Het was een kwestie van tijd: onlangs is Yahoo ten prooi gevallen aan hackers. Het bedrijf onthulde dat persoonlijke data van 500 miljoen gebruikers werden buitgemaakt. Deze namen, e-mailadressen en telefoonnummers werden al eind 2014 gestolen.
Sommige bronnen melden dat de computersystemen van Yahoo en de e-mailaccounts van klanten al zes jaar geleden werden gehackt door Chinese hackers. Destijds waren ook Google en een aantal andere technologiebedrijven het doelwit. Googles medeoprichter Sergey Brin pakte de aanval op zijn bedrijfssystemen goed op en reageerde meteen door van beveiliging een prioriteit te maken. Het bedrijf nam honderden beveiligingsingenieurs in dienst en investeerde vele miljoenen dollars in de beveiligingsinfrastructuur onder het motto: ‘Never again’. Maar Yahoo reageerde veel trager. Toen Marissa Mayer in 2012 werd aangesteld als CEO, was beveiliging een van de problemen waarmee ze werd opgezadeld. Yahoo’s beveiligingsteam was het in de jaren daarna vaak oneens met andere afdelingen, met name op het gebied van de securitykosten. De keuzes die het bedrijf toen maakte, komen hen nu duur te staan.
Wat de Yahoo-hack zo bijzonder maakt, is dat er ook “beveiligingsvragen”- en antwoorden werden buitgemaakt. Het woord staat bewust tussen aanhalingstekens, omdat deze vorm van ‘knowledge-based authentication’ uiteraard allesbehalve veilig is. Simpele vragen als ‘Wat is je lievelingseten?’, ‘Wat is de tweede naam van je vader?’, of ‘Wat is de kleur van je auto?’ bieden geen enkele vorm van bescherming. Alle websites stellen dezelfde vragen, dus is het antwoord ook steeds hetzelfde. De tweede naam van je vader verandert immers nooit.
Dat deze technologie na dertig jaar volledig achterhaald is, is vanzelfsprekend. Het systeem van knowledge-based authentication – of het nu beveiligingsvragen of statische wachtwoorden betreft – biedt (te) weinig bescherming. Maar niemand schijnt te luisteren, zo blijkt uit de hacks die keer op keer weer in het nieuws zijn.
Er kan niet aan worden getwijfeld dat we het gebruik van statische elementen moeten stopzetten, en dat we de overstap moeten maken naar het gebruik van dynamische informatie. Eenmalige wachtwoorden en tweefactorauthenticatie liggen uiteraard voor de hand als alternatieven. Er bestaan applicaties op de smartphone die eenmalige wachtwoorden genereren. Bovendien is tweefactorauthenticatie vrij eenvoudig te integreren. Het wordt nu hoog tijd dat dat ook gebeurt.
‘Risk-based authentication’ is de toekomst, naast de opkomst van het smartphonegebruik. Op basis van een aantal parameters wordt een score rond iemands identiteit en betrouwbaarheid opgemaakt. Werd de telefoon gehackt? Logt de persoon steeds in vanaf dezelfde locatie? Zijn er biometrische gegevens beschikbaar? Op basis van deze vragen wordt bepaald of de gebruiker betrouwbaar is of niet. Bij twijfel wordt om een extra authenticatie gevraagd. Vooral als het gaat om bijvoorbeeld het creëren van een nieuw account, profielupdates (met wijzigingen van adres of telefoonnummer), en zeker bij geldtransacties of online of mobiele aankopen. In deze gevallen is het noodzakelijk dat de beveiliging extra wordt gecontroleerd.
Volgens Gartner-analiste Avivah Litan is authenticatie niet langer een ja-of-nee-verhaal, en daar ben ik het volledig mee eens. Een wachtwoord is niet langer voldoende om iemands identiteit te verifiëren. Het is hoog tijd om over te stappen op dynamische informatie.
Jan Valcke, President & COO van VASCO Data Security
