Gepubliceerd: 2 mei 2019, Rémon Verkerk
Online krantenkoppen en vooraanstaande securitybloggers koppen dagelijks over het zoveelste datalek, waarbij persoonsgegevens en inloggegevens op straat komen te liggen. Zo stuitten onderzoekers afgelopen maand op meerdere online databases met daarin gegevens afkomstig van zo’n 60 miljoen LinkedIn-profielen. Bij dergelijke datalekken worden ook veelal gebruikersnamen en wachtwoorden buitgemaakt, waarvan wachtwoorden veelvuldig in originele leesbare vorm (‘plaintext’) zijn opgenomen. Buitgemaakte inloggevens worden veelal verhandeld op internet, zodat andere cybercriminelen eenvoudig kunnen beschikken over uw data.
Talloze marktplaatsen op het Dark Web bieden inloggegevens te koop aan.
De diversiteit aan softwareplatformen en applicaties is kortgezegd overweldigend. Dit geldt ook voor de mate waarin persoonsgegevens worden verwerkt en opgeslagen in dergelijke systemen. Dit brengt met zich mee dat deze systemen aan strikte beveiligingseisen moeten voldoen. Om te voorkomen dat de gebruiker de zwakste schakel vormt in de beveiliging van deze systemen, wordt van de gebruiker gevraagd een sterk uniek wachtwoord te kiezen. Deze verwachting wordt in de praktijk vaak niet waargemaakt. Het blijkt voor het menselijk brein onmogelijk om honderden complexe wachtwoorden te onthouden; laat staan deze wachtwoorden periodiek ook nog eens te wijzigen.
Het is van essentiëel belang inloggegevens, zoals o.a. gebruikersnamen, wachtwoorden en beveiligingsvragen op een deugdelijke wijze te beheren. Dit lijkt een inkoppertje, maar in de praktijk blijken veel organisaties dit niet goed te hebben ingeregeld en lopen het risico slachtoffer te worden van een volgende datalekschandaal.
De password manager biedt uitkomst
Kortgezegd bestaat een password manager uit een softwarematige kluis, waarin je je wachtwoorden kunt opslaan. Een password manager maakt het eenvoudig om complexe wachtwoorden te genereren en veilig op te slaan. Het is niet daarom niet langer nodig complexe wachtwoorden te onthouden. Sterker nog, het heeft de voorkeur dit niet te doen. Het enige wachtwoord dat u dient te onthouden is het wachtwoord om toegang te krijgen tot uw ‘vault’. Vanzelfsprekend is het raadzaam om een ‘reservesleutel’, elders veilig op te slaan. Bijvoorbeeld in de kluis bij de notaris.
Risico’s bij het gebruik van password managers
Het gebruik van password managers is niet geheel vrij van risico. Wanneer de password manager-applicatie actief is en je daadwerkelijk ingelogd bent, hebben onbevoegden die toegang hebben tot uw systeem hiermee al uw wachtwoorden onder handbereik. Dit geldt niet alleen voor fysieke toegang tot het systeem, maar ook voor (on)bevoegden die via het netwerk toegang hebben verkregen. In het verleden is gebleken dat het master password, waarmee de wachtwoordkluis ontsloten is, in voorkomende gevallen uit het interne geheugen (RAM) van de computer te extraheren was. Het is dan ook aan te bevelen om na gebruik van de password manager, direct de applicatie uit te loggen.
Wachtwoordopslag in de browser
Moderne internetbrowsers bieden eveneens de mogelijkheid om loginnamen en wachtwoorden op te slaan. Wij raden het gebruik hiervan echter sterk af. Niet alleen is deze integratie beperkt tot het browsergebruik, de gegevens die hierin zijn opgeslagen zijn slechts met enkele muisklikken in te zien. Handig voor de gebruiker, maar ook voor onbevoegden die in een onbewaakt ogenblik uw wachtwoorden kunnen inzien of via naar een usb-stick kunnen wegschrijven. Daar komt bij dat de platform-onafhankelijke browsers de laatste jaren een geliefde aanvalsvector zijn van cybercriminelen, waarbij de extractie van de hierin opgeslagen wachtwoorden hoog op het boodschappenlijstje staat.
Single Sign-On (SSO) hetzelfde als password management?
Single Sign-On-software (afgekort SSO) stelt eindgebruikers in staat om eenmalig in te loggen waarna automatisch toegang wordt verschaft tot meerdere applicaties en resources in het netwerk. Een SSO-oplossing (bijv. Radius, Diameter) vertoont weliswaar enige gelijkenis met password management, maar heeft net even een andere insteek. SSO heeft niet de specifieke focus op wachtwoorden, maar werkt op basis van trust (vertrouwen) tussen gebruikers en resources.
Een gebruikersnaam en wachtwoord zorgen voor authenticatie van de gebruiker. Wanneer het wachtwoordbeheer op orde is en het niet aannemelijk is dat derden over deze gegevens beschikken is er tevens sprake van accountability; oftewel kan de gebruiker eerder verantwoordelijk worden gehouden voor diens acties.
Single Sign-On gaat hierin nog een stap verder door ook te voorzien in authorisatie van de gebruiker tot aanwezige resources.
Resumé
Het beheer van wachtwoorden is van groot belang en kan eenvoudig worden ingeregeld. Een password manager heeft een kostenbesparende werking doordat medewerkers niet aan de lopende band hun wachtwoord hoeven te resetten, nadat zij deze voor de zoveelste keer vergeten zijn. Daarnaast is het kinderlijk eenvoudig om het gebruik van complexe wachtwoorden te handhaven, zicht te houden op wachtwoorden die voor meerdere resources worden gebruikt en de mate waarin meerfactor-authenticatie (MFA) wordt toegepast. Single Sign-On is goede volgende stap in de verdere professionalisering van uw identiteitsbeheer.