Het einde van het wachtwoord volgens Microsoft

Wachtwoorden zijn geen lang leven meer beschoren. Technisch kunnen we al komaf maken met de ondingen, maar ook mensen en vooral bedrijven moeten durven instappen. Binnen een viertal jaar verwacht Microsoft desalniettemin dat het wachtwoord verleden tijd is.

Microsoft en Google beheren samen zo’n twee miljard gebruikersaccounts. Die accounts werken over meerdere diensten heen en zijn vaak de belangrijkste pijler van de digitale identiteit van de gebruikers. Vandaag zijn de dingen nog beschermd door een wachtwoord en daar willen de twee softwarereuzen graag van af.

“Wachtwoorden waren lange tijd niet het grootste beveiligingsprobleem”, vertelt Alex Simons, Corporate Vice President van Program Management bij de Microsoft Identity Division aan Techzine op het Ignite-event in Orlando. “Dat is vandaag niet meer waar.” Simons ziet drie belangrijke katalysatoren die de evolutie naar een wachtwoordloze toekomst mogelijk maken.

Juist klimaat voor verandering

“Eerst en vooral is het wachtwoord vandaag wel degelijk de zwakste schakel in de beveiligingsketting. Meer dan 80 procent van succesvolle cyberaanvallen start met gekraakte accounts.”

Niet alleen korte of eenvoudig te raden wachtwoorden zijn het probleem, maar ook de neiging van gebruikers om eenzelfde wachtwoord voor meerdere diensten te gebruiken. Dat weten hackers. Wordt één website of dienst het slachtoffer van een groot hack, dan zetten criminelen de gevonden wachtwoorden ook voor andere diensten in, in een poging zo binnen te raken. Credential stuffing heet zo’n aanval, en de resultaten ervan spreken voor zich.

Biometrische alternatieven voor wachtwoorden zoals een vingerafdruk of een gezichtsscan zijn vandaag ingeburgerd.

“Ook de opkomst van mobiele toestellen speelt mee”, volgens Simons. “Vind jij inloggen met gebruikersnaam en wachtwoord via het aanraakscherm van je smartphone een aangename ervaring?” De inlogprocedure wordt zo een onhandige rem op een verder aangename gebruikservaring en schrikt af. Mensen zijn klaar om daarvan af te stappen.

Het laatste ontbrekende stukje van de puzzel was de brede aanvaarding van biometrische authenticatie. “Dankzij vingerafdruksensoren op mobiele toestellen, en vandaag ook gezichtsherkenning zoals Face ID, heeft de consument biometrie aanvaard als een betrouwbaar en gebruiksvriendelijk alternatief.”

Tijd en standaarden

Mensen zijn dus rijp voor een alternatief, al betekent dat niet dat wachtwoorden van de ene dag op de andere de vuilbak in kunnen. “De vervanging van het wachtwoord is een proces van meerdere jaren, dat bedrijven zoals Microsoft moet overstijgen”, weet Simons.

Microsoft werkte daarom samen met het Identity-team van Google voor de ontwikkeling van standaarden zoals WebAuthn onder FIDO2. De FIDO-alliantie is de drijvende kracht achter de ontwikkeling van gestandaardiseerde technologie voor een wachtwoordloze toekomst, en omvat naast Google en Microsoft ook bedrijven als Amazon, Facebook, Visa, Paybal, Lenovo en VMware.

Windows Hello is vandaag best ingeburgerd, maar accounts hebben nog steeds een wachtwoord als back-up. Zo zorgt Hello wel voor meer gebruiksvriendelijkheid, maar heeft het geen grote impact op de veiligheid van een account.

Met de standaarden op orde startte Microsoft de praktische kant van de transformatie. “Vier jaar geleden activeerden we Windows Hello.” Sindsdien is de biometrische authenticatie in steeds meer toestellen terug te vinden. Windows-toestellen zijn vandaag gecertifieerd als FIDO2-beveiligingsssleutels, net als Android-toestellen. Dat betekent dat biometrische verificatie op een dergelijk stuk hardware volstaat om je identiteit te bewijzen.

Wat met onboarding?

Simons ziet het ecosysteem verschuiven de laatste jaren, maar geeft toe dat het traject tijd kost. “Amper tien procent van de bedrijven heeft tweefactorauthenticatie ingeschakeld,” weet hij, “terwijl we zien dat eender welke vorm van multifactorauthenticatie het risico op een hack via accountgegevens terugdringt met 99,99 procent.”

De overstap naar een toekomst zonder wachtwoord ligt moeilijk bij bedrijven omdat er heel wat bij komt kijken. Het is één ding om Windows Hello te gebruiken om zo biometrisch in te loggen over alle aan Active Directory-gekoppelde diensten, het is een andere zaak om een pincode of wachtwoord als back-up helemaal af te voeren.

Het is een uitdaging om een pincode of wachtwoord als back-up helemaal af te voeren.

