Bedrijven hebben te maken met verschillende cyberrisico’s, variërend van ransomware tot gegevensdiefstal. Cyberdreigingsactoren krijgen op verschillende manieren toegang tot de systemen van een organisatie. Cybercriminelen kiezen echter vaak de weg van de minste weerstand, en de afhankelijkheid van organisaties van op wachtwoorden gebaseerde authenticatie biedt tal van aanvalsmogelijkheden. Het is bekend dat wachtwoorden een zwakke vorm van authenticatie zijn, en het wijdverbreide gebruik van zwakke en hergebruikte wachtwoorden brengt bedrijven en hun klanten in gevaar.
CISO’s werken al jaren hard om de dreigingsvectoren aan te pakken die zich op hun personeel richten. Het personeelsbestand is de meest voorkomende vector voor ransomware, gegevensdiefstal en vele andere inbreuken. Met de door pandemie gevoede opkomst van digitaal vormen klanten echter een steeds grotere bedreigingsvector. Van CISO’s wordt steeds vaker verwacht dat ze ‘beveiligen wat u verkoopt’, wat een nieuw beveiligingsdomein presenteert. Om dit klantdomein te beveiligen, moeten CISO’s hetzelfde probleem aanpakken waarmee ze aan de personeelskant te maken hebben gehad: wachtwoorden.
Op wachtwoord gebaseerde authenticatie schaadt bruikbaarheid en veiligheid
Wachtwoorden zijn de meest gebruikte vorm van authenticatie van klantaccounts. Klanten gebruiken wachtwoorden om in te loggen op mobiele apps, websites en andere klantkanalen. Hoewel wachtwoorden alomtegenwoordig zijn, zijn ze een zwakke vorm van authenticatie met veel wrijving. Deze wrijving schaadt zowel de beveiliging als de klantervaring van de digitale kanalen van een organisatie.
De beveiligingseffecten van wachtwoordgerelateerde frictie ontstaan omdat klanten zullen proberen pijnlijke, tijdrovende processen te vermijden, zoals het genereren en opslaan van willekeurige, unieke wachtwoorden voor al hun online accounts. Als gevolg hiervan zijn wachtwoorden vaak zwak en worden ze opnieuw gebruikt voor accounts, wat account takeover (ATO)-aanvallen mogelijk maakt. Denk na over uw eigen gebruik van wachtwoorden voor de websites en apps die u gebruikt. Als u geen wachtwoordbeheerder gebruikt, gebruikt u waarschijnlijk gebruikers-ID’s en wachtwoorden op veel verschillende sites.
De slechte klantervaring van wachtwoorden schaadt ook het bedrijf van een organisatie. Wachtwoordgerelateerde frictie kan de conversies van gastgebruikers verminderen, het verlaten van het winkelwagentje inspireren, drop-offs veroorzaken bij het schakelen tussen merken of kanalen en een grotere inspanning van de klant vergen (wat een leidende indicator is van verminderde merkloyaliteit). Wachtwoorden zijn slecht voor de veiligheid en slecht voor de klantervaring.
Vastgeschroefde beveiliging werkt niet
Om de zwakke beveiliging van wachtwoorden te versterken, passen bedrijven vaak extra beveiligingen toe die weinig doen om de beveiliging te verbeteren, maar die de gebruikerservaring verder schaden.
Veelvoorkomende voorbeelden zijn:
- SMS eenmalige wachtwoorden (OTP’s): OTP’s die via sms of andere middelen worden verzonden, zijn een veel voorkomende vorm van multi-factor authenticatie (MFA). Deze codes zijn echter kwetsbaar voor onderschepping of phishing-aanvallen. Bovendien verzenden ze vaak niet en kosten ze altijd extra tijd en moeite om te gebruiken.
- Beveiligingsvragen buiten de portemonnee: Online accounts kunnen vragen stellen die buiten de portemonnee vallen om de identiteit van een gebruiker te bewijzen. De antwoorden op deze vragen zijn echter vaak toegankelijk voor aanvallers via openbare registers, phishing-aanvallen, datalekken en sociale media. En niet alleen voegen ze tijd en moeite toe, veel klanten vergeten de antwoorden die ze hebben gekozen, wat resulteert in extra stappen die nodig zijn voor accountherstel.
- CAPTCHA’s: CAPTCHA’s zijn ontworpen om te beschermen tegen geautomatiseerde aanvallen. Ze kunnen echter worden verslagen door aanvallers en het voor legitieme gebruikers moeilijker maken om toegang te krijgen tot hun accounts.
