Een nieuwe week, een nieuwe hack
Yahoo viel deze week de twijfelachtige eer te beurt. Het bedrijf gaf toe dat persoonlijke data van 500 miljoen gebruikers waren gestolen. Namen, mailadressen en telefoonnummers werden eind 2014 al van het bedrijfsnetwerk ontvreemd.
Sommige bronnen melden dat de computersystemen van Yahoo en de emailaccounts van klanten zes jaar geleden al werden gehackt door Chinese hackers. Google en een aantal andere technologiebedrijven vormden toen ook een doelwit. Googles medeoprichter Sergey Brin beschouwde de aanval op zijn bedrijfssystemen als een persoonlijke belediging en reageerde prompt door van beveiliging een prioriteit te maken. Het bedrijf wierf honderden beveiligingsingenieurs aan en investeerde vele miljoenen dollars in de beveilingsinfrastructuur. ‘Never again’ werd het nieuwe interne motto.
Yahoo, daarentegen, reageerde veel trager. Toen Marissa Mayer in 2012 het roer overnam als CEO, was beveiliging een van de problemen die ze overerfde. Yahoo’s beveilingsteam lag in de jaren erna vaak in de clinch met andere departementen omwille van de kosten voor security. De keuzes die het bedrijf toen maakte, zullen hen nu zwaar opbreken.
Nu, wat deze hack interessant maakt, is dat er ook “beveiligingsvragen”- en antwoorden werden gestolen. Ik plaats het woord bewust tussen aanhalingstekens, want uiteraard is deze vorm van ‘knowledge-based authentication’ allesbehalve veilig. Simplistische vragen als ‘Wat is je lievelingseten?’, ‘Wat is de naam van je hond of kat’, of ‘Wat is de kleur van je wagen?’ bieden geen enkele bescherming. Alle websites stellen immers dezelfde paar vragen, en het antwoord is dan ook steeds hetzelfde. Iemands lievelingseten of kleur van wagen veranderen immers niet.
Ik trap een open deur in door te stellen dat deze technologie na 30 jaar absoluut voorbijgestreefd is. Het systeem van knowledge-based authentication – of het nu beveiligingsvragen of statische wachtwoorden betreft – biedt amper bescherming. Toch blijf ik een roepende in de woestijn, getuige daarvan de hacks die elke week in het nieuws komen. Het staat buiten kijf dat we moeten afstappen van het gebruik van statische elementen, en richting het gebruik van dynamische informatie moeten gaan.
Eenmalige wachtwoorden en tweefactorauthenticatie liggen uiteraard voor de hand als alternatieven. Er bestaan applicaties op de smartphone die eenmalige wachtwoorden genereren. Elke website kan gemakkelijk tweefactorauthenticatie integreren. Het wordt nu dringend tijd dat ze dat ook effectief gaan doen.
De toekomst ligt echter bij de ‘risk-based authentication’ en het groeiende gebruik van de smartphone. Op basis van een aantal parameters wordt een score rond iemands identiteit en diens betrouwbaarheid opgemaakt. Werd de telefoon gejailbreakt? Logt de persoon steeds in vanop dezelfde locatie? Zijn er biometrische gegevens beschikbaar? Op basis daarvan wordt bepaald of de gebruiker betrouwbaar is of niet. Mocht er twijfel rijzen, dan wordt een extra beveiliging gevraagd. Vooral als het gaat om verrichtingen met een groter risico, de creatie van een nieuwe account of profielupdates (met wijzigingen van adres of telefoonnummer), en zeker bij geldtransacties of
online of mobiele aankopen, moeten de beveiliging extra gecontroleerd worden.
Gartner-analiste Avivah Litan stelde dat authenticatie niet langer een ja-of-nee-verhaal is, en daar ben ik het helemaal mee eens. Een wachtwoord mag niet langer meer volstaan om iemands identiteit te verifiëren. We moeten evolueren naar manieren waarbij dynamische informatie wordt gebruikt. En dat wordt hoog tijd.
Jan Valcke, President & COO VASCO Data Security