Waarom wachtwoorden verleden tijd moeten zijn

Bij ilionx zien we dagelijks hoe hackers eenvoudig misbruik maken van zwakke wachtwoorden.

Ons team van ethical hackers voert regelmatig penetratietesten en red teaming opdrachten uit, en keer op keer blijkt dat slechte wachtwoorden een ingang geven tot de organisatie zonder dat we gedetecteerd worden. Hackers gebruiken technieken zoals password spraying om met voorspelbare wachtwoorden toegang te krijgen tot systemen. Maar dat is niet het enige probleem: zelfs veelgebruikte beveiligingsmaatregelen zoals Multi-Factor Authenticatie (MFA) blijken in sommige gevallen kwetsbaar te zijn. De tijd is rijp om afscheid te nemen van wachtwoorden, en in deze blog leg ik uit waarom. 

Hoe hackers misbruik maken van zwakke wachtwoorden 

Tijdens securitytesten voeren we vaak een password spray aanval uit: een eenvoudige maar effectieve methode om valide inloggegevens te bemachtigen. We testen dan een groot aantal accounts met makkelijk te raden wachtwoorden, zoals "Welkom01", "Zomer2024" of combinaties met de naam van de organisatie. In veel gevallen hebben we binnen enkele minuten toegang. De reden? Veel accounts blijven vastzitten in een patroon van simpele en hergebruikte wachtwoorden, standaard wachtwoorden wijzigen niet en we worden niet gedetecteerd. 

De impact van zwakke wachtwoorden op jouw organisatie 

Wanneer we toegang krijgen met een zwak wachtwoord, is dat slechts het begin. Vaak kunnen we ons verder door het netwerk bewegen, rechten verhogen en gevoelige informatie bemachtigen. Een zwak wachtwoord kan grote gevolgen hebben. Denk aan vertrouwelijke gegevens die gestolen worden of de financiële schade die voortkomt uit losgeld dat geëist wordt na een ransomware-aanval. De grootste bedreiging zit hem echter in het feit dat deze aanvallen in veel gevallen voorkomen hadden kunnen worden.

Waarom sterke wachtwoorden en MFA niet genoeg zijn 

Je denkt misschien dat sterke wachtwoorden of zelfs MFA een afdoende oplossing zijn, maar niets is minder waar. Middels een Attack-in-the-Middle (AitM) aanval is het mogelijk om MFA te onderscheppen. Bij een AitM-aanval wordt het verkeer tussen de medewerker en de website waar op ingelogd wordt onderschept, waardoor de hacker de authenticatie-informatie kan bemachtigen, zelfs als MFA is ingeschakeld. 

Een aanvaller creëert bijvoorbeeld een website die lijkt op de originele inlogpagina. Zodra de medewerker probeert in te loggen, stuurt de hacker de inloggegevens, inclusief de MFA-token, door naar de echte site. De hacker kan zo toegang verkrijgen zolang de token geldig is.

Zo help je medewerkers veilig inloggen 

Wat kun je doen om dit soort aanvallen te voorkomen? Als eerste zou ik willen benadrukken dat veel aanvallen voorkomen hadden kunnen worden door technische maatregelen te implementeren. Dat een grote hoeveelheid aan foutieve wachtwoordpogingen niet wordt opgemerkt of dat een phishing aanval vanuit een technisch oogpunt lukt, is al een probleem op zich. 

Een goede eerste stap is het aanbieden van een password manager, zodat medewerkers sterke, unieke wachtwoorden kunnen creëren zonder dat ze deze zelf hoeven te onthouden. Maar dat is slechts een tijdelijke oplossing. 

Bij ilionx adviseren we organisaties die gebruik maken van Entra ID om Entra ID Password Protection in te schakelen. Dit is een tool die voorkomt dat medewerkers veelvoorkomende of zwakke wachtwoorden gebruiken, zowel in de cloud als on-premises(Verwijst naar een externe website). Dit helpt om de directe risico’s van eenvoudige wachtwoorden te beperken. Daarnaast is het belangrijk om aandacht te besteden aan technische maatregelen zoals Conditional Access(Verwijst naar een externe website), tijdige detectie van misbruik(Verwijst naar een externe website) en security awareness. Medewerkers moeten begrijpen hoe belangrijk het is om veilige inloggegevens te gebruiken, hoe ze verdachte activiteiten kunnen herkennen en waar ze die moeten melden. Het creëren van bewustzijn en het implementeren van technische maatregelen kunnen helpen om aanvallen vroegtijdig te detecteren en te stoppen. 

De toekomst is passwordless 

De meest effectieve manier om de zwaktes van wachtwoorden en MFA te elimineren, is door over te stappen naar passwordless authenticatie. Hierbij wordt het account geverifieerd zonder ooit een wachtwoord in te voeren, waardoor de mogelijkheden voor aanvallers om inloggegevens te onderscheppen afnemen. 

Bij ilionx helpen we organisaties overstappen op methoden zoals passkeys, biometrische authenticatie (zoals gezichtsherkenning of vingerafdrukken) en hardware tokens. Deze vormen van passwordless authenticatie bieden een veel hogere mate van beveiliging. Ze zijn niet vatbaar voor aanvallen zoals AitM, omdat er geen wachtwoorden of codes worden verstuurd die onderschept kunnen worden. Bijkomend voordeel is dat medewerkers geen wachtwoorden hoeven te onthouden of constant in te voeren, wat ook het risico op menselijke fouten verkleint. 

Conclusie: neem afscheid van wachtwoorden 

De realiteit is dat problemen niet opgelost worden met een enkele maatregel en niet veroorzaakt worden door een enkel zwak wachtwoord. Het is daarom van belang om een gelaagde beveiliging aan te brengen.  

Wachtwoorden en zelfs gangbare MFA zijn niet meer voldoende om jouw organisatie te beschermen tegen simpele en moderne cyberaanvallen. Zoals ik vaak zie tijdens onze securitytesten, blijven zwakke wachtwoorden een groot risico vormen, en zelfs sterke wachtwoorden bieden geen volledige bescherming. Het is tijd om de volgende stap te zetten en over te stappen naar passwordless authenticatie. Hiermee kan je je beveiliging versterken en je medewerkers een veiligere en prettigere ervaring bieden. 

Mijn collega’s en ik staan klaar om jouw organisatie te begeleiden bij deze transitie. We voeren niet alleen securitytesten uit om te toetsen of jouw organisatie voldoende weerbaar is, maar helpen ook bij het implementeren technische maatregelen, passwordless oplossingen én het trainen van je medewerkers. Samen zorgen we ervoor dat je organisatie alert en weerbaar blijft.