World Password Day 2020, vandaag op 7 mei, staat duidelijk in het teken van de coronacrisis. In het nieuwe normaal werkt een groot deel van de bevolking thuis. Dit geeft cybercriminelen ongekende kansen, maar volgens onderzoek zorgt dat niet voor betere wachtwoorden.
Veel mensen houden vast aan oude gewoontes. Zo blijven velen wachtwoorden in browsers opslaan. Nog steeds worden wachtwoorden hergebruikt voor verschillende doeleinden. Deze gewoontes gecombineerd met de huidige werkomstandigheden leveren een aantrekkelijk speelveld op voor aanvallers.
Mens centraal
Adenike Cosgrove, Cybersecurity Strategist bij Proofpoint, stelt in een blog dat de mens centraal moet staan bij het volgen van een goede wachtwoordstrategie. “Met behulp van phishing-aanvallen proberen cybercriminelen inloggegevens te stelen van nietsvermoedende slachtoffers. Wanneer zij één wachtwoord weten te ontfutselen bij een werknemer binnen een organisatie loopt direct de gehele organisatie gevaar. Zelfs bij gebruik van unieke en complexe wachtwoorden kan een enkele succesvolle phishing-aanval catastrofale gevolgen hebben.”
Daarom stelt Cossgrove dat we niet alleen moeten nadenken over hoe we wachtwoorden zelf veiliger kunnen maken. Zij pleit voor een combinatie van meer training voor werknemers en technologische oplossingen. “Deze World Password Day moeten we niet alleen nadenken over hoe we wachtwoorden zelf veiliger kunnen maken. We moeten er ook voor zorgen dat de manier waarop we wachtwoorden beheren en gebruiken niet ten koste gaat van hun bestaansrecht als een vorm van beveiliging en authenticatie.”
Cossgrove stelt dat de gevaren van hergebruik van wachtwoorden inmiddels overduidelijk zijn door de toename van het aantal succesvolle credential stuffing-aanvallen. Hierbij worden gegevens van eerdere datalekken gebruikt om willekeurige inlogpogingen uit te voeren bij andere websites.
Hergebruiken
Recent onderzoek toonde aan dat dat 45% van de werkende volwassenen toegeeft hetzelfde wachtwoord te hergebruiken voor meerdere diensten. Dit probleem zal waarschijnlijk ook in de toekomst blijven bestaan.
Cossgrove: “De mens is namelijk gemakzuchtig en het is lastig om steeds complexere wachtwoorden voor de talloze online diensten te onthouden. De gevolgen kunnen echter ernstig zijn. Eén gecompromitteerd wachtwoord kan een individu blootstellen aan identiteitsdiefstal of zelfs zijn hele organisatie in gevaar brengen.”
Intussen blijven cybercriminelen gebruikmaken van geavanceerde soorten malware of keyloggers voor het stelen van informatie. Deze worden vaak geleverd via e-mail-phishing-campagnes met behulp van social engineering. “Zelfs in een ideale wereld waarin een gebruiker complexe en unieke wachtwoorden heeft, kan een doelgerichte phishing-aanval waarbij een stealer of keylogger wordt meegeleverd deze gegevens rechtstreeks doorsturen naar de aanvaller.”
Training
Cossgrove stelt dat zowel individuen als organisaties hun steentje kunnen bijdragen om deze bedreigingen aan te pakken. Hergebruik van wachtwoorden kun je tegengaan met meer opleiding en training. Maar dat moet altijd in combinatie met technologische oplossingen. Dit vermindert de druk op de medewerkers. Organisaties moeten bijvoorbeeld standaard multifactor-authenticatie implementeren.
“Daarnaast is het hoopgevend dat we een toename zien in het gebruik van wachtwoordmanagers. Daardoor hoeven we niet langer te vertrouwen op het menselijk geheugen voor de beveiliging van wachtwoorden. Daarnaast zijn gesimuleerde aanvallen een veel duurzamere en effectievere verdediging tegen phishing-aanvallen dan het volgen van online trainingen. Dit, gecombineerd met robuuste e-mailbeveiliging zodat zo weinig mogelijk aanvallen het beoogde doelwit bereiken, zal ertoe bijdragen dat we minder afhankelijk zijn van wachtwoorden als laatste verdedigingslinie tegen cybercriminelen.”
De toekomst zou kunnen liggen in het helemaal afstappen van gebruik van wachtwoorden. Cosgrove denkt daarbij aan gezichtsherkenning en andere vormen biometrische authenticatie. “De mens blijft de meest aangevallen schakel. Zelfs de meest technisch onderlegde mensen zijn kwetsbaar voor steeds persoonlijker en complexer wordende aanvallen. Op wachtwoorden vertrouwen behoort wellicht tot het verleden.”
