Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Zonder wachtwoord inloggen: heerlijk?!

Je hoort er steeds vaker over: inloggen zonder een wachtwoord. Voor veel mensen klinkt dit als muziek in de oren. Nooit meer wachtwoorden bedenken of onthouden! Nooit meer gedoe om je wachtwoorden te vernieuwen. Maar hoe werkt dat eigenlijk, inloggen zonder wachtwoord?

In deze blog vertellen we je waarom wachtwoorden niet veilig zijn, welke andere factoren je kunt gebruiken en hoe je binnen jouw IT-omgeving kunt starten met wachtwoordloos inloggen.

Waarom willen we van dat wachtwoord af?

Het eerste computerwachtwoord is ontwikkeld in 1961. Nu, 59 jaar later maken we er nog steeds veel gebruik van. Gemiddeld heeft een persoon 170 (!) accounts met bijbehorend wachtwoord, bijvoorbeeld voor applicaties, webshops en websites. Het is natuurlijk onmogelijk om voor ieder account een uniek wachtwoord te bedenken en te onthouden. Dus wat gebeurt er: mensen kiezen dezelfde simpele en oplopende wachtwoorden voor meerde accounts.

Dit betekent dat wanneer een hacker de gebruikersnaam en het wachtwoord van één website weet, hij dit kan gebruiken voor andere websites of zelfs je bedrijfsaccount. We kennen allemaal de verhalen van hackers die volledige databases met wachtwoorden en e-mailadressen te pakken krijgen. Op dit moment zijn er zelfs al meer dan 500 miljoen wachtwoorden bekend die gebruikers in het verleden gebruikte of wellicht nog gebruiken. Heb jij al eens gecontroleerd of je wachtwoord in een database voorkomt?

Gelukkig maken steeds meer websites en bedrijven gebruik van multi factor authenticatie (MFA) waarbij gebruikers moeten reageren op een extra challenge na een inlogpoging. De eerste factor blijft vaak wel het wachtwoord. Als een hacker een tweede factor moet gebruiken weet deze in ieder geval dat het wachtwoord klopt. Het komt helaas ook voor dat gebruikers de tweede factor accepteren terwijl ze zelf niet aan het inloggen zijn, omdat ze even snel de melding wegklikken. Het heeft dus echt voordelen als we van wachtwoorden afstappen.

Diagram inconvenient vs convenient-high security vs-low security_blog-passwordless-inloggen afb in text 1

Hoe log je in zonder een wachtwoord?

Als je geen wachtwoord gebruikt bij het inloggen, heb je dus een andere factor nodig. Wachtwoordloze factoren zijn bijvoorbeeld PIN (4-8 cijfers), biometrisch (gezichtsherkenning of vingerafdruk), een usb-stick, smartcard of andersoortige token (oath, fido, fido2). Deze factoren zijn in veel gevallen sterker dan een wachtwoord, iets dat je weet, omdat ze iets wat je bent of wat je hebt zijn. Hoeveel van die factoren gebruik je nu al om jezelf toegang te verschaffen tot jouw data, jouw huis of jouw fiets?

Authentication and Authorization_blog-passwordless-inloggen afb in text 2

Hoe kan ik beginnen met wachtwoordloos aanmelden?

Stap 1: Landschap bepalen

Weet jij welke apparaten en applicaties er allemaal gebruikt worden binnen je organisatie? Gebruikers hebben misschien een Microsoft Surface, Acer, HP laptop of misschien zelfs een Chromebook. Ze bellen met Apple, Samsung of Huawei apparaten. Binnen organisaties is er een flinke groei van SAAS applicaties, maar welke legacy applicaties zijn er nog? Wie logt waar in op welk apparaat? Allemaal vragen die beantwoord moeten worden voordat er onderzocht kan worden welke oplossing het beste bij de organisatie past.

Stap 2: Huidige wachtwoorden verbeteren en wachtwoordzichtbaarheid verminderen

Voordat je volledig wachtwoordloos gaat werken, kun je natuurlijk je eindgebruikers helpen hun wachtwoorden te versterken. Bijvoorbeeld met een applicatie die een wachtwoord voor ze invult, onthoudt of verzint, zoals Keepass of Lastpass. Microsoft biedt middels Password Protection en Risk Detection (onderdeel van AAD Identity Protection) verschillende tools om het gebruik van zwakke wachtwoorden te monitoren, hoef je dat in ieder geval niet meer zelf te doen :).

Stap 3: mogelijkheden voor wachtwoordloos onderzoeken

Microsoft is al veel stappen aan het zetten om gedeeltelijk gebruik te maken van wachtwoordloos aanmelden. Onder water is er nog altijd een wachtwoord maar deze wordt amper gebruikt. Op dit moment zijn er bijvoorbeeld al een drietal manieren om wachtwoordloos aan te melden.

Password-less mogelijkheden

Wat is het ultieme doel?
2020-06-04-image01-blog-security-passwordless-inloggen

Phone Sign-in met de authenticator app
Deze nieuwe feature binnen de authenticator app helpt organisaties om stappen te maken naar wachtwoordloos aanmelden in Microsoft 365 applicaties. Gebruikers voeren hun gebruikersnaam in waarna ze op hun mobiele device een melding krijgen dat er een inlogpoging is. De gebruiker moet vervolgens hetzelfde getal selecteren dat zichtbaar is op het scherm waar ingelogd wordt. Het wachtwoord wordt nooit ingevoerd.

Windows Hello for Business
Met behulp van Windows Hello for Business kan er ingelogd worden op Windows 10 apparaten zonder wachtwoord. De mogelijkheden verschillen per apparaat maar dit kan biometrische gegevens zijn zoals een vingerafdruk en gezichtsherkenning of een Pincode. Deze worden opgeslagen op het apparaat zelf in een Trusted Platform Module (TPM)-chip. Deze aanmeldingen kunnen niet afgeluisterd of aangepast worden.

FIDO2
Het gebruik van security keys is sinds 2019 mogelijk in combinatie met het Azure Active Directory. Security keys zijn ideaal voor organisaties waar gebruikers geen persoonlijke werkplek hebben omdat jouw identiteit ook echt gekoppeld is aan de sleutel. Het verschilt per key hoe er ingelogt kan worden, de één gebruikt near field communication (NFC) en de ander een vingerafdruk via USB. Er is altijd een vorm van MFA waardoor er niet ingelogd kan worden met alleen de security key.

Stap 4: Strategie en roadmap

Microsoft heeft onderstaande 4-stappen strategie om wachtwoordloos mogelijk te maken. Het begint met het ontwikkelen en het vervangen van authenticatie mogelijkheden. Vervolgens de wachtwoordzichtbaarheid verminderen om geleidelijk over te gaan naar wachtwoordloos. De laatste stap is daadwerkelijk het uitzetten van wachtwoorden.

Passwordless-strategy_blog-passwordless-inloggen afb in text 3

Microsoft is druk met het ontwikkelen van meer alternatieven om wachtwoordloos aan te melden en ondertussen bezig met het verminderen van de zichtbaarheid. Het is dus niet mogelijk om al volledig over te gaan naar wachtwoordloos als de gebruikte SAAS diensten dit nog niet aanbieden.

Impact op gebruikers

Wachtwoordloos gaan heeft veel impact op je eindgebruikers. Gebruikers moeten op een andere manier gaan inloggen. Ze moeten een FIDO2 security key bij zich hebben of ze kunnen zonder telefoon niet inloggen. Adoptie is daarom belangrijk. Maar ook moet er gecontroleerd worden of de huidige oplossingen passen bij de organisatie. Iedere organisatie is anders en er wordt nog continue gewerkt aan alternatieven voor wachtwoorden.

Natuurlijk houden wij alle ontwikkelingen nauwlettend in de gaten en helpen we je graag met het bepalen van de strategie en het opstellen van een roadmap. Samen bespreken we de mogelijkheden, onmogelijkheden en de juiste richting om wachtwoordloos te worden!