Zijn wachtwoorden echt verleden tijd?
Vul in Google de zoekterm ‘wachtwoorden’ in en je vindt tientallen actuele resultaten, zoals ‘wachtwoorden gestolen’ of ‘wachtwoorden niet langer veilig’. Veel organisaties, waaronder Google en Facebook vinden wachtwoorden een noodzakelijk kwaad, waar ze maar al te graag van af willen stappen.
Two Factor Authenticatie en SAML
Diverse grote organisaties zijn daarom aan het experimenteren met Two-factor authenticatie. Two-Factor authenticatie bestaat in diverse vormen, denk hierbij bijvoorbeeld aan een tokennummer dat aan de telefoon van de gebruiker wordt verstuurd of een USB-stick die in de computer geplaatst dient te worden om in te loggen. De gedachte is vooral dat de gebruiker niet alleen iets moet invoeren (bijvoorbeeld gebruikersnaam), maar dat hij ook iets bij zich dient te hebben om zich te authentiseren. Wanneer de inloggegevens dan worden gestolen, hebben deze dan maar een zeer beperkte waarde.
Nu heeft een gemiddelde gebruiker voor meer dan 20 applicaties inloggegevens. Het is natuurlijk onbegonnen werk om rond te lopen met 20 USB tokens of 20 verschillende apps op de smartphone om in te loggen. Met dit probleem in het achterhoofd hebben organisaties zoals Google en Facebook SAML geadopteerd. Hierbij dient bijvoorbeeld Google als autorisatieplatform, waarbij de gebruiker inlogt met zijn Google account inclusief token of andere vorm van Two-Factor authenticatie. Google ‘vertelt’ dan vervolgens aan de website die SAML ondersteunt welke gebruiker het is, waarna automatisch ingelogd kan worden in deze website.
Dit klinkt als de ideale oplossing waarbij de combinatie username en wachtwoorden echt tot het verleden zou kunnen behoren. Helaas zijn er beperkingen aan het gebruik van SAML. De aanbieder van de website moet SAML actief ondersteunen en hiervoor ook code inbouwen. Daarnaast kan het zijn dat een pagina SAML ondersteunt maar dat dit niet werkt voor alle autorisatieplatformen. Dