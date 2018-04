Een van mijn favoriete IT-praktijkverhalen gaat over een groot internationaal bedrijf dat wilde voorkomen dat werknemers het populairste wachtwoord gebruikten. Wat natuurlijk password was. Na wat gemor en veranderende eisen, werd het nieuwe populairste wachtwoord password123 . Na het blokkeren daarvan werd het password1234 en daarna password12345 .

Toen de eisen verder werden verfijnd met een hoofdlettereis, richtte de frustratie zich op de IT-afdeling: het nieuwe populaire wachtwoord was fuckIT . En toen dat werd geblokkeerd natuurlijk fuckIT123 .

Kat-en-muisspel

Wachtwoorden zijn een grote plaag voor IT'ers. We zien ze al decennia inmiddels dagelijks uitlekken, omdat toen we systemen in de jaren 90 netwerkten het nog makkelijker werd voor onverlaten om binnen te komen. Volgens onderzoek van Verizon is inmiddels 81 procent van alle datadiefstallen mogelijk dankzij gestolen of zwakke wachtwoorden. In slechts 8 procent ging het om fysieke toegang tot hardware.

Een fatsoenlijk wachtwoordbeleid vereist momenteel lange en/of complexe wachtwoorden die lastig te kraken en uniek genoeg zijn om niet voor te komen op rainbow tables die hashes van bekende wachtwoorden bevatten. Wat vooral duidelijk wordt met dit kat-en-muisspel tussen aanvallers en beveiligers is dat werknemers het tegenovergestelde willen: korte, simpele wachtwoorden die makkelijk te onthouden zijn.

Drempel lager - ook voor aanvallers

Pragmatisme wint en zo houden werknemers vast aan wat ze makkelijk vinden, ondanks bezwaren van informatiebeveiligers. Het gevolg is dat ook criminelen winnen, want als werknemers makkelijk te onthouden en dus te raden wachtwoorden hebben, hoeven de aanvallers niet eens complexe hacks uit te voeren om toegang te krijgen.

Na meer dan een decennium van zware verliezen in de eeuwigdurende strijd om zakelijke data beveiligd te houden, staan we misschien eindelijk aan de vooravond van een overwinning - en wapenstilstand met werknemers: door wachtwoorden helemaal te schrappen.

Hardwarebeveiliging

Deze week kondigde Intel een hoop aan over nieuwe chipsets, maar een ontbrekend stukje in het wachtwoordenverhaal is de laatste versie van Authenticate, waardoor IT'ers meer hardwarematige beveiligingsopties krijgen om gebruikers te beveiligen, zonder dat toegang moeilijker wordt gemaakt. IT kan policy's instellen met wachtwoorden, detectie van andere aanwezige apparaten en gezichtsherkenning. Met Authenticate kunnen wachtwoorden zelfs helemaal worden uitgefaseerd.

Hierna: Een praktijktests met Authenticate.