“Onboarding is een probleem”, geeft Simons dan ook aan. Hoe activeer je het account van een nieuwe werknemer, of laat je iemand inloggen wanneer zijn of haar hardware met biometrische sleutel op de TPM-chip verdwenen is? Microsoft werkt actief aan procedures daarvoor, zoals een eenmalige sleutel die het IT-departement van een bedrijf kan genereren en die kortstondig geldig is voor dergelijke situaties.

Extra moeilijk voor consumenten

Voor consumentenaccounts is die uitdaging nog groter aangezien er geen centrale betrouwbare instantie zoals het IT-departement bestaat. “We beheren zo’n 750 miljoen accounts van consumenten met Microsoft”, geeft Simons aan. Microsoft bewandelt verschillende pistes om daar komaf te maken met het wachtwoord als back-upoplossing.

“Zo denken we aan een systeem waarbij je een viertal mensen kan aanduiden als betrouwbaar. Raak je de toegang tot je account kwijt, dan kunnen die vier mensen je identiteit bevestigen. Een andere optie is een fysieke sleutel waarmee je een account kan herstellen. Die kan je dan op een veilige plek bewaren zoals bij een bank, aangezien je het ding in principe zelden tot nooit nodig zal hebben.”

Het is in ieder geval noodzakelijk om het wachtwoord als back-upsysteem te laten verdwijnen. Anders blijft het voor criminelen mogelijk om veilige biometrische authenticatie te omzeilen en binnen te breken met parels als ‘Wachtwoord123’.

Sprint naar de eindstreep

“De ondersteuning door browsers van biometrische authenticatie is een nieuwe en belangrijke stap in de goede richting”, weet Simons. “Zo kan je inloggen op websites door je identiteit te bevestigen via Windows.” Aangezien ook andere besturingssystemen zoals Android ondersteuning bieden, maakt die stap het mogelijk om wachtwoorden voor andere diensten af te voeren. Met de standaard universeel omarmt en wachtwoordloze recovery-opties in het vooruitzicht, is er niets dat het einde van het wachtwoord nog in de weg staat.

Microsoft mikt daar heel duidelijk op en heeft zelfs een timing voor ogen. “Binnen vier jaar hopen we dat het wachtwoord naar de achtergrond verdwenen is”, klinkt het. Lukt dat, dan heeft het amper acht jaar geduurd om een standaard als het wachtwoord naar de achtergrond te verdringen.

Samenwerken, maar waarom?

Waarom doet Microsoft dit nu, en hoe is een samenwerking met concurrent Google nodig voor zo’n cruciale technologie? Uiteraard is er sprake van een verantwoordelijkheidsbesef, een drang om mensen veilig te houden en andere mooie ideologische motivaties. Voorbij die marketingpraatjes schuilt ook een duidelijke businesscase. Simons: “Als een gebruiker zijn account verliest door een hack, is er een kans van minder dan 20 procent dat die gebruiker opnieuw intekent op de diensten van Microsoft. Gebruikers veilig houden, betekent dat we ze niet kwijtraken.”

Microsoft moet gebruikers veilig houden om ze niet kwijt te raken.

De concurrentie met Google is daar niet zo groot. Het gros van de beheerde accounts voor zowel Microsoft als Google is van consumenten, en zij kiezen niet voor één van de twee op basis van de accountbeveiliging. De differentiatie gebeurt door de applicaties. Samenwerking is in dat opzicht best logisch.

Voor zakelijke klanten ligt dat anders, aangezien veilig identiteitsmanagement wel degelijk een verkoopargument is. Daar speelt dan weer dat alle grote bedrijven vandaag begrijpen dat een opvolger van wachtwoordauthenticatie nodig is, maar alleen succesvol kan zijn als de standaard universeel wordt uitgerold.

Weg met MFA

Zolang het wachtwoord bestaat en je er toegang mee kan verwerven tot je account, blijft tweefactorauthenticatie essentieel. Microsoft maakt daarom op Ignite zijn MFA-oplossing gratis beschikbaar voor iedereen. Ook jij doet er goed aan om multifactorauthenticatie in te schakelen. De wachtwoordloze toekomst staat weliswaar te wachten om de hoek, maar we moeten er met z’n allen nog heen wandelen voor we ervan kunnen genieten.

In een wereld waarin biometrische authenticatie de standaard wordt, is tweefactorauthenticatie met bijvoorbeeld je smartphone trouwens niet meer nodig. Simons: “Om veilig in te loggen moet je telkens iets wat je hebt kunnen combineren met iets wat je weet of, in het geval van biometrie, bent. Een biometrische sleutel wordt bewaard op de TPM-chip van je toestel. Dat fysieke toestel is het stuk van de sleutel dat je bezit. De authenticatie tegenover je gezicht is in dat opzicht al een tweede factor, waardoor huidige MFA-toepassingen, zoals een sms-code, overbodig worden.”