Key takeaways

• Wachtwoorden zijn beperkt in hun mogelijkheden om gevoelige gegevens te beschermen.
• Een paradigmaverschuiving van wachtwoordgebaseerde systemen is nodig vanwege geraffineerde phishingaanvallen en diefstal van sessiecookies.
• WebAuthn biedt een veilig alternatief voor traditionele verificatiemethoden en vertrouwt op fysiek bezit en biometrische verificatie.

De beperkingen van wachtwoorden

Op Wereldwachtwoorddag, die in 2025 op donderdag 1 mei valt, wordt de aandacht gevestigd op de beperkingen van wachtwoorden en op kennis gebaseerde verificatiemethoden in het huidige bedreigingslandschap.

Volgens het 2025 Active Adversary-rapport van Sophos blijkt dat gecompromitteerde referenties voor het tweede achtereenvolgende jaar de primaire aanvalsmethode zijn, goed voor 41 procent van de gevallen. Dit onderstreept de dringende noodzaak van sterkere beveiligingsmaatregelen om gevoelige gegevens te beschermen tegen diefstal van inloggegevens.

De noodzaak van een paradigmaverschuiving

Hoewel tweefactor- of multifactorauthenticatieoplossingen (2FA/MFA) veel gebruikt worden, vertrouwen ze vaak op geheime codes op basis van kennis die gedeeld worden via SMS of authenticatie-apps. Helaas blijven deze methoden kwetsbaar voor geraffineerde phishingaanvallen en diefstal van sessiecookies met tools zoals evilginx2. Deze voortdurende afhankelijkheid van kwetsbare add-ons vertraagt de onvermijdelijke overstap van wachtwoorden.

Het landschap van cyberbedreigingen vraagt om een paradigmaverschuiving, weg van op wachtwoorden gebaseerde systemen en met kennis gedeelde geheimen. WebAuthn, in het bijzonder met passkeys of toegangssleutels, wordt door cyberbeveiligingsdeskundigen gezien als een veilig alternatief. Dit protocol genereert een uniek publiek/privé sleutelpaar dat lokaal wordt opgeslagen: de publieke sleutel op de server van de service en de privésleutel op het apparaat van de gebruiker, samen met de naam van de service en de gebruikers-ID. Gebruikers hebben geen wachtwoorden of geheime codes meer nodig om in te loggen. In plaats daarvan stuurt de server een verificatie-uitdaging die alleen opgelost kan worden als de gebruiker het apparaat fysiek in bezit heeft en het eigendom van de privésleutel kan bewijzen via biometrische gegevens.

Bestand tegen conventionele phishingtechnieken

Deze twee-factor authenticatie vertrouwt niet op kennis van de gebruiker, maar op fysiek bezit en biometrische verificatie, waardoor het bestand is tegen conventionele phishingtechnieken. Het proces omvat ook wederzijdse authenticatie, waardoor gebruikers de identiteit van de service kunnen verifiëren. In tegenstelling tot kennisgebaseerde methoden authenticeren beide partijen elkaar.

Invoeringsoverwegingen

WebAuthn, gebaseerd op de FIDO2 standaard, biedt bewezen bescherming tegen phishing en vereenvoudigt tegelijkertijd de gebruikersauthenticatie. Bepaalde voorzorgsmaatregelen zijn echter essentieel voor een succesvolle implementatie: veilige opslag van sleutels (apparaat of cloud), organisatorische buy-in en goedkeuring, en bewustzijn van sessiecookiediefstal als een potentiële kwetsbaarheid. Cybercriminelen ontwikkelen hun tactieken voortdurend, waardoor de invoering van deze technologieën een strategische cyberbeveiligingsprioriteit voor organisaties is.

Chester Wisniewski, Sophos’ Director, Global Field CISO, benadrukt de noodzaak om verder te gaan dan wachtwoorden en gedeelde geheimen. Toegangssleutels of passkeys zijn de krachtigste oplossing om een toekomst op te bouwen zonder wachtwoorden, phishing en grootschalige compromissen.

Wil je toegang tot alle artikelen, geniet tijdelijk van onze promo en abonneer je hier!