In het beste geval frustreren deze wachtwoordvergrendelingen gebruikers en creëren ze extra wrijving; in het slechtste geval zijn het toegankelijkheidsproblemen voor mensen met cognitieve of fysiologische beperkingen. In beide gevallen worden ze gemakkelijk omzeild door een vastberaden cybercrimineel die een accountovernameaanval uitvoert.
Wachtwoordloze authenticatie is de oplossing
Op wachtwoord gebaseerde authenticatie is niet veilig en zal nooit veilig zijn. Zelfs als klanten unieke, willekeurige wachtwoorden zouden gebruiken voor elk online account, zouden deze wachtwoorden nog steeds kwetsbaar zijn voor phishing-aanvallen, datalekken en andere bedreigingen.
Het creëren van een veilige, gestroomlijnde gebruikerservaring vereist een alternatieve aanpak. De beste oplossing is om zonder wachtwoord te werken met een op FIDO gebaseerde aanpak. FIDO, of Fast Identity Online, is een open set van standaardprotocollen gepromoot door de FIDO Alliance[1] voor sterke authenticatie met behulp van alledaagse consumentenapparaten zoals mobiele telefoons. Hoewel FIDO het probleem niet van de ene op de andere dag oplost – het kost gebruikers tijd om over te schakelen naar wachtwoordloze authenticatie – als het goed wordt gedaan, begint het uw grootste bedrijfsrisico te elimineren: klantwachtwoorden.
Op FIDO gebaseerde authenticatie, als onderdeel van een goed ontworpen klantidentiteits- en toegangsbeheerservice (CIAM), biedt bescherming tegen de meest voorkomende tactieken die worden gebruikt bij ATO-aanvallen, waaronder:
- Gecompromitteerde referenties: Op FIDO gebaseerde authenticatie maakt gebruik van biometrische gegevens of digitale handtekeningen die op het apparaat zijn opgeslagen voor authenticatie. Gebruikers hoeven geen geheime gegevens te onthouden en in te voeren, zodat ze niet kunnen worden misleid om deze aan een aanvaller te onthullen.
- Phishing-pagina’s: Phishing-aanvallen gebruiken vaak valse, gelijkaardige pagina’s om de inloggegevens van gebruikers te verzamelen. Op FIDO gebaseerde authenticatie maakt gebruik van tweefactorauthenticatie: het valideert zowel de klant als de online service die ze gebruiken voordat ze worden geverifieerd en beschermt tegen deze aanvallen.
- Credential vulling: Credential stuffing-aanvallen testen op zwakke en hergebruikte wachtwoorden via geautomatiseerde aanvallen. Op FIDO gebaseerde authenticatie maakt gebruik van cryptografie met openbare sleutels voor authenticatie, waarvoor toegang tot een willekeurige, cryptografische privésleutel vereist is om in te loggen.
De beste implementaties van op FIDO gebaseerde authenticatie elimineren wachtwoorden voor gebruikers volledig, vanaf het moment van registratie tot het hele klanttraject. Door wachtwoorden volledig te elimineren, vermindert de juiste op FIDO gebaseerde oplossing zowel de klantwrijving als een veel voorkomende bedreigingsvector: gestolen inloggegevens.
Uw klanten geven om cyberbeveiliging
In een onderzoeksrapport van januari 2022 getiteld “Build the Business Case for Cybersecurity and Privacy”, stelt Forrester dat mensen “aangetrokken worden door merken met een sterke reputatie op het gebied van beveiliging en privacy”. Ze gaan verder: “Als resultaat van verbeterde beveiliging en betere zelfbediening, zeiden klanten dat het implementeren van services voor klantidentiteits- en toegangsbeheer (CIAM) resulteerde in meer efficiëntie bij het werven van klanten, minder verlating van klanten en winkelwagentjes, en betere conversieratio’s (klanten die zich aanmelden en kopen op de site). Na verloop van tijd zullen deze verbeterde klantervaringen duidelijk verband houden met verhoogde klantloyaliteit, tevredenheid en omzet.”
Uw klanten weten waarschijnlijk beter dan ooit hoe hun accounts worden beschermd. Ze geven om cybersecurity, maar kiezen er ook voor om zaken te doen met bedrijven die uitzonderlijke digitale gebruikerservaringen bieden. Door de juiste wachtwoordloze CIAM-service voor uw digitale kanalen te implementeren, kunt u zowel de bedreigingsvector van gestolen inloggegevens aanpakken als de moeite die uw klanten doen om in te loggen en transacties uit te voeren aanzienlijk verminderen. Bereik betere beveiliging en een betere ervaring.
Ga naar Transmit Security voor meer informatie over authenticatie zonder wachtwoord.
[1] Bron
