Op Wereld Wachtwoord Dag benadrukt Sophos de beperkingen van het wachtwoord als beveiligingsmethode en van op kennis gebaseerde authenticatiemethoden. De huidige geavanceerde technieken, tactieken en procedures (TTP’s) van cybercriminelen zorgen ervoor dat zij eenvoudig traditionele authenticatiemethoden kunnen omzeilen. Uit het 2025 Active Adversary-rapport van Sophos blijkt ook dat gecompromitteerde inloggegevens voor het tweede jaar op rij de belangrijkste aanvalsmethoden zijn (41% van de gevallen). Daarom is het essentieel dat gebruikers en organisaties krachtigere methoden implementeren om hun data te beschermen tegen diefstal van inloggegevens.
De beperkingen van op kennis gebaseerde bescherming
Twee- of multifactorauthenticatie (2FA/MFA)-oplossingen worden op grote schaal gebruikt. Maar net als bij een wachtwoord vertrouwen deze extra beschermingslagen vaak op op kennis gebaseerde geheime codes die worden gedeeld via sms of authenticatie-applicaties. Helaas zijn veel van deze methoden nog steeds kwetsbaar. Hackers beschikken over tools die eenvoudig deze beveiligingen omzeilen door phishing te automatiseren of sessie-cookies te stelen, zoals evilginx2.
Dit betekent dat we, door kwetsbare toevoegingen, voortdurend het moment uitstellen waarop wachtwoorden overbodig worden. De realiteit van het cyberdreigingslandschap zou organisaties moeten aanzetten tot een paradigmaverschuiving, weg van het wachtwoordmodel en op kennis gebaseerde gedeelde geheimen.
WebAuthn en toegangssleutels: naar sterkere multifactorauthenticatie?
Het WebAuthn-protocol – dat met name toegangssleutels of passleutels gebruikt – wordt door cyberbeveiligingsexperts gezien als dé manier om bescherming te bieden tegen phishing. Als iemand een account aanmaakt via deze methode, dan wordt er een uniek publiek/privaat cryptografisch sleutelpaar gegenereerd. Deze worden vervolgens lokaal opgeslagen: de publieke sleutel op de server van de locatie en de private sleutel op het apparaat van de gebruiker, samen met de naam van de locatie en de gebruikers-ID.
De gebruiker heeft niet langer een wachtwoord of geheime code nodig om in te loggen. In plaats daarvan stuurt de server een digitaal authenticatieverzoek dat alleen kan worden opgelost als de gebruiker fysiek in het bezit is van een apparaat en als de gebruiker kan bewijzen dat hij/zij de eigenaar is van de private sleutel – bijvoorbeeld via biometrische verificatie. Authenticatie is dus nog steeds gebaseerd op twee factoren, maar deze zijn niet afhankelijk van kennis van de gebruiker. Fysiek bezit van een apparaat en de biometrische kenmerken van de gebruiker tellen. Daarom kunnen ze in principe niet worden gestolen met conventionele phishingmethoden.
Bovendien bevat het authenticatieproces een tweerichtingscontrole waarmee de gebruiker de identiteit van de service kan verifiëren aan de hand van het domein van de locatie, dat wordt verzonden wanneer de server om authenticatie vraagt. In tegenstelling tot methoden die gebruik maken van op kennis gebaseerde wachtwoorden en geheime codes, is de gebruiker niet langer de enige die zijn/haar legitimiteit moet bewijzen.
Voorzorgsmaatregelen voor een krachtige, vereenvoudigde authenticatie
Deze nieuwe industriestandaard, gebaseerd op de FIDO2-standaard, lijkt bewezen bescherming te bieden tegen phishing – de belangrijkste dreiging voor diefstal van inloggegevens – en tegelijkertijd de authenticatie voor gebruikers te vereenvoudigen. Maar hoewel WebAuthn een grote stap voorwaarts is, zijn er nog steeds verschillende kwetsbaarheden en blijft waakzaamheid geboden:
- Het is essentieel dat het apparaat of de cloud waar de sleutels worden opgeslagen, veilig is;
- Voor de succesvolle overstap naar WebAuthn is buy-in en adoptie door organisaties en afdelingen nodig;
- De diefstal van sessie-cookies blijft een aanvalsvector die cybercriminelen kunnen gebruiken om deze bescherming te omzeilen.
Het is belangrijk om te onthouden dat cybercriminelen hun aanvalsmethoden voortdurend perfectioneren. Daarom zou het implementeren van deze technologieën een strategische cyberbeveiligingsprioriteit moeten zijn van organisaties.
Chester Wisniewski, Director, Global Field CISO bij Sophos, zegt: “We moeten af van het vertrouwen op wachtwoorden en gedeelde geheimen. Toegangssleutels of passleutels bieden de krachtigste oplossing voor het bouwen aan een toekomst zonder wachtwoorden, phishing en, hopelijk, grootschalige compromittering.”
