Wat is passwordless authentication?
Passwordless authentication of wachtwoordloze verificatie is een vorm van verificatie waarbij een gebruiker toegang kan krijgen tot een IT applicatie zonder gebruik te maken van een wachtwoord. In plaats hiervan dient een andere vorm van verificatie gebruikt te worden, zoals een vingerafdruk, een gezichtsscan of een numeriek token.
Meestal wordt passwordless authentication geïmplementeerd met single sign-on. Op die manier kan een gebruiker dezelfde token of app gebruiken om toegang te krijgen tot meerdere applicaties. Daarnaast wordt passwordless authentication ook gebruikt als onderdeel van multi-factor authentication (MFA), waarbij gebruikers meerdere verificatie methoden moeten gebruiken. Om bijvoorbeeld de Microsoft Authenticator app te openen moet men een vingerafdruk gebruiken of er wordt een sms-code verzonden ter verificatie.
Je ziet passwordless authentication op steeds meer plekken terugkomen. Denk bijvoorbeeld aan het ontgrendelen van je telefoon met een vingerafdruk.
Het probleem van wachtwoorden
Tegenwoordig loggen we op een veelvoud van applicaties in. Hiervoor moeten allerlei verschillende wachtwoorden gebruikt worden. Hierdoor gaat men hetzelfde wachtwoord op meerdere plaatsen gebruiken, zwakke wachtwoorden gebruiken of ze opschrijven op post-its. Hierdoor zijn deze wachtwoorden gevoelig voor hack aanvallen. De meest simpele verificatie, middels gebruikersnaam en wachtwoord is hierdoor zeer kwetsbaar. Hackers hebben een aantal methoden om toegang te krijgen tot iemands account, waaronder:
- Brute force; hierbij worden software applicaties gebruikt die automatisch wachtwoord combinaties maken. Hierbij zijn zwakke wachtwoord zoals Welkom123 zeer kwetsbaar.
- Credential stuffing; als een wachtwoord is gestolen dan kan men proberen de gebruikersnaam en wachtwoord combinatie op andere plekken te gebruiken.
- Phishing; hierbij worden nep-e-mails of sms-berichten gebruikt om mensen de verleiden hun gebruikersnaam en wachtwoord in te vullen.
- Keylogging; malware die toetsaanslagen logt om op die manier de wachtwoord combinatie te verkrijgen.
- Man-in-the-middle aanvallen; hierbij wordt communicatie onderschept over bijvoorbeeld een publieke Wi-Fi connectie.
Passwordless authentication verlaagt het beveiligingsrisico
Passwordless authentication verhoogt de beveiliging door het gebruik van wachtwoorden te verminderen. Daarnaast bevordert het ook de gebruiksvriendelijkheid, men hoeft namelijk minder handelingen te verrichten om zich aan te melden. Het wachtwoord wordt alleen nog gebruikt wanneer men zich op een nieuw apparaat registreert of wanneer het niet mogelijk is om een andere aanmeldmethode te gebruiken. Hiervoor is een andere verificatie methode nodig:
- Een telefoon-app, zoals de Microsoft Authenticator.
- Een software token of certificaat.
- Een vingerafdruk, gezichtsscan of irisscan
- Of een NFC chip of hardware token
De nieuwste MFA oplossingen gebruiken tegenwoordig ook contextuele informatie om te bepalen of een aanmeldpoging in lijn is met eerdere keren. Denk hierbij aan locatie, tijd, IP-adres en het apparaat type. Dit verhoogt de veiligheid, want wanneer het aanmelden altijd vanuit Nederland gebeurt maar dan ineens vanuit Colombia. Is er automatisch een extra verificatie nodig, bijvoorbeeld in de vorm van een SMS-code benodigd is.
Voordelen van passwordless authentication
Passwordless authentication heeft een aantal voordelen:
- Het biedt een betere gebruikerservaring. Je hoeft geen wachtwoorden meer te onthouden.
- Betere beveiliging, door het elimineren van wachtwoorden verlaag je ook het risico dat deze kunnen worden gestolen of gehackt.
- Eenvoudiger, het is niet langer nodig om vaak een wachtwoord te laten wijzigen en een IT service afdeling zal minder tijd kwijt zijn met het resetten van wachtwoorden.
Microsoft 365
Voor Microsoft 365 kan passwordless authentication met behulp van de Microsoft Authenticator ingesteld worden. Hierbij is er dan geen wachtwoord meer vereist, maar wordt er een melding gestuurd naar de Microsoft Authenticator app op de telefoon. Vervolgens kan hier dan een bevestiging worden gegeven met een vingerafdruk, gezichtsscan of pincode.
Passwordless authentication kan op alle type apparaten ingesteld worden, ook mobiele apparaten. Vereiste is wel dat een gebruiker de Authenticator app op een mobiel heeft geregistreerd. Voor admins kan passwordless authentication geactiveerd worden in Azure Active Directory. De instellingen zijn te vinden onder Beveiliging -> Verificatie methoden. Het is aan te raden dit eerst voor een selecte groep te activeren.
Heb je vragen over hoe veilig jouw Microsoft 365 omgeving is of wil je dit laten onderzoeken? Klik dan op de onderstaande knop.
Meer weten over passwordless authentication?
Neem contact op met XTRM development door het formulier onderaan de pagina in te vullen of schrijf je in voor onze nieuwsbrief. Natuurlijk kun je ook op de hoogte blijven van alle nieuws en ontwikkelingen door ons op LinkedIn te volgen!
Anderen bekeken ook:
Azure en AI-services: krachtige technologieën voor de toekomst
In de afgelopen paar jaar heeft de snelle vooruitgang in kunstmatige intelligentie (AI) de manier waarop we naar technologie kijken ingrijpend veranderd. Bedrijven en organisaties maken steeds vaker gebruik van AI om waardevolle inzichten te verkrijgen, processen te...
Effectief gebruik van Teams met Templates & Policies
Grip krijgen op je Microsoft Teams omgeving is een veel gestelde vraag. Met Teams starten is...
Optimaliseer je Teams met deze governance tools
Naar aanleiding van onze eerdere blogs over 'Waarom governance cruciaal is in Microsoft Teams' en 'Voordelen voor het gebruik van governance in Teams', is het duidelijk geworden hoe cruciaal een goed governance beleid is. Dit geldt ook voor de Microsoft Teams...