Wachtwoorden zijn onhandig en creëren tal van beveiligingsproblemen, dus waarom kunnen we ze niet gewoon vervangen? Het korte antwoord is dat er geen betere methode is. Nog. Bedrijven zijn terughoudend tegenover hun gebruikers, en hoewel de meeste gebruikers beweren dat ze veiligheid belangrijker vinden dan gemak, werkt dit in de praktijk anders. De eerste donderdag in mei is World Password Day, een speciale dag om stil te staan bij (wan)gedrag rond wachtwoorden.

Gemak dient de mens: onderzoek van Google stelde dat zelfs wanneer accounts een keer zijn gehackt, gebruikers in nog minder dan 10 procent multifactor-authenticatie (MFA) toepast omdat het te complex overkomt. Alle authenticatie is een balans tussen pragmatisme, inzetbaarheid en uiteraard veiligheid. Om wachtwoorden te vervangen, moet een nieuwe oplossing op die drie fronten gelijk zijn aan wachtwoorden en deze op ten minste één vlak overschrijden om het aantrekkelijk te maken voor bedrijven en gebruikers.

Een betere MFA

Een hypothetische oplossing is onzichtbare multifactor-authenticatie (iMFA). In tegenstelling tot de MFA-oplossingen van vandaag, die doorgaans vertrouwen op een wachtwoord in combinatie met een sms of een eenmalige code via e-mail of een fysiek token, vertrouwt iMFA op factoren die onzichtbaar zijn voor de gebruiker. Het zou het geheel een stuk gemakkelijker moeten maken.

Als eerste zorgt webauthenticatie ervoor dat authenticatie non-binair plaatsvindt waarbij alle beschikbare informatie voor elke transactie optimaal wordt bekeken. Alle context van de interacties van een gebruiker kan worden gebruikt om inzicht te geven in het risicoprofiel van een gebruiker.

Daarnaast moet beveiliging aan de achterkant worden geboden, zodat het klanten niet hindert. Door beveiliging te bieden zonder impact op de klant, kunnen bedrijven bedreigingen tegen minimale kosten verminderen zonder gebruikers te frustreren. De meeste e-mailproviders classificeren e-mail op basis van bekende patronen van aanvalsgedrag. Deze verdedigingsmechanismen zijn niet gratis of eenvoudig te implementeren, waarbij grote operators vaak aanzienlijke middelen besteden om gelijke tred te houden met de malafide praktijken. Toch zijn deze kosten doorgaans veel lager dan wanneer gebruikers hun gedrag moeten veranderen.

iMFA kan worden geïmplementeerd met een combinatie van tools zoals WebAuthn en gedragssignalen. Het opslaan van inloggegevens en de gebruikersverificatie kunnen veilig worden gedaan door WebAuthn, en de continue autorisatie kan worden uitgebreid met gedragssignalen. De traditionele MFA-factoren – ‘iets wat je weet’, ‘hebben’ en ‘zijn’ – komen van WebAuthn. En de nieuwste factor, ‘iets wat je doet’, komt van gedragssignalen, waaronder nieuwe soorten biometrie.

Bovendien vereist het genereren van deze verscheidenheid aan signalen slechts een enkel gebaar van de gebruiker, wat veel minder moeite kost dan het invoeren van een wachtwoord. Door deze methoden te combineren en voortdurend te blijven ontwikkelen door middel van machine learning, kunnen we het zeldzame resultaat behalen van verhoogde beveiliging met minder gebruikersinteractie.

Een tijdelijke oplossing

Maar iMFA kan wachtwoorden niet van de ene op de andere dag vervangen. Gebruikers hebben een geleidelijke overgang nodig. Websites zullen nog steeds een oplossing zoals WebAuthn moeten opnemen in hun authenticatieprotocollen. Zonder de urgentie van een specifieke beveiligingsdreiging, zullen veel sites waarschijnlijk de tijd nemen om deze standaard over te nemen. Bovendien kan het integratieproces voor zeer grote organisaties buitengewoon gecompliceerd zijn. Dat is vermoedelijk de reden waarom browser-leveranciers aanvankelijke wel hiermee aan de slag gingen, maar grote e-commercebedrijven en sociale-mediaplatformen nog niet.

Als de adoptie van een nieuwe methode jaren gaat duren, wat moeten bedrijven dan in de tussentijd doen? Door de factor tijd weg te nemen bij aanvallers. Aanvallers die credential stuffing toepassen, zijn meestal financieel gemotiveerd en hebben geen oneindig kapitaal. Als de tijd die ze nodig hebben om resultaat te boeken, wordt verlengd, zullen de meeste cybercriminelen overstappen op makkelijkere doelwitten.

Introductie van tijd

Een goede eerste stap is om te zorgen dat gelekte inloggegevens moeilijker is te decoderen. Het lijkt misschien voor de hand liggend, maar elk bedrijf moet zijn wachtwoordbeveiliging upgraden. Als wachtwoorden worden gehasht met MD5, moeten organisaties upgraden naar iets veiliger, zoals bcrypt. Dit zou ervoor zorgen dat wanneer een aanvaller erin slaagt een database te kraken, het een redelijke lange tijd zal duren voordat aanvallers bij de gecompromitteerde inloggegevens komen, en dus voordat ze die kunnen gebruiken.

Organisaties moeten ook onderzoeken hoe ze aanvallers kunnen dwingen om unieke aanvallen voor elk doelwit te ontwikkelen. Stel dat een geavanceerde aanvaller 100.000 gedecodeerde inloggegevens in handen heeft gekregen waarvan ze redelijk zeker zijn dat niemand anders er toegang toe heeft, althans voorlopig. De aanvaller weet dat 100.000 nieuwe inloggegevens gemiddeld moeten leiden tot ongeveer 1.000 accountovernames op een grote website.

Voor zo’n geavanceerde aanvaller is het overnemen van meer dan 1.000 retailaccounts misschien niet de moeite waard als hij enkele weken nodig heeft om de aanval te ontwikkelen, testen, lanceren en er geld mee te verdienen. Het zou echter de moeite waard zijn om meerdere doelen tegelijk aan te vallen en in tienduizenden accounts tegelijk in te breken. De sleutel zou zijn om bedrijven te vinden die kunnen worden aangevallen met dezelfde software, met andere woorden, doelen met een vergelijkbare infrastructuur.

Het resultaat is dat deze aanvaller zich niet slechts op één bedrijf richt, maar op meerdere tegelijk – in dit geval een retailer, bank, socialmediabedrijf en mobiele app die een ritje maakt. Ze hebben een aanval ontwikkeld die zich richt op de Android-versie van mobiele apps die op hetzelfde framework zijn gebouwd. Hun aanval is zeer geavanceerd, waarbij geen enkele bron meer dan twee keer wordt hergebruikt, waarbij elke snelheidsbeperkende maatregel die het beoogde bedrijf heeft geïmplementeerd, wordt omzeild. Maar hoewel de aanvaller te geavanceerd was om zoiets als een IP-adres opnieuw te gebruiken bij het aanvallen van een enkel doelwit, dachten ze niet dat ze zouden worden betrapt op het recyclen van bronnen over verschillende doelen.

We weten dat dit is hoe aanvallers denken, omdat deze exacte situatie zich in 2018 voordeed bij vier klanten van Shape. Omdat ze allemaal op een gedeeld platform opereerden, was een aanval op een van hen in feite een aanval op allemaal. Omdat de aanvaller middelen en gedragspatronen in alle vier de bedrijven binnen een zeer korte tijdspanne hergebruikte, was Shape in staat om zeer snel voldoende gegevens te verzamelen om de aanval te identificeren. Het bundelen van de aanvallen werkte dus eigenlijk in het nadeel van de aanvaller, maar alleen omdat informatie over verschillende doelen werd gedeeld.

Het is onmogelijk om 100 procent van de aanvallen 100 procent van de tijd onmiddellijk te detecteren. Het is wel mogelijk om aanvallen zo duur te maken dat aanvallers snel opgeven of zelfs niet proberen binnen te komen. Wat voor ons geldt, geldt ook voor hen: tijd is geld. En tot de tijd daar is dat we echt goede alternatieven hebben, gebruiken we maar een sterk wachtwoord.