Paul Edmonds, hoofd technologie bij de Britse Nationale Cyber Crime Unit, heeft een interessante visie op het gebruik van wachtwoorden. Het regelmatig veranderen van wachtwoorden verzwakt volgens hem de beveiliging van accounts of netwerken. Het versterkt de beveiliging dus niet.
Dat is verrassend, gezien men vaak aanraadt om wachtwoorden met regelmaat te veranderen. Zo houd je, zegt men, cybercriminelen op afstand. De gedachte hierachter is dat wachtwoorden veranderen vergelijkbaar is met sloten vervangen. Stel je voor dat een inbreker het voor elkaar krijgt om de sleutels van een huis te stelen, maar de sloten zijn vervangen. Dan kan hij alsnog niet inbreken.
Edmonds’ visie is gebaseerd op het volgende. In de regel kiest men een eenvoudiger wachtwoord wanneer deze met regelmaat moet worden vervangen. Dat is immers makkelijker te onthouden dan een complexer wachtwoord. Echter, wat je wint in onthoudbaarheid, dat offer je op in complexiteit. En helaas zijn deze eenvoudige wachtwoorden makkelijker te kraken.
Hoewel Edmonds zeker een punt heeft, denken wij dat het probleem niet zozeer in de wachtwoorden zelf ligt (ongeacht hoe simpel of complex ze zijn). Het probleem zit hem meer in het feit dat veel inlogmethodes enkel wachtwoorden gebruiken voor authenticatie. Het is nodig om een extra beveiligingslaag te implementeren om de veiligheid van die wachtwoorden te verzekeren. Er is een eenvoudige methode die zelfs nog effectief is als een cybercrimineel al inloggegevens in handen heeft.
Het geheim is contextuele toegangsbeveiliging. Om dat te begrijpen gaan we even terug naar het inbreker-voorbeeld. Stel je voor dat een inbreker de sleutel van een huis steelt. De inbreker probeert daarmee binnen te komen, maar de deur gaat niet open. Hoe kan dat? Dat kan doordat het aanwezige camerasysteem de inbreker niet herkent als één van de bewoners. Het systeem weet ook dat het 03.00 uur is en dat de bewoners nooit om die tijd binnenkomen. Het systeem detecteert dus een afwijkende gebeurtenis en stuurt direct een melding naar de bewoner.
Contextuele toegangsbeveiliging werkt op dezelfde manier. U kunt op een eenvoudige manier toegangsrestricties definiëren en instellen, bijvoorbeeld op basis van geografische locatie, IP-adres of tijdstip. Zelfs al lukt het een hacker om inloggegevens te achterhalen, dan nog kan hij niet inloggen. Het systeem weigert automatisch de toegang als één van de factoren naast de inloggegevens afwijkt. Vervolgens ontvangt de IT-beheerder en de eigenaar van het account een melding van de verdachte situatie.
En, voor de zekerheid, dan is het uiteraard wel een goed idee om je wachtwoord te veranderen…