Paswoordbeheer en Multi-Factor Authenticatie (MFA) instellen: toch niet zo eenvoudig

Zowel in de cybersecurity-opleidingen die Patrick Coomans, Expert Digital products & Entrepreneurship bij Agoria, geeft aan bedrijven als in de Cyberstart-richtlijnen die hij schrijft benadrukt hij steeds het belang van een veilige maar gebruiksvriendelijke manier om u als gebruiker kenbaar te maken aan een IT-systeem (authenticatie, inloggen). In feite is dit een erg oud probleem in IT: Patrick schreef er 20 jaar geleden al over, maar moet bij nader inzien vaststellen dat we de laatste decennia bitter weinig vooruitgang boekten. Gebrekkige authenticatie is nog steeds een van de belangrijkste en meest uitgebuite kwetsbaarheden in IT-systemen.

Iedereen die een IT-systeem onder haar of zijn beheer heeft is het er steeds volmondig mee eens dat veilige authenticatie een van de niet-negotieerbare maatregelen in cyberveiligheid is, net zoals het maken van back-ups en het installeren van beveiligingsupdates. Helaas bewijst de praktijk een andere realiteit, ook al zijn de technische middelen al tientallen jaren beschikbaar. Belangrijkste oorzaken: gebruikersadoptie en verplichte compatibiliteit met oude IT-systemen (“legacy”). Maar ook softwarefabrikanten hebben nog veel opportuniteit tot verbetering en uniformisatie van de wijze waarop gebruikers kunnen inloggen. Daarom ga ik in dit artikel wat verder in op het belang van veilige authenticatie, maar ook op enkele belangrijke uitdagingen en bezwaren, en hoe daarmee om te gaan als beheerder van een IT-systeem.

Toegang krijgen tot gegevens en applicaties is wellicht hét vervelendste aspect voor de meeste gebruikers. De overvloed aan paswoorden is nog amper te overzien, waardoor mensen manieren zoeken om zich het leven te vergemakkelijken. Ze doen dat door bijvoorbeeld op alle websites en applicaties eenzelfde paswoord te gebruiken dat makkelijk te onthouden is. En laat er nu net een welig tierende handel zijn in gestolen paswoorden. Het stelen van paswoorden blijft vrij eenvoudig, enerzijds omdat uitbaters van online toepassingen dikwijls onvoldoende maatregelen nemen om diefstal te voorkomen (bv. beveiligingsupdates uitvoeren), en anderzijds omdat mensen blijven vallen voor goed ontworpen phishing-aanvallen en hun gegevens op frauduleuze websites invullen.

Laat het duidelijk zijn dat paswoorden die al lang in gebruik zijn hoogstwaarschijnlijk al circuleren bij cybercriminelen. Het is dus belangrijk om paswoorden regelmatig te vervangen, en liefst door paswoorden die zich niet gemakkelijk laten raden. En daar begint de discussie, want er bestaan heel wat tegenstrijdige richtlijnen, en heel wat experts trappen in de val van het proberen formuleren van één richtlijn die voor alle situaties en elke context geldig is, en dat is volgens Patrick Coomans onmogelijk. Bovendien is er veel voortschrijdend inzicht in deze materie, en verschillen de richtlijnen van vorig jaar al van die van dit jaar.

Onderaan kan de persoonlijke interpretatie van Patrick Coomans vinden met raadgevingen in enkele veel voorkomende contexten.

In een ver verleden bewaarde Patrick Coomans al zijn gebruikersnamen en paswoorden in een paswoord-geëncrypteerd Excel-bestand. U ook? Dit was zeker geen ideale toestand, en daarom was hij erg verheugd met de opkomst van paswoordmanagers. Maar wat is een paswoordmanager, en wat zijn de voordelen en uitdagingen?

Een paswoordmanager is software die uw gebruikersnamen en paswoorden per toepassing kan invullen en opslaan op een veilige manier, en die in staat is om paswoordwijzigingen te capteren zodat het paswoord dat in de paswoordmanager opgeslagen staat steeds de juiste, laatste versie is. Paswoordmanagers baseren zich op één “master paswoord” en geavanceerde cryptografische methoden om alle verzamelde paswoorden veilig op te slagen.

Goede paswoordmanagers zijn bovendien ook in staat om zelf veilige nieuwe paswoorden voor te stellen en deze te synchroniseren tussen alle computers en mobiele toestellen van de gebruiker. Ook webbrowsers bieden wat gelijkaardige functionaliteit aan, maar Patrick zijn advies is om dit niet te gebruiken.

Helaas, toen in de loop van 2022 bekend werd dat sommige bekende paswoordmanagers gehackt waren, en dat er tekortkomingen bleken te zitten in de manier waarop ze de paswoorden veilig opsloegen, kan Patrick wel verzekeren dat hij gevloekt heeft. In één klap waren al zijn paswoorden gestolen, tenminste als men zijn erg lang en complex master paswoord zou kunnen raden. Door deze hack heeft deze kwetsbaarheid gelukkig al zoveel aandacht gekregen dat we er nu wel op kunnen vertrouwen dat huidige gereputeerde paswoordmanagers kunnen vertrouwd worden.

Hét grote voordeel van paswoordmanagers is dat voor elke individuele applicatie een apart paswoord kan ingesteld worden, eentje dat zo lang en complex is dat het onmogelijk kan onthouden worden. En dat hoeft ook niet, want de paswoordmanager doet alles voor u.

Hét grote nadeel van paswoordmanagers is echter dat de adoptie nog steeds beperkt is, omdat de gebruikservaring nog verre van optimaal is. Voor iemand die goed met computers kan werken en begrijpt wat een paswoordmanager achter de schermen doet, is een paswoordmanager een zegen. Maar voor sporadische computergebruikers of mensen die hier niet mee opgegroeid zijn, is het een hele uitdaging om vlot te leren werken met een paswoordmanager.

Patrick zijn advies aan bedrijven is om het gebruik van paswoordmanagers te omarmen, maar om een weloverwogen technologische keuze te maken, na op kleine schaal verschillende oplossingen en use cases getest te hebben. Bovendien is het absoluut noodzakelijk om een deel van het budget toe te wijzen aan opleiding in het gebruik van paswoordmanagers, en ondersteuning nadien (denk aan een Q&A met screenshots en filmpjes). Zonder goede omkadering loopt het invoeren van een paswoordmanager gegarandeerd fout. Doe de gebruiksvriendelijkheidstest eens door de werking uit te leggen aan je buurvrouw, schoonvader, of je partner thuis.

Nota: bij grote ondernemingen zit de functionaliteit van een paswoordmanager dikwijls ingebakken in een Enterprise Single Sign-on (eSSO) oplossing.

Omdat de industrie goed beseft dat het gebruik van paswoorden toch nog iets middeleeuws over zich heeft, gebruiksonvriendelijk en onveilig is, bedacht diezelfde industrie als oplossing het toevoegen van een of meerdere extra authenticatiemiddelen bovenop het vervelende paswoord. Dit wordt ook Multi-Factor Authenticatie (MFA) genoemd.

Sterke MFA bestaat typisch uit iets dat je weet (paswoord of pincode), iets dat je hebt (een toestel), en iets dat je bent (zoals biometrische gegevens). Veel gsm-toestellen maken ons vandaag het leven bijvoorbeeld al heel wat gemakkelijker doordat ze u laten inloggen met een vingerafdruk of gezichtsherkenning. Op computers in bedrijven zijn deze methoden eerder sporadisch terug te vinden.

Om MFA succesvol in te voeren is het noodzakelijk om per toepassing de bedrijfscontext en het ermee gepaard gaande risico goed te begrijpen: in welke gevallen is het bedrijf bereid om bepaalde risico’s wel of niet te aanvaarden?

Enkele voorbeelden om dit te illustreren:

• Het gebruik van een authenticator app op een smartphone, of het ontvangen van een code per SMS, is niet mogelijk in omgevingen waar mensen geen (bedrijfs)-gsm hebben of kunnen gebruiken. Denk maar aan een productie-omgeving, bouwwerven, ziekenhuizen, explosie-gevoelige omgevingen, of omgevingen waar gsm's geen ontvangst hebben. Hier is een mogelijke oplossing om gebruik te maken van een oude, beproefde oplossing: hardware tokens.
• Sommige gebruikers hebben maar heel korte computersessies, denk maar aan centrale “kiosk” computers waar bijvoorbeeld meerdere verpleegsters kortstondig op inloggen om de medicatie van patiënten te consulteren. Hier bestaat een mogelijke oplossing erin om gebruik te maken van zogenaamde “enterprise single sign-on” oplossingen (eSSO) in combinatie met RFID-badges.
• Heel wat computersystemen ondersteunen nog steeds het gebruik van MFA niet. Reken daar uiteraard de oude, verouderde systemen bij zoals mainframes, maar soms is het gebrek aan MFA-flexibiliteit in moderne applicaties ronduit verbazingwekkend. Zijn advies is om dit goed te onderzoeken vooraleer over te gaan tot bestelling of ingebruikname. Het ontbreken van MFA in een applicatie wijst er helaas dikwijls op dat ook andere fundamentele cybersecurity-maatregelen in deze applicatie niet voorzien werden. Gebruik van deze applicatie kan dus een buitenproportioneel risico voor de onderneming vormen.
• In sommige gevallen kan het risico van het niet of te traag kunnen inloggen groter zijn dan het risico op ongeoorloofde toegang. Denk maar aan een operatiekwartier in een ziekenhuis, of een operator van een risicovolle machine. Hier is een mogelijke oplossing om de toegang tot de ruimte waarin zich dergelijke niet-beveiligde toestellen bevinden te beperken tot een gelimiteerd aantal geautoriseerde personen, én om dergelijk gebruik goed te monitoren en auditen.
• Als werknemers zich al binnen een goed beveiligd gebouw bevinden, is het dan nodig om bij elke inlogpoging ook te vereisen dat ze zich met een extra factor authenticeren? Of is éénmaal voldoende? Een mogelijke oplossing is om locatie-afhankelijke MFA policies in te stellen, die op een intelligente risico-gebaseerde manier omspringen met het al dan niet vereisen van een extra authenticatie-stap.

Alles samengevoegd mag het duidelijk zijn dat het niet zo eenvoudig is om voor alle applicaties een eenduidig beleid in te voeren. Daarom vat Patrick hieronder enkele richtlijnen samen:

• Zet maximaal in op het gebruik van paswoordmanagers (of eSSO), maar zorg voor goede omkadering zoals opleiding, documentatie en ondersteuning.
• Voor applicaties en gebruikers waarvoor paswoordmanagers kunnen gebruikt worden raadt hij aan om erg lange complexe paswoorden af te dwingen. Dit moedigt de adoptie van de paswoordmanager aan.
• Voor applicaties en gebruikers waarbij géén paswoordmanager gebruikt wordt, raadt hij aan om de paswoordpolicies te laten afhangen van twee aspecten:

1. Indien voor een applicatie ook MFA gebruikt wordt, dan kan u gebruikers best aanraden om voldoende lange paswoordzinnen of combinaties van woorden te gebruiken.
2. Laat het risico primeren: leg strengere eisen op voor erg kritische applicaties, en verlaag de eisen voor applicaties met een laag risico-profiel.

• Voorzichtigheidshalve blijft hij voorstander van het regelmatig wijzigen van paswoorden. Patrick raadt aan om dit jaarlijks af te dwingen. Maar, in plaats van een standaard policy in te stellen dat alle paswoorden na 365 dagen moeten gewijzigd worden, zou u er ook voor kunnen kiezen om bepaalde groepen gebruikers tezamen te verplichten om ten laatste op een vooraf bepaalde en gecommuniceerde datum hun paswoord te wijzigen. Het voordeel van deze aanpak is dat deze groep gebruikers hier dan ook heel gericht vooraf de nodige waarschuwingen en onderricht over kan krijgen. Niets is immers vervelender dan bv. midden tijdens een dringende interventie of een belangrijke presentatie onverwacht het paswoord verplicht te moeten wijzigen.

Veiligheid is geen nice to have meer. Net zoals in een auto ook ABS en airbags standaard zonder meerkost voorzien zijn, zouden bouwers van software ook standaard méér veiligheid moeten voorzien, zoals bijvoorbeeld MFA, contextuele paswoord policies en step-up-authenticatie, federation, SSO, enz. Er is immers iets heel erg ondemocratisch aan het extra aanrekenen voor veiligheidsfeatures, of deze features enkel maar ter beschikking te stellen aan grote ondernemingen.

Voorzie een betere integratie met paswoordmanagers of eSSO oplossingen: zorg dat invulschermen goed en correct kunnen gedetecteerd worden, idealiter zou een authenticatie of een paswoordwijziging zonder veel gebruikersinteractie moeten kunnen gebeuren.

Beveilig uw eigen ontwikkeltools zoals github, jira en confluence ook met MFA.

Volg ten slotte ook alle richtlijnen voor het omgaan met authenticatie, zoals beschreven in ondermeer de OWASP best practices voor developers.

Schrijf in voor cyberstart.be, de gratis e-tutorial voor bedrijven om via één e-mail per week een cybersecurity stappenplan op te bouwen.