WatchGuard: “Wachtwoord blijft belangrijk, optimaal beheer ervan is noodzaak”

Het is volgens Martijn Nielen, Senior Sales Engineer bij WatchGuard, geen discussie meer of multifactorauthenticatie belangrijk is. Binnen de moderne digitale werkplek is het zelfs noodzakelijk, zo legt hij uit. Hij spreekt over de bewustwording op dat gebied, maar ook de plek van MFA binnen een allesomvattende security suite.

Nielen ziet het belang van multifactorauthenticatie (MFA) door de jaren heen verder toenemen. “Het werd van origine vooral gebruikt voor VPN en remote access. Het gebruik ervan nam dankzij de GDPR al wel steeds verder toe, maar toen de covid-pandemie uitbrak, kwam alles in een stroomversnelling. Iedereen ging thuiswerken en steeds meer applicaties verhuisden versneld naar de cloud. Niet veel later lanceerde Gartner een artikel waarin stond dat bedrijven die geen MFA toepassen, vijf keer zoveel kans hebben om slachtoffer te worden van een aanval.”

Dat schudde veel bedrijven wakker: “Het Witte Huis in de VS heeft federale diensten inmiddels opgedragen om MFA te implementeren. Veel bedrijven volgden, eerst in de VS en Canada en dit jaar ook steeds meer in Europa. De AVG draagt daar dus ook aan bij.” Hij noemt het voorbeeld van het Nederlandse ziekenhuis OLVG in Amsterdam dat van de Autoriteit Persoonsgegevens een boete van 440.000 euro kreeg, onder meer voor het niet gebruiken van tweefactorauthenticatie zoals het voorgeschreven wordt.

Bewustwording groeit

De bewustwording groeit daardoor. “MFA is niet meer optioneel. Het gesprek moet niet meer gaan over het wel of niet gebruiken van twee- of multifactorauthenticatie, maar over hoe je het op een veilige wijze gebruikt.” Dat gaat nog lang niet altijd goed. “We zien nog altijd veel aanvallen die gebruikmaken van de afwezigheid van MFA. De GoDaddy-hack, bijvoorbeeld. Op het dark web werden inloggegevens gevonden en de gebruikers waren niet beschermd.”

Ook ziet Nielen dat veel bedrijven MFA niet goed genoeg gebruiken. “Vodafone Portugal werd begin dit jaar aangevallen, waarna allerlei systemen, waaronder in de zorg, drie dagen platlagen. Ze gebruikten wel 2FA, maar deden dat via SMS OTP (one-time password, red.), waarvan we weten dat je dat vrij makkelijk kunt omzeilen. Bij Colonial Pipelines, dat ook aangevallen werd, werd wel gebruik gemaakt van MFA, maar niet voor alle accounts. Ook in dit geval verschenen inloggegevens op het dark web.” Alleen MFA gebruiken is dus niet genoeg, vindt hij. “Je moet weten wat je wilt beschermen en welke methode daarbij past.”

Sceptisch over ‘wachtwoordloos’
Wat is dan wel de juiste methode? Nielen is een fan van push based authenticatie. Daarbij gebruik je een wachtwoord, waarna er een pushbericht op je smartphone komt om het inloggen af te ronden. “Vanuit het oogpunt van zowel security als gebruiksvriendelijkheid is dat de beste oplossing. Ook omdat je geen extra token hoeft mee te nemen. Maar nog altijd is het nodig om mensen te onderwijzen. Je moet het pushbericht natuurlijk alleen goedkeuren als je ook ergens aan het inloggen bent. Dat kan misgaan. Als je op een ander moment een bericht krijgt, heeft iemand mogelijk jouw wachtwoord in handen.

Bij push based authenticatie heb je dus nog een wachtwoord nodig. Kan het ook zonder? Nielen is sceptisch. “Toen we met AuthPoint begonnen hebben we vanaf het begin gesproken over ‘multi’ in plaats van ‘tweefactor’ en het belang daarbij uitgelegd. Er wordt veel over passwordless authenticatie gezegd. Het gebeurt natuurlijk al: bij het inloggen op telefoons, bijvoorbeeld. Maar als je vervolgens op die telefoon bankzaken gaat doen, heb je nog steeds een wachtwoord nodig. Dus het is geen wachtwoordloze beleving op alle platformen en applicaties. Je moet beveiligd zijn met drie of meer factoren. Dat is de grootste uitdaging. Dat lukt alleen als de grote platformen en techbedrijven gaan samenwerken. Ik denk ook dat het alleen werkt als je de mobiele telefoon erbij betrekt, in plaats van speciale tokens. Zeker nu mensen minder vaak naar het kantoor gaan, werkt dat niet. Je vergeet je token ergens en dan heb je alsnog een wachtwoord nodig. Ooit komen we er, maar het gaat lang duren voordat we wachtwoordloze authenticatie overal kunnen toepassen. En dan nog blijven wachtwoorden bestaan, verwacht ik.”

WatchGuard staat niet stil op het gebied van authenticatie en identity. Zo maken ze gebruik van geofence-techniek. Nielen: “Heeft iemand ’s ochtend in Nederland een push goedgekeurd en een uur later verschijnt er een nieuw verzoek vanuit San Francisco? Dan is dat verzoek te onderscheppen. Iemand kan zich immers niet zo snel van de ene naar de andere plek verplaatsen.”

Alles-in-één
Daarnaast is de securityleverancier druk met de ontwikkeling van een Total Identity Security Suite. “Het wordt een toevoeging op onze MFA-oplossing AuthPoint, waarbij we ons extra focussen op het wachtwoord, want dat onderdeel wordt soms verwaarloosd”, geeft Nielen aan. Hij legt de achtergrond uit. “Lang niet iedereen gebruikt allemaal verschillende wachtwoorden. Maar de grote uitdaging ontstaat als mensen hetzelfde wachtwoord gebruiken voor zowel werk als privé. Als er inloggegevens op het dark web komen te staan, dan kunnen ze daarmee ook zakelijke wachtwoorden achterhalen.”

De oplossing voor die uitdaging bestaat volgens hem uit meer monitoren en sterkere wachtwoorden en dat is precies wat de nieuwe suite doet. “We verwerken een wachtwoordmanager in onze bestaande multifactoroplossing om gebruikers te helpen unieke en complexe wachtwoorden te creëren. Die is geïntegreerd met de AuthPoint Mobile App die via biometrics-functies van de smartphone beveiligd kan worden met Web SSO. Daarnaast monitoren we het dark web proactief, op zoek naar nieuwe databases met inloggegevens, zodat we gebruikers tijdig kunnen waarschuwen en adviseren om hun wachtwoorden aan te passen.”

Gebruiksvriendelijkheid
Total Identity Security voegt dus onder meer een wachtwoordmanager en het monitoren van het dark web toe aan het bestaande AuthPoint. “Als je AuthPoint al gebruikt, is overstappen heel makkelijk. We hebben veel aandacht besteed aan de gebruiksvriendelijkheid. Momenteel zijn we bezig de laatste puntjes op de i te zetten.” De oplossing zal voor allerlei soorten bedrijven beschikbaar komen, maar voor sommigen is het extra hard nodig. “De manier waarop mensen hun wachtwoorden beheren loopt erg uiteen. Er zijn nog steeds bedrijven waarbij ze op een papiertje staan. Ik heb zelfs eens gezien dat er speciale boekjes werden verkocht om wachtwoorden in op te schrijven.”

Deze totaaloplossing biedt volgens Nielen straks nieuwe kansen voor partners, vooral Managed Service Providers (MSP’s). Ze kunnen de oplossingen aanbieden aan klanten, maar ook voor eigen gebruik is het erg interessant. “MSP’s die allerlei accounts beheren hebben vaak de beschikking over de inloggegevens van die klanten. Die gegevens worden binnen een MSP-bedrijf ook weer gedeeld tussen verschillende collega’s. Dat veilig doen, dat is de uitdaging. We willen die MSP’s en de inloggegevens van hun klanten beschermen. Daar helpt Total Identity Security bij.”

Auteur: Johan van Leeuwen