Passwordless verificatie: wat is het en waarom?

Over de auteur
Als de corporate wereld geleidelijk ontwaakt voor de veiligheid gevaren van te vertrouwen op een gemakkelijk gestolen en gedeelde wachtwoorden, alternatieve beveiliging systemen hebben genomen van de kijker. Er zijn verschillende alternatieve verificatiemethoden die geen betrekking hebben op delen van wachtwoorden, zoals een hardware token (een object van de gebruiker die verifieert de identiteit) of biometrische methoden of apparatuur, zoals een fysieke eigenschap die behoren tot een gebruiker, net als hun vingerafdruk.

Shimirit Tzur David is de CTO en Mede-Oprichter van de Geheime Dubbele Octopus en behaalde een MSc-en PhD-van de hebreeuwse Universiteit in Computer Science.
En hoewel deze methoden hebben allemaal een andere aanpak van de passwordless verificatie, ze hebben één ding gemeen: De gebruiker authenticatie gegevens worden nooit opgeslagen in het systeem, zoals een wachtwoord zou worden. Dit is het cruciale element dat geeft passwordless oplossingen voor hun veiligheid in het voordeel.
Het geval voor passwordless systemen
Waarom zijn passwordless security systems beter dan de wachtwoord-gebaseerde systemen? Hier zijn een aantal redenen:
User Experience (UX): Passwordless verificatie houdt in dat u niet meer door de gebruiker opgeslagen geheimen, het stroomlijnen van het verificatie proces. Het verwijderen van wachtwoorden van het beeld dat betekent dat gebruikers niet meer hoeft te bedenken en onthouden van een wachtwoord voor al hun accounts. Noch hebben ze te typen elke keer dat ze zich aanmelden.
Betere Beveiliging: de Gebruiker gecontroleerd wachtwoorden zijn een belangrijke kwetsbaarheid. Gebruikers hergebruik van wachtwoorden en kunt delen met anderen. Wachtwoorden, de grootste aanval, zijn ook kwetsbaar voor referenties vulling, corporate account takeover (CATO), wachtwoord spuiten, brute-force-aanvallen, en meer.
Verlaging van de Total Cost of Ownership (TCO): Wachtwoorden zijn duur; ze vereisen een constante onderhoud van HET personeel, die hebben te werken systemen als gebruikers hun wachtwoord te wijzigen, en ze moeten worden veranderd op een regelmatige basis. Volgens onderzoek door de industrie, opnieuw instellen van het wachtwoord voor de helft van alle helpdesk oproepen, die een enorme last voor HET bedrijf. Volgens Forrester, de kosten van een enkele wachtwoord te resetten gemiddelden $70.
HET krijgt de Controle en Zichtbaarheid: Hergebruik en het delen van gemeenschappelijke problemen in een op wachtwoorden gebaseerd authenticatie. Met passwordless verificatie, HET herwinnen van het doel van het hebben van een compleet zicht over de identity en access management. Zonder wachtwoorden, er is niets te phish, delen of hergebruiken. De gebruiker is niet langer de wild card in een organisatie de toegang van de regeling.
Image credit: Shutterstock Image credit: Shutterstock (Foto: © Image Credit: Ai825 / Shutterstock)
Waarom wachtwoorden gewoon niet meer knippen Regelgevende instanties hebben te begrijpen en erkennen van de zwakke punten en bedreigingen van de veiligheid in verband met de opslag en het gebruik van wachtwoorden. Dat is waarom ze voortdurend op het verhogen van de bar voor de minimale eisen van wachtwoorden (lengte, complexiteit, encryptie, wijzigen cycli). In veel gevallen, toezichthouders is vereist het gebruik van twee-factor authenticatie.
Bijvoorbeeld, NIST – het lichaam dat stelt technologische standaarden in de verenigde staten en fungeert als een referentiepunt voor vele andere landen, is het vereist dat multi-factor authenticatie (MFA) worden gebruikt in veel scenario ‘ s, zoals voor financiële instellingen. En veel web services (zoals Google en Facebook) hebben aangenomen MFA in om de gebruikers te beschermen. MFA-verificatie gaat om het waarborgen van de identiteit van de gebruikers, met ten minste twee van de drie factoren:
Iets wat je weet (wachtwoord/gebruikersnaam)
Iets wat je (mobiele apparaat of de FIDO-toets)
Iets wat je (biometrische gegevens)
MFA is zeker beter dan te vertrouwen op een wachtwoord voor de veiligheid, maar het elimineren van wachtwoorden in totaal zou nog beter zijn. Een wachtwoord-plus-tweede-factor beleid behoudt de inherente gebreken van wachtwoorden, gebruikers zijn nog steeds verplicht om te onthouden en te beschermen geheimen, dus het gevaar voor de veiligheid van het wachtwoord van hergebruik nog steeds bestaat, en de kosten van het onderhoud van wachtwoorden ook blijven. In feite, volgens de onderzoekers van Proofpoint, hackers kunnen zelfs gebruik maken van wachtwoorden te omzeilen de tweede factor authenticatie helemaal. Het lijkt er inderdaad op dat in veel gevallen de tweede factor is slechts een “band aid” organisaties versterken de belangrijkste security-protocol – wachtwoorden. Ze maken een grote en potentieel dure fout.
Image credit: Shutterstock Image credit: Shutterstock (Foto: © Shutterstock)
Een toekomst zonder wachtwoorden
Passwordless verificatie is al heel gebruikelijk op veel apparaten, die gebruik maken van biometrie en gezichtsherkenning, dus het is duidelijk passwordless is klaar voor prime time, of op desktops en servers. Aangedreven door Apple, Linux of Microsoft, passwordless verificatie wordt steeds meer een realiteit.
Technologieën en implementaties bestaan voor alle van deze, dus er is geen reden om niet te profiteren van hen. Er is geen vraag passwordless verificatie is veiliger dan een wachtwoord-beveiliging, en het is duidelijk dat medewerkers en management zullen allemaal profiteren van het gemak van gebruik en kosten-vermindering die voortvloeit uit de uitvoering van passwordless verificatie. Als het gaat om de veiligheid, de tijd om te handelen is nu.
Shimirit Tzur David, CTO en Mede-Oprichter van de Geheime Dubbele Octopus