Op wachtwoord gebaseerde authenticatie is waarschijnlijk de meest gebruikte methode om gebruikers te authenticeren voor online services. Het feit dat het gebruikelijk is, betekent echter niet dat het goed is in zijn werk. Op wachtwoord gebaseerde authenticatie wordt gebruikt omdat het gemakkelijk te begrijpen en te implementeren is.
Dit gaat echter ten koste van een zwakke beveiliging en een slechte gebruikerservaring.
Met FIDO2 en wachtwoordloze authenticatie zijn er alternatieven die tegelijkertijd veiliger zijn en minder wrijving voor de gebruiker veroorzaken. Ze bieden multifactor-authenticatie (MFA) zonder de gebruikelijke last voor de gebruiker.
Hoewel wachtwoorden het meest gebruikte authenticatiemechanisme zijn, zijn ze niet goed. Op wachtwoord gebaseerde authenticatiemechanismen zijn enkele van de minst veilige en minst bruikbare opties die beschikbaar zijn.
Wachtwoorden hebben belangrijke bekende beveiligingsproblemen. Waaronder:
- Zwakke wachtwoorden: Een sterk wachtwoord is per definitie moeilijk te onthouden, dus gebruikers hebben de keuze tussen een wachtwoordbeheerder (zeldzaam) of zwakke wachtwoorden (vaak). Als gevolg hiervan zijn de wachtwoorden van veel gebruikers te raden, waardoor ze gemakkelijk te kraken zijn met geautomatiseerde aanvallen.
- Hergebruikte wachtwoorden: De noodzaak om wachtwoorden voor veel online accounts te onthouden, leidt ertoe dat gebruikers wachtwoorden opnieuw gebruiken voor meerdere accounts. Dit maakt ze kwetsbaar voor aanvallen met credential stuffing, waarbij bots wachtwoorden proberen die via datalekken, phishing, enz. op de andere online accounts van een gebruiker zijn gelekt.
- Phishing-aanvallen: Op wachtwoord gebaseerde authenticatie is gebaseerd op het kennen en invoeren van een wachtwoord op een website door een gebruiker. Als een gebruiker een wachtwoord weet, kunnen ze worden misleid om het aan een aanvaller bloot te stellen. Aanvallers worden steeds geavanceerder in het misleiden van gebruikers, bijvoorbeeld door man-in-the-middle-aanvallen (MITM) te gebruiken om inloggegevens te compromitteren.
De wachtwoorden die uw klanten gebruiken om in te loggen op uw mobiele apps, website of andere klantkanalen, zijn kwetsbaar voor account takeover (ATO) fraude en zijn bekende doelwitten voor aanvallers. Met andere woorden, de bedreigingen zijn groot en de kwetsbaarheden zijn algemeen bekend en kunnen worden misbruikt.
Om de beveiliging van op wachtwoorden gebaseerde authenticatiesystemen te versterken, wenden bedrijven zich maar al te vaak tot een lappendeken van bescherming. Veelvoorkomende oplossingen zijn eenmalige sms-wachtwoorden (OTP’s), out-of-wallet-vragen, CAPTCHA’s en vergelijkbare mechanismen.
Deze voegen vaak “factoren” van authenticatie toe, zoals “wat je hebt”, bovenop wachtwoorden (“wat je weet”), waardoor de beveiliging wordt verbeterd. Dit lappendeken zorgt echter voor verschillende problemen, waaronder:
- Kwetsbare factoren: Veel van de mechanismen die worden gebruikt om de wachtwoordbeveiliging te versterken, zijn ook kwetsbaar voor aanvallen. OTP’s kunnen bijvoorbeeld worden gestolen via phishing of man-in-the-middle (MITM)-aanvallen, en out-of-wallet-vragen hebben vaak betrekking op informatie die openbaar toegankelijk is via datalekken, openbare registers, sociale media of phishing-aanvallen.
- Valse MFA: OTP’s proberen een “iets wat je hebt”-factor toe te voegen aan op wachtwoord gebaseerde authenticatie. Als dit “iets wat je hebt” echter een e-mailaccount is dat hetzelfde wachtwoord gebruikt als het oorspronkelijke account, biedt het geen extra bescherming.
- Bijkomende kosten en complexiteit: Het implementeren van authenticatieprocessen in meerdere fasen vereist extra ontwikkeltijd en creëert extra complexiteit die beveiligingsfouten en mogelijke authenticatieomzeilingen kan introduceren.
- Verslechterde gebruikerservaring: De noodzaak om te wachten op een OTP, een CAPTCHA op te lossen of andere stappen te ondernemen voordat authenticatie plaatsvindt, schaadt de gebruikerservaring.
De frustratie van complexe authenticatieprocessen leidt tot een slechte klantervaring, lagere merkloyaliteit en zelfs directe gevolgen zoals verminderde gastconversies of hogere verlatingspercentages van de winkelwagen. Wachtwoorden en het lappendeken zorgen ook voor bijzondere problemen voor mensen met cognitieve (inclusief dyslexie) en lichamelijke beperkingen.
Een ander probleem is dat dit lappendeken van aanvullende beveiligingen de kosten en complexiteit van uw authenticatie-oplossing met zich meebrengt. Elk van deze systemen moet worden geïmplementeerd, beheerd en onderhouden. Veel, zoals sms-OTP’s, zijn wereldwijd moeilijk te gebruiken omdat elk land of elke regio nieuwe vereisten introduceert. Complexiteit verhoogt op zijn beurt de risico’s die inherent zijn aan uw systemen.
De beste oplossing voor het wachtwoordprobleem is om zonder wachtwoord te gaan met een op FIDO gebaseerde aanpak.
De FIDO2-standaard maakt gebruik van cryptografie met openbare sleutels, waarbij een vergrendelde privésleutel op een apparaat wordt opgeslagen en de bijbehorende openbare sleutel naar een toepassing wordt verzonden. Gebruikers authenticeren via biometrie of een andere sterke authenticatiemethode, waardoor hun privésleutel wordt ontgrendeld. Deze sleutel wordt vervolgens gebruikt om een digitale handtekening te genereren die de server kan valideren met de bijbehorende openbare sleutel.
Het mooie van FIDO-authenticatie is dat het niet phishable is. Het elimineert niet alleen het herbruikbare wachtwoord, het elimineert de noodzaak van eenmalige sms-wachtwoorden (die ook phishable zijn). En het biedt authenticatie in twee richtingen: uw klant verifieert zich op uw site en uw site verifieert zich op het apparaat van uw klant. Dit alles, en toch is het volledig naadloos voor de gebruiker.
FIDO-authenticatie is nu mogelijk met de meeste mobiele telefoons en veel tablets, laptops en andere apparaten die tegenwoordig worden gebruikt. FIDO kan worden gebruikt om gebruikers te authenticeren op een niet-FIDO-apparaat, zoals een pc, met behulp van een ander FIDO-compatibel apparaat zoals een mobiele telefoon.
Als u de juiste authenticatieservice kiest of bouwt[1], kan FIDO-authenticatie worden uitgevoerd zonder dat er extra software of hardware voor de klant nodig is. Het is al ingebouwd in de meeste mobiele apparaten. Klanten van ons integreren het vaak in hun eigen mobiele apps, waardoor ze een ervaring bieden die consistent is met hun merk en tegelijkertijd de veiligheid en ervaring van hun digitale kanalen verbeteren.
Als het goed wordt gedaan, elimineert een op FIDO gebaseerde aanpak wachtwoorden volledig voor de meerderheid van uw klanten. Een van onze wereldwijde retailklanten implementeert wachtwoordloos universeel, voor consumenten die een FIDO-compatibel apparaat bij zich hebben en voor degenen die dat niet hebben. Dit verbetert niet alleen de beveiliging tijdens hun authenticatieproces, maar elimineert ook een gemeenschappelijk doelwit van cybercriminelen: klantwachtwoorden.
Veel van de meest op beveiliging gerichte en CX-gerichte bedrijven ter wereld gaan in deze richting. Dit omvat technologiebedrijven zoals Microsoft, Google en Apple, maar ook banken, verzekeringsmaatschappijen, betalingsverwerkers, zorgaanbieders, retailers, media- en entertainmentbedrijven en nog veel meer.
Lees voor meer informatie onze complete gids voor authenticatie zonder wachtwoord.
[1] Bron