Het risico van wachtwoord beheer

Wachtwoord beheer zorgt vaak voor irritaties, zowel bij de werknemer als bij het management. Werknemers moeten tegenwoordig, zowel privé als zakelijk, veel wachtwoorden onthouden. Daardoor wordt vaak gekozen voor uitwegen om het inloggen te vergemakkelijken.

Wachtwoorden worden bijvoorbeeld automatisch opgeslagen, voor elke applicatie wordt hetzelfde wachtwoord gebruikt of wachtwoorden worden bijgehouden in een lijstje (digitaal of op papier). Het komt zelfs voor dat collega’s wachtwoorden uitwisselen. Ook gebeurt het steeds vaker dat werknemers eigen apparaten (telefoon, tablet, laptop, thuiscomputer, etc.) inzetten voor werkzaamheden voor het bedrijf, waarop zakelijke wachtwoorden worden bewaard. Adequaat wachtwoord beheer is daarom essentieel.

De inzet van security policy

Hierdoor raakt het (IT-)management de grip op veilig gebruik van bedrijfsdata en –applicaties volledig kwijt. De afhankelijkheid van de gebruiker (werknemer) is groot en de deur wordt opengezet voor hackers. In een tijd dat er steeds meer berichten naar buiten komen van (Nederlandse) bedrijven die worden platgelegd door cybercriminelen is het belangrijk om risico’s uit te sluiten die beheersbaar zijn.

Om grip terug te winnen wordt vaker gekozen om wachtwoordgebruik op te nemen in de security policy van de organisatie. Ook wordt verplicht gesteld om het wachtwoord periodiek te wijzigen en/of te kiezen voor een complexe cijfer-letter-symbool combinatie. Hiermee wordt het probleem echter niet verholpen.

Wachtwoord beheer

 

Token authenticatie

Is het voor het bedrijf belangrijk om de bescherming van bedrijfsomgeving, applicaties en data te garanderen? Dan is token authenticatie de ideale oplossing, zonder dat werknemers worden belast met ingewikkelde inlogprocedures. Er wordt gebruik namelijk gemaakt van een “two-factor authentication”, waarbij iets wat de werknemer weet (een pincode/wachtwoord) wordt gecombineerd met iets wat hij heeft (een authenticator). Een goed voorbeeld hiervan is de inlogprocedure bij internetbankieren.

RSA Security en Gemalto zijn de marktleiders op het gebied van token authentication. In tegenstelling tot de nogal grote codegenerator (reader/identifier) die door banken wordt gebruikt, hebben RSA en Gemalto een kleine sleutelhanger waarop de code wordt getoond. Ook via SMS of mobiel is mogelijk. Een sleutelbos en een mobiele telefoon heeft een werknemer altijd bij zich en dus ook het token, waardoor dit een ideale manier is van veilig inloggen.

 

Token authenticatie

 

 

Het werkt als volgt. Het authenticatie token genereert een unieke symmetrische sleutel (ook wel ‘seed record’ genoemd). Door middel van een beproefd algoritme wordt elke minuut een nieuw eenmalig wachtwoord gecreëerd. De technologie synchroniseert iedere authenticator met een beveiligingsserver. Dit zorgt voor een zeer hoog beveiligingsniveau. Door de werkwijze wordt dus tevens de identiteit van de gebruiker vastgesteld. Deze manier van inloggen en identificeren is ook zeer geschikt wanneer veel externe personen gebruik willen maken van het bedrijfsnetwerk. Bijvoorbeeld klanten van een bank, ZZP-ers die (een deel van) het bedrijfsnetwerk moeten kunnen gebruiken, en werknemers die buiten het kantoor gebruik willen maken van het bedrijfsnetwerk.

Wilt u meer weten over dit onderwerp? Neemt u dan contact met ons op.