Beyond Identity maakt werken zonder wachtwoorden mogelijk - Eindelijk
Voor wie bekend is met de principes van asymmetrische cryptografie ligt het antwoord op deze vraag wellicht voor de hand. Maar voor de overige (99% van de) lezers volgt hier een eenvoudige uitleg van Patrick McBride, CMO bij Beyond Identity. Dit bedrijf betrad vorige maand de Nederlandse markt en is de belangrijkste speler op het gebied van inloggen zonder wachtwoorden.
Nog even dit: wat is het doel van een wachtwoord?
Om na te gaan wat betere alternatieven voor wachtwoorden zijn, moet je je eerst beseffen waar we wachtwoorden voor gebruiken. Wachtwoorden fungeren als identificatiemiddel. Ze worden gebruikt om te controleren of jij degene bent die zich aanmeldt, en niemand anders. Maar wachtwoorden zijn echter om meerdere redenen ineffectief als identificatiemiddel. Bijvoorbeeld omdat ze makkelijk te achterhalen zijn, of gewoon op straat komen te liggen.
Wat is er mis met wachtwoorden?
Patrick McBride: “Wachtwoorden zijn wat wel een ‘symmetrisch geheim’ wordt genoemd. Dat houdt in dat het geheim bekend moet zijn aan beide kanten van de uitwisseling (degene die het wachtwoord invoert en de applicatie die controleert of het wachtwoord klopt) en aan beide kanten moet zijn opgeslagen. De gebruiker heeft het wachtwoord opgeslagen in diens geheugen (of op een plakbriefje, in een spreadsheet of in een password manager, maar dat is weer een ander verhaal). De applicatie heeft het wachtwoord in een database opgeslagen. Als je nieuwsberichten leest over grootschalige wachtwoordlekken, is dat omdat cybercriminelen erin slaagden om toegang te krijgen tot alle wachtwoorden die in de database waren opgeslagen. Deze symmetrie, het geheim dat aan beide kanten bekend is en (soms op onveilige wijze) opgeslagen, is de belangrijkste reden waarom wachtwoorden een groot beveiligingsrisico zijn.
Tekst gaat verder onder de foto.Het tweede probleem met wachtwoorden is dat ze geen middel zijn om jou te identificeren, maar iets dat je weet. Het probleem is dat anderen dit ook kunnen komen te weten. Kijk bijvoorbeeld naar twee huisbewakingssystemen. Het ene systeem wordt uitgeschakeld wanneer er een toverwoord wordt uitgesproken. Het andere systeem wordt gedeactiveerd met een fysieke sleutel. Iedereen kan meeluisteren wanneer je het toverwoord zegt, of toverwoorden blijven uitproberen totdat ze het juiste hebben gevonden. Maar niemand weet hoe je fysieke sleutel eruitziet en kan er geen kopie van maken zolang men die niet in zijn bezit heeft. Dus waarom zou je vertrouwen op een wachtwoord voor de bescherming van inbox of applicatie voor internetbankieren? Het is net als een toverwoord dat iemand die afluistert makkelijk kan opvangen.”
Hoe werkt een asymetisch geheim?
“In plaats van gebruik te maken van een symmetrisch geheim zoals een wachtwoord, werkt Beyond Identity met iets wat een asymmetrisch geheim wordt genoemd”, vervolgt McBride. “Dit geheim bestaat slechts aan één kant, namelijk die van de gebruiker die toegang tot een applicatie zoekt. Het geheim wordt nooit bekend bij de applicatie die de toegang verleent. Hierbij wordt gebruikgemaakt van twee sleutels: een private sleutel die je computer, smartphone of tablet nooit verlaat en een publieke sleutel die beschikbaar wordt gesteld aan de applicaties waarop je je wilt aanmelden.
Deze publieke sleutel fungeert ondanks zijn naam eerder als een sleutelgat dan als een sleutel. Hij wordt geopend met een digitale handtekening (ook wel certificaat genoemd) die wordt aangemaakt met behulp van je private sleutel. De publieke sleutel kan alleen vaststellen of hij wel of niet door de digitale handtekening kan worden ontgrendeld. Hij heeft geen zicht op je private sleutel, en je private sleutel kan niet worden gekopieerd of afgeleid uit de publieke sleutel.
Dit biedt een oplossing voor het probleem dat je geheim wordt opgeslagen in een database waartoe iemand anders toegang zou kunnen krijgen. Je geheim wordt alleen op je apparaat opgeslagen. Dat betekent dat iemand anders zich alleen op je applicaties kan aanmelden als die toegang tot je apparaat heeft en in staat is om het te ontgrendelen.
Maar dat is niet alles: zelfs de gebruiker die zich op de applicaties aanmeldt ‘kent’ het asymmetrische geheim niet, tenminste niet op dezelfde manier waarop die een wachtwoord kent. Er is niets dat je zou kunnen noteren of per ongeluk zou kunnen onthullen aan iemand die daarmee toegang tot je accounts krijgt.”
Net zo veilig als encryptieprotocollen die de bank gebruiken
Voor de duidelijkheid: deze methode staat bekend als public key infrastructure (PKI). En het gebruik ervan als oplossing voor identiteitscontrole is niet nieuw. Beyond Identity heeft het concept van de persoonlijke certificaatautoriteit geïntroduceerd. Deze autoriteit stelt PKI in staat om identiteiten te verifiëren en wachtwoorden te vervangen. Dit concept wordt al tientallen jaren gebruikt voor het beveiligen van internettransacties met behulp van de encryptieprotocollen SSL en TLS. Banken en webwinkels maken gebruik van TLS, dat PKI voor verificatiedoeleinden inzet. Dat geldt ook voor elke website waarvan het internetadres vooraf wordt gegaan door een hangslotpictogram.
In deze gevallen wordt TLS (en PKI als onderliggende basis) gebruikt om na te gaan of je bent aangekomen bij de juiste website of bij een nagebootste website. McBride: “Beyond Identity heeft deze technologie aangepast, zodat die kan controleren of de gebruiker die toegang zoekt tot een applicatie daadwerkelijk is wie hij of zij beweert te zijn.”
Tekst gaat verder onder de foto.Waarom wil Beyond Identity de Nederlandse markt betreden?
“We vinden heel EMEA enorm belangrijk en ons doel is natuurlijk om in de gehele regio succes te hebben, maar de Benelux vinden we erg interessant omdat het een zeer goede technologische reputatie heeft. Nederland bevat veel early adopters en we zijn ervan overtuigd dat Nederlandse bedrijven onze oplossing veelvuldig zullen gaan inzetten. Want wie heeft er geen hekel aan wachtwoorden? Onze oplossing is geschikt voor alle soorten organisaties en we hebben een breed netwerk. Onze doelgroep varieert van bedrijven met 20/50 medewerkers tot multinationals. Alle bedrijven die voorop lopen op het gebied van Cloud begrijpen dat onze oplossing enorme waarde voor hen kan bieden.”
“Maar, zelfs in een regio die op technologisch gebied zo vooruitstrevend is, worden wachtwoorden gelekt en gestolen. Wachtwoorden zijn gewoon het grootste beveiligingslek. Het vervangen van wachtwoorden door een veiligere oplossing weerhoudt aanvallers er niet van om het te proberen, maar het houdt misbruik van wachtwoorden en ransomware wél tegen.” McBride waarschuwt: Beveiliging is een continu proces, als je denkt dat je alles hebt geregeld en je niets meer hoeft te doen, ga je de fout in. “Het is essentieel om te blijven investeren in nieuwe, verbeterde maatregelen, en in technologie die de beveiliging naar een hoger niveau tilt. Daar zijn wij voor.”