Het wachtwoord wordt al enige tijd bestempeld als een authenticatiemiddel dat in de toekomst misschien niet meer bestaat. Volgens verschillende partijen is passwordless een realistisch perspectief, maar tegelijkertijd zijn er spelers die wachtwoorden niet zomaar zien verdwijnen. Welke richting gaan we op?
Het wachtwoord is voor velen een vertrouwd en gemakkelijk middel om in te loggen. Met een sterk wachtwoord zorg je ervoor dat alleen jij toegang krijgt tot gevoelige data, apparaten of diensten. Mensen zijn inmiddels heel erg gewend aan het invoeren van inloggegevens, al zijn er natuurlijk ook hulpmiddelen om een inlogproces anders te maken. Er zijn security-experts die dan ook verwachten dat deze hulpmiddelen uiteindelijk leiden tot een wachtwoordloze toekomst. Zij vermoeden dit vooral vanwege het feit dat het wachtwoord niet altijd even veilig en gebruiksvriendelijk is.
Onderzoeken tonen namelijk regelmatig aan dat mensen simpele wachtwoorden gebruiken. Populaire wachtwoorden zijn bijvoorbeeld ‘123456’ en ‘password’, maar ook de eigen geboortedatum. Mensen met kwade bedoelingen kunnen dit soort wachtwoorden raden. Daarom wordt aangeraden om complexe wachtwoorden te gebruiken, waarbij je een willekeurige combinatie van cijfers, letters en leestekens gebruikt. Vanuit veiligheidsoogpunt het liefst zelfs een uniek complex wachtwoord voor iedere afzonderlijke dienst die je gebruikt. Met het hergebruiken van inloggegevens, dus dezelfde credentials inzetten voor alle gebruikte diensten en apparaten, loop je namelijk het risico om gehackt te worden op allerlei plekken. Als een hacker eenmaal achter een hergebruikt wachtwoord komt, kan hij die vervolgens gebruiken voor het inloggen op allerlei diensten. Met alle gevolgen van dien.
Genoeg bezwaren om eens aan een echt wachtwoordloze toekomst te denken
Tevens wordt de manier waarop we nu inloggen niet door iedereen als gebruiksvriendelijk gezien. Stel dat je je inloggegevens voor een belangrijke zakelijke applicatie vergeet. Dan moet je een reset aanvragen bij de IT-beheerder. Hij wordt vervolgens belast met jouw resetverzoek. Dit kost jezelf en je collega tijd. En zo zijn er meer ongebruiksvriendelijke aspecten aan wachtwoorden: je voert vaak dagelijks meermaals inloggegevens in om een bepaald systeem te ontgrendelen.
Genoeg bezwaren om eens aan een echt wachtwoordloze toekomst te denken. Maar komt die er wel of blijven passwords gewoon bestaan?
Wat houdt wachtwoordloos in?
In de praktijk zijn er al authenticatiemanieren die het wachtwoord vervangen. Belangrijk hierbij is dat een gebruiker niet een password invult. Multi-Factor Authentication, waarbij een extra verificatiestap wordt uitgevoerd als aanvulling op het wachtwoord, is dus geen wachtwoordloze authenticatiemethode. Uitsluitend één factor als biometrische data of sms-verificatie gebruiken, telt wel als wachtwoordloos.
Verschillende grote IT-leveranciers en startups hebben inmiddels al manieren gevonden om het wachtwoord te vervangen, zoals het bekende Windows Hello. Hierbij wordt een gezichtsscan gemaakt om in te loggen op je Windows-apparaat. Volgens Microsoft maken inmiddels 150 miljoen mensen maandelijks gebruik van deze wachtwoordloze functionaliteit. En bij de techgigant zelf logt bijna iedere medewerkers op een dergelijke manier in.
Verschillende grote IT-leveranciers en startups hebben inmiddels al manieren gevonden om het wachtwoord te vervangen
Ook identity and access management as a service (IDaaS)-leverancier Okta is bezig om passwords verder naar de achtergrond te schuiven. Het Okta-platform verleent gebruikers door slechts één keer in te loggen toegang tot de zakelijke applicaties die zij nodig hebben. Okta controleert verschillende authenticatiefactoren, om zeker te zijn dat de gebruiker echt is wie hij zegt te zijn. Vervolgens krijgt hij of zij toegang tot bijvoorbeeld CRM- en ERP-applicaties, iets waar normaliter verschillende afzonderlijke inlogprocessen voor nodig zijn. Je kan bij Okta zelfs vaak kiezen voor een vingerafdruk- of gezichtsscan als methode om toegang te krijgen tot alle apps.
Windows Hello en Okta zijn wat ons betreft goede voorbeelden van alternatieven voor het wachtwoord, die ook echt voor verandering in het bedrijfsleven zorgen. Maar betekent het ook het einde van het wachtwoord?
Tip: Okta heeft de sleutel tot het toekomstige identiteitsbeheer in handen
Hoe realistisch is wachtwoordloos?
Ondanks de verschillende initiatieven is namelijk niet iedereen overtuigd dat het wachtwoord de komende jaren een kleinere rol gaat spelen. Zo spraken we met KnowBe4 over wat wachtwoordloos inhoudt. Het bedrijf dat security-trainingen biedt, erkent dat passwords kwetsbaar zijn. “Het lijkt me een mooie wereld als we een alternatief vinden”, stelt Security Awareness Advocate Jelle Wieringa van KnowBe4. Maar hij stelt tegelijkertijd dat er al heel lang technologieën zijn die het wachtwoord beloven te vervangen. “Al die oplossingen moeten toch wel ergens geïmplementeerd worden”, aldus Wieringa. Daardoor zie je dat wachtwoorden toch vaak ondersteund blijven worden. Soms ook vanwege het feit dat alternatieven niet altijd werken. Een sms-authenticatie werkt bijvoorbeeld niet zo goed wanneer je in een afgelegen deel van de wereld bent met weinig bereik. Het kan dan soms minuten duren tot je de sms krijgt, waarna de geldigheid alweer verlopen is.
KnowBe4 schat dat wachtwoorden momenteel door 99 procent van de diensten ondersteund worden, terwijl de ondersteuning voor alternatieven niet zo groot is. Is het dan wel realistisch om te denken dat we over enkele jaren al massaal een ander authenticatiemiddel gebruiken? Passwords zijn immers makkelijk en worden door iedereen gebruikt. Voor alternatieven is dat nog niet het geval. Natuurlijk worden ze op grote schaal gebruikt, maar het wachtwoord is nog altijd prominent aanwezig. En dat terwijl de discussie over passwordless vijf en tien jaar geleden ook al leefde.
Alternatieven genoeg, mix lijkt voorlopig realistisch
Daarnaast hoeft niet ieder alternatief per se het einde van het wachtwoord te betekenen. Een wachtwoordmanager is bijvoorbeeld een handig middel dat authenticatie van je over kan nemen. Hierin kan je ook voor iedere dienst een complex wachtwoord bewaren. Het leidt tot een veiliger alternatief en tot op zekere hoogte vervang je zo ook wachtwoorden, al zijn zulke managers wel afhankelijk van passwords. Uiteraard kleven er ook risico’s aan dit alternatief, zoals een password manager die gehackt wordt of het verliezen/vergeten van het wachtwoord van de password manager zelf. Maar een password manager maakt niet echt een eind aan wachtwoorden.
Wachtwoordloos wordt aangeboden, maar definitieve einde van het wachtwoord voorlopig niet in zicht
De genoemde vervangende authenticatiemethodes hebben echter wel gemeen dat ze mensen enthousiast maken om een alternatief voor het wachtwoord te gebruiken. Daarmee omarmen steeds meer mensen een andere authenticatiemethode dan het bekende ‘gebruikersnaam en wachtwoord’. Tegelijkertijd beschikken mensen die al alternatieven inzetten nog altijd over wachtwoorden en ze moeten ze zelfs zo nu en dan inzetten. Je kan nog zoveel alternatieven inzetten, maar eens in de zoveel tijd zal je traditionele inloggegevens invoeren bij een bepaalde dienst.
Wachtwoordloos is daarmee een middel dat sommige diensten aanbieden, maar het definitieve einde van het wachtwoord lijkt voorlopig nog niet in zicht.