De opmars van multi-factor authenticatie (MFA) doet het wachtwoordbeleid van IT-beheerders veranderen. “Zonder MFA staan we nergens”, vindt security-expert Eddy Willems. Toch zijn er vandaag nog steeds regels. Zo kun je als eindgebruiker steeds minder vaak zélf je wachtwoorden kiezen. “Eigenlijk is dat de belangrijkste regel die bedrijven in het achterhoofd moeten houden.”
Uit cijfers van Statista blijkt dat het aantal multi-factor authenticaties (MFA’s) om de twee jaar verdubbelt. Het gaat dan om een beveiligingsbeleid, waarbij bijvoorbeeld een extra code of bevestiging op de smartphone van de eindgebruiker nodig is bij het loginproces.
We zien inderdaad meer MFA of multi-factor authenticatie, beaamt Eddy Willems. “Ik vind het eigenlijk bizar dat dat zo lang heeft geduurd. Ik schreef er al over in mijn boek Cybergevaar, dat al twaalf jaar geleden is verschenen.”
Nog steeds wachtwoorden?
Terwijl sommige organisaties jarenlang sterke wachtwoorden hebben afgedwongen, lijkt dat in het tijdperk van multi-factor authenticatie minder van tel. “Maar vergis je niet. Er zijn vandaag nog veel organisaties en zelfs security professionals die geen MFA gebruiken”, vult Willems aan. “Sommige gebruiken ze ook enkel voor hun professionele toepassingen, maar niet voor bijvoorbeeld hun logins op sociale media. Terwijl je MFA net moet doortrekken naar alles.”
Er zullen dus nog lang toepassingen blijven bestaan waar geen multi-factor authenticatie bij gebeurt. “Waardoor de nood aan een slimme wachtwoordpolicy effectief blijft bestaan”, oppert Reinaert Van de Cruys, ethical hacker en mede-oprichter van beveiligingsspecialist Fox & Fish. Van de Cruys neemt bij bedrijven het securitybeleid onder de loep en verzorgt ook regelmatig securitywebinars, zoals onlangs bij IT-vereniging SAI.
Regel 1: wachtwoorden niet zelf kiezen is belangrijkste regel
“Er worden vandaag door bedrijven meer richtlijnen voor wachtwoorden uitgevaardigd, en die worden ook effectief afgedwongen”, stelt Eddy Willems. Met als gevolg dat je richtlijnen hebt waarbij zo’n zogenaamd veilig wachtwoord regelmatig verandert, minstens 12 tekens lang is en letters, cijfers en symbolen bevat. “In ruim driekwart van de bedrijven waar ik kom, hebben ze nog van deze wachtwoordregels”, oppert Van de Cruys.
Maar dergelijke regels zorgen niet voor sterke wachtwoorden. “In theorie misschien wel, maar niet in de praktijk”, oppert hij. Met als gevolg dat iedereen zijn wachtwoord Laura 2014! blijkt te zijn. “En Laura 2014! is geen veilig wachtwoord”, zo haalt Van de Cruys aan, met een voorbeeld dat regelmatig opduikt tijdens zijn trainingen. Want eigenlijk is het ook de kwestie dat een wachtwoord geen informatie bevat over jou als gebruiker. Denk aan info over je hobby, huisdier, kinderen, postcode of partner. “Als is zoiets als IT-beheerder al moeilijker te controleren van jouw gebruikers.”
De beste, en eigenlijk meest vooraanstaande, regel voor wachtwoorden en wachtwoordbeleid vanuit IT is volgens Van de Cruys: kies de wachtwoorden niet zelf. “En dat geldt ook voor IT-beheerders. Kom nooit in de verleiding om zelf snel een wachtwoord te verzinnen.” Zelf opteert Van de Cruys voor generators zoals Last Pass of Password Creator. Als je dan toch echt wil kiezen, dan zijn wachtwoordzinnen het minst slechte, vindt hij oké. “Maar wel wat omslachtig. En je kunt dan ook de eerste letters van de woorden uit die zin gebruiken.”
Regel 2: wachtwoorden niet laten veranderen
De tweede regel sluit aan bij de regel van het niet kiezen: het niet laten veranderen. “Ook die regel wordt vaak gebruikt in organisaties”, beaamt Willems. “Je moet je wachtwoord om de zoveel maanden veranderen, maar ik vind dat geen goed idee. Om de eenvoudige reden dat die wachtwoorden daarmee alleen maar simpeler worden.”
Ook Reinaert Van de Cruys heeft zo zijn bezwaren. “Op zich is het een goed idee om regelmatig je wachtwoord te veranderen. Als wachtwoorden lekken op het darkweb, wat vaak gebeurt, dan is het prima om tijdig een ander wachtwoord aan te maken. Al kom ik in veel IT-organisaties waar zelfs de systeembeheerder zijn wachtwoord aanpast van Laura 2014! naar Laura 2015!. En jawel: ook Laura 2015! is geen sterk wachtwoord”, oppert hij.
Bovendien lijkt het regelmatig veranderen van wachtwoorden ook een ander effect met zich mee te brengen. “Ik stel vast dat het mensen ertoe brengt om hun wachtwoorden minder serieus te nemen. Sommige gaan ervan uit dat ze hun wachtwoord met een collega kunnen delen, omdat het toch verandert over drie maanden. Bij een blijvend wachtwoord zijn ze daartoe veel minder geneigd”, ervaart Van de Cruys, die nog een andere (IT-)reden aanhaalt om wachtwoorden niet of niet vaak te veranderen. “Het leven van je medewerkers en de IT-systeembeheerders wordt er makkelijker door. Het gaat minder supporttickets opleveren.”
Regel 3: doordachte inzet van multi-factor authenticatie
Terug naar multi-factor authenticatie. “Want zonder MFA staan we nergens”, benadrukt security-expert Eddy Willems. “Maar het moet goed worden aangepakt”, vindt hij. “En dan stel ik vast dat grotere organisaties toch vaak kwetsbaar zijn. Je vindt er altijd wel iemand die in de val van phishing trapt.”
Alleen MFA uitrollen is niet voldoende, geeft Willems mee. Een bekend fenomeen is multi-factor fatigue, waar onlangs mastodonten als Cisco en Uber mee te maken hadden, ondanks dat deze organisaties MFA hadden geïnstalleerd, uitgerold en opgelegd. Hackers beschikten over het wachtwoord van de medewerker en stuurden hem tientallen verzoeken om binnen te raken. Die kwamen op de smartphone bij die medewerker terecht met de vraag: was u het? Na tientallen keren op ‘neen’ te hebben gedrukt, dacht de medewerker dat het om een technisch probleem ging en klikte die op ‘ja’ om er vanaf te zijn. Met desastreuze gevolgen.
De kwetsbare IT-supportafdeling
Maar meer en meer komen hackers binnen via de IT-helpdesk. “We hebben de laatste tijd voorbeelden gezien van bedrijven die toch slachtoffer zijn geworden van hackers terwijl ze wel MFA hadden geïnstalleerd. En dat liep niet via eindgebruikers”, stelt Willems. “Via social engineering op de supportafdeling konden de cybercriminelen toch de juiste en eenmalige wachtwoorden te pakken krijgen. De professionaliteit en alertheid van je supportmensen is dus zeker ook van tel.”
Kortom, bij multi-factor lijkt de sterkte van wachtwoorden minder cruciaal Al lijkt het aangewezen om niet al je eieren in één schaal te leggen. “Ik vind een goed uitgevoerde MFA-installatie enerzijds met een sterk wachtwoordbeleid anderzijds sowieso een goede combinatie”, besluit Willems. “En dat gaat dan samen met de alertheid van je medewerkers en IT-support. Je moet op alle vlakken sterk scoren.”