risico, zoals bijvoorbeeld routinematige transacties.
Meerdere lagen
De toepassing van deze technieken kan dus leiden tot een gebruikerservaring waarbij zelden een wachtwoord nodig is. Authenticatie wordt dan alleen gevraagd, wanneer het risico van de context te hoog is. Tegelijkertijd ligt de lat voor cybercriminelen aanzienlijk hoger, omdat ze door meerdere lagen van gedrags- en contextuele risicobeoordeling heen moeten navigeren. En dat moeten ze voortdurend blijven doen, met een toenemende mate van controle naarmate het transactierisico toeneemt.
Dat wil overigens niet zeggen dat het implementeren van deze authenticatietechnieken zonder problemen verloopt. Er zijn bijvoorbeeld wijzigingen in apps en services nodig om deze nieuwe technieken te integreren. Dat is nog complexer dan het bouwen van een inlogpagina om wachtwoorden te verzamelen en berichten te verzenden. Deze uitdaging kan echter overwonnen worden door een platformgebaseerde benadering te gebruiken. Dit in tegenstelling tot een individuele aanpak waarbij telkens afzonderlijke apps en services worden aangepakt.
AI beveiligt
Hoewel sterke gebruikersnamen en wachtwoorden lang werden gezien als de beste beveiligingsmanier, zijn ze nu op zichzelf te kwetsbaar. Vooral als het gaat om het beveiligen van data. Met behulp van AI werken cybersecurityprofessionals aan het ontwikkelen van meer legitieme authenticatietechnieken, die zijn afgestemd op elke individuele gebruiker. Door gedrag te herkennen in plaats van inloggegevens, kunnen gebruikers meer vertrouwen op de veiligheid van data.
De artikelen in deze serie:
- Cyber secure zónder wachtwoorden
- Offer beveiliging nooit op voor productiviteit
- Laat je hacken of betaal hoge boetes
- Gevolgen NY Shield Act
- Vier op tien trapt in phishing
- In control van cyber risk? 5 stappen
- KPN roept financials op zich in Cyber Security te verdiepen
(foto: Pixabay)