Photo by Onur Binay on Unsplash
12345678. Wat vind je van dit wachtwoord? Heel simpel, maar het is nog steeds het meest gebruikte wachtwoord, samen met Azerty, Mama of een combinatie van de naam van je hond en je geboortedatum. Dan maar een meer ingewikkeld wachtwoord: 4p83mDXJy4G2pv. Onverslaanbaar? Toch niet. Een computer heeft slechts 30 seconden nodig om het te kraken. Wachtwoorden liggen aan de basis van meer dan 80% van alle online veiligheidslekken. Ook in je bedrijf. Say hello to Passkey, het authenticatiesysteem van de toekomst.
Wachtwoord op een post-it
Onze wachtwoorden zijn vaak te zwak, te kort, te voorspelbaar, te vaak gebruikt, te gelijkaardig. Het ideale wachtwoord? Ongeveer vijftien tekens met hoofdletters, kleine letters, cijfers en speciale tekens. Het wachtwoord mag eigenlijk nooit worden hergebruikt, laat staan geschreven op een post-it die je op je computer plakt. Maar niemand volgt die raad op. Oude gewoontes zijn namelijk moeilijk af te leren. En het opschrijven van wachtwoorden? Dat is helaas een gewoonte die al meer dan 60 jaar meegaat.
Nieuw identificatiesysteem
Je moet eerlijk gezegd naar het volledige systeem kijken. Wachtwoorden zijn een technologie uit het verleden. Apple, Google en Microsoft maken zich op om het te vervangen door een nieuw identificatiesysteem. Je wachtwoorden zullen in de toekomst dus worden gewist en vervangen door een veiligere standaard. En het zit al in je. Kun je het geloven?
Lees ook: Zo gaat Apple om met jouw privacy
Laat je huissleutels 10 keer dupliceren
Laten we even teruggaan naar de essentie van wachtwoorden. Ze zijn een toegangssleutel waarmee je kunt bevestigen dat je bent wie je zegt dat je bent. Om een serie te kijken op Netflix, je LinkedIn-berichten te lezen of verbinding te maken met je favoriete applicatie. Tussen ons gezegd en gezwegen, een wachtwoord is de slechtste manier om je identiteit te verifiëren (en je gegevens te beschermen), omdat:
- je het al hebt gebruikt op een site die gehackt is
- je bent vergeten dat je het aan iemand hebt uitgeleend voor een migratie
- het de naam van je kind is, gevolgd door je geboortedatum
Zie je het probleem al? Er is geen verschil tussen jou en iemand anders die dit wachtwoord kent. Het is alsof je je huissleutels 10 keer hebt gedupliceerd, maar niet meer weet waar je ze hebt gelaten. En het is wel degelijk iets om wakker van te liggen.
Lees ook: Een veilige werkomgeving met de Samsung Knox
Een openbare en een privésleutel
Het goede nieuws is dat er een nieuw identificatiesysteem in de maak is om deze paar tekens te vervangen door een uniek object dat je altijd bij je hebt. Je smartphone, bijvoorbeeld. Registreren op een website? Je smartphone maakt twee digitale sleutels aan: een openbare sleutel die wordt opgeslagen door de site en een privésleutel die wordt opgeslagen in een beveiligde envelop (die het apparaat nooit zal verlaten). Dit is de toegangssleutel.
Elke keer dat je verbinding maakt, geeft de website je smartphone een uitdaging in de vorm van een cryptografisch probleem, waarvoor de privésleutel is vereist. Zodra de uitdaging is opgelost, moet je bewijzen dat je de eigenaar van het apparaat bent met je identificatiemethode (bijvoorbeeld Touch ID).
Apple, Google en Microsoft
In het geval van Apple verlaat de sleutel nooit de iPhone en kan deze niet naar je Mac, iPad of Windows-pc worden gestuurd. Zodra de openbare sleutel is aangemaakt, wordt deze gesynchroniseerd met iCloud en je andere Apple-apparaten. Deze ontvangen een nieuwe privésleutel, zodat je verbinding kunt maken vanaf een andere iPhone, Mac, iPad, Windows of Android-apparaat dat geen deel uitmaakt van het Apple-ecosysteem. De moeilijkheid zit in het feit dat de verschillende diensten niet met elkaar communiceren.
Op dit moment is het scannen van een QR-code de enige manier om verbinding te maken met een account die is aangemaakt door een iPhone op een Windows-pc en vice versa. Na deze verificatie is de pc zeker van je identiteit en kan de pc een eigen privésleutel aanmaken. Apple, Google en Microsoft bespreken momenteel manieren om hun systemen met elkaar te verbinden en zo de overgang te vergemakkelijken.
Lees ook: Kmo’s in de cloud: VoIP, flexibiliteit en een lager prijskaartje
‘Zonder risico’ bestaat niet
Als het op IT-beveiliging aankomt, bestaat er niet zoiets als geen enkel risico. Het gaat erom de risico’s te beperken. Een toegangssleutel is onvoorspelbaar, niet herbruikbaar en niet dupliceerbaar. Bovendien is het moeilijk om deze te delen, zodat onbevoegden geen toegang krijgen. Deze unieke sleutel is gemaakt van een ultrabeveiligd encryptie-algoritme dat alleen in het apparaat wordt opgeslagen en nooit via het internet wordt verzonden. Je kunt de sleutel niet zien. Ook de sites waar je jezelf identificeert niet: Apple, Google, Microsoft, ...
Een veiligere toekomst binnen handbereik
De conclusie is duidelijk. Traditionele wachtwoorden zijn niet langer de beste manier om je bedrijfsgegevens veilig te houden. Tijd om iets aan deze zwakke schakel in je IT-beveiliging te doen. Binnenkort identificeer je jezelf met iets dat je al hebt... jezelf! Passkey beschermt je gegevens beter dan zelfs het langste wachtwoord. Vlot inloggen, gebruiksvriendelijk én ultraveilig: what’s not to love. Zo maakt Passkey effectief een einde aan wachtwoorden en de bijbehorende datalekken en phishingpogingen.