Screenshot YouTube
Wat is je wachtwoord?
De vraag doet de meesten van ons ineenkrimpen omdat we allemaal een triljoen wachtwoorden hebben voor bankieren, winkelen en al het andere dat we online doen.
Maar met een wachtwoord hoeft u niets te onthouden of in te typen. Onze vinger aanraken of ons gezicht laten zien aan een apparaat voor authenticatie is zoveel gemakkelijker.
En het is ook veiliger, zegt Tal Zamir, CTO van het in Tel Aviv gevestigde Perception Point , wiens software elke vorm van hackaanval op de e-mail, webbrowsers en cloudsamenwerkingskanalen van een bedrijf detecteert, onderzoekt en herstelt.
"De recente beslissing van Google om wachtwoorden uit te faseren en te vervangen door wachtwoorden is een belangrijke en noodzakelijke stap in de goede richting", vertelt Zamir aan ISRAEL21c.
Tal Zamir, CTO van Perception Point. Foto met dank aan Perception Point via ISRAEL21c
"De verhuizing is een reactie op de toenemende complexiteit van phishing- en diefstal van inloggegevens, die steeds vaker voorkomen in het huidige digitale landschap", legt hij uit.
"Door een fysieke sleutel te vereisen, hoopt Google het voor aanvallers veel moeilijker te maken om gebruikerssessies te stelen, zelfs als ze erin zijn geslaagd om wachtwoorden en tweede-factor-authenticatiecodes te stelen."
Maar hoewel wachtwoorden misschien gemakkelijker en veiliger zijn dan wachtwoorden, zijn ze niet het antwoord op al onze problemen, zegt Zamir.
Het probleem met wachtwoorden
"Het grootste probleem met wachtwoorden is dat mensen ze vergeten", zegt Zamir.
Velen proberen dat probleem te vermijden door hetzelfde wachtwoord voor verschillende sites te gebruiken. Maar dat creëert gewoon een ander probleem: een hacker die het wachtwoord steelt, heeft nu toegang tot meer dan één account.
Het stelen van wachtwoorden en persoonlijke identiteiten is gemakkelijker geworden naarmate phishingtechnieken geavanceerder zijn geworden, zegt hij. Perception Point heeft het afgelopen jaar een toename van 356% vastgesteld in geavanceerde phishing-aanvallen.
Een oplossing is tweefactorauthenticatie (of multifactorauthenticatie), waarbij je naast een wachtwoord een code nodig hebt die via sms wordt verzonden.
“Hoewel het veiliger is dan alleen een wachtwoord, is het nog steeds een probleem, want als je een sms ontvangt op je telefoon of op een andere manier, kunnen aanvallers zowel je wachtwoord als je tweede-factor-authenticatie stelen. Ze kunnen de gsm-provider ook overtuigen om je nummer door te geven aan een aanvaller, die het sms-bericht in jouw naam krijgt”, zegt Zamir.
“Dit gebeurt elke dag. Wachtwoorden en tweedefactorauthenticatie lossen het probleem van identiteitsdiefstal niet echt op.”
Veilig, gebruiksvriendelijk
Daarom werken Microsoft, Apple en Google samen met een consortium van bedrijven aan een veiligere en gebruiksvriendelijkere authenticatiemethode, zegt Zamir.
"Het komt zelden voor dat al deze techreuzen samenwerken aan een initiatief, en dat is de sleutel tot het potentiële succes", zegt hij.
“In deze nieuwe wereld zullen er geen wachtwoorden zijn, alleen biometrische gegevens. Als u zich wilt authentiseren met een applicatie of website, hoeft u alleen maar uw telefoon of ander apparaat te ontgrendelen met uw vingerafdruk of gezichts-ID en dat is alles. De computer of telefoon logt je in en bevat al je authenticatiegeheimen.”
Op basis van cryptografie zijn wachtwoordsleutels veilig, gemakkelijk, foutbestendig (in tegenstelling tot wachtwoorden) en phishing bestendig omdat u geen wachtwoord of code heeft die iemand kan stelen.
We kunnen al wachtwoordsleutels gebruiken op onze apparaten, bijvoorbeeld wanneer we inloggen bij Google of een aankoop doen met Apple Pay.
Zamir voorspelt dat het nog vijf tot tien jaar zal duren voordat elke organisatie overgaat op wachtwoordsleutels.
"Helaas zijn er in de nabije toekomst nog steeds geheimen die je kunt delen met aanvallers", zegt Zamir.
De vangst
Wanneer wachtwoordsleutels wijdverbreid worden, zullen ze traditionele phishing-aanvallen verminderen, maar kunnen beveiligingsinbreuken en identiteitsdiefstal niet volledig voorkomen.
Als uw apparaat bijvoorbeeld is zoekgeraakt, heeft u een "herstelcode" nodig om uw identiteit te bewijzen. Om een code te krijgen, heb je - je raadt het al - een wachtwoord of tweefactorauthenticatie nodig die kan worden gestolen.
“Phishing gaat gewoon over in het domein van het stelen van je herstelcode in plaats van je wachtwoord. We zien aanvallers dit vandaag al doen. Zodra aanvallers toegang krijgen tot uw herstelcode, krijgen ze onmiddellijk toegang tot al uw accounts, omdat de toegangssleutel een hoofdsleutel is voor de geheimen op uw apparaat.”
Evenmin kunnen wachtwoordsleutels bescherming bieden tegen "social-engineering"-aanvallen die misbruik maken van menselijke, niet cyber-zwakte.
Deze aanvallen proberen niet uw account over te nemen of uw identiteit te stelen. Ze gebruiken gewoon een authentiek uitziend bericht, zogenaamd van een persoon of bedrijf dat u vertrouwt, waarin u wordt opgedragen geld over te maken of een andere schadelijke actie te ondernemen.
"Ik vraag niet om een wachtwoord, ik doe me gewoon voor als een CEO die je vertelt geld over te maken", zegt Zamir.
“ Generatieve AI zal het voor deze berichten nog gemakkelijker maken om zich voor te doen als iemand en u als individu te targeten, wetende wat u triggert. Ik kan een zeer overtuigende e-mail opstellen, zonder links of bijlagen, die u zal overtuigen om geld naar mijn rekening over te schrijven”, legt Zamir uit.
"Social-engineering-aanvallen kunnen alleen worden gestopt door geavanceerde beveiligingsoplossingen op e-mail en andere kanalen."
Kwaadaardigheid van malware
Passkeys voorkomen ook geen malware.
Malware kan uw apparaat binnendringen wanneer u een document of andere bijlage opent in een bericht dat is verzonden door een kwaadwillende persoon, of het kan binnenkomen via een app die u naar uw telefoon downloadt nadat u ermee heeft ingestemd deze toegang tot uw gegevens te verlenen.
"De malware is nu eigenaar van uw pc of apparaat waar uw wachtwoord is opgeslagen en ik kan acties blijven ondernemen in uw naam", zegt Zamir. "Ik kan u niet nadoen door uw accountgegevens te stelen, maar door op het apparaat te zitten waarop u uw acties uitvoert."
Zamir raadt aan om twee keer na te denken voordat je een bijlage opent of op "akkoord" tikt wanneer een app toestemming vraagt om toegang te krijgen tot je foto's, contacten en documenten.
“Beveiligingssoftware kan daar niet bij helpen. Het is meer een kwestie van je ervan bewust zijn dat wanneer je toestemming verleent aan een app die je hebt gedownload, niets hen ervan weerhoudt om alles van je telefoon te halen en te uploaden en mogelijk uit te lekken”, waarschuwt hij.
“Je moet voorzichtig zijn om alleen populaire applicaties te installeren die hoog gewaardeerd worden met veel beoordelingen, en om toestemming te vermijden. Een foto-app heeft geen toestemming nodig om toegang te krijgen tot je contacten.”
Kortom, wachtwoordsleutels zullen onze digitale transacties veiliger en gemakkelijker maken, maar we moeten nog steeds op de hoogte blijven van online gevaren.
Zamir raadt daarom aan om waar mogelijk wachtwoordsleutels te gebruiken.
Op dit moment kun je een wachtwoord gebruiken om in te loggen bij Google, Apple of Microsoft, van waaruit je kunt inloggen bij de meeste apps die je nodig hebt, benadrukt Zamir.
Hoewel je de keuze hebt om wachtwoorden te blijven gebruiken als je dat wilt, zal het standaard gebruiken van wachtwoordsleutels voor een wachtwoordvrije ervaring op al je apparaten, browsers en besturingssystemen "je situatie veel verbeteren", concludeert hij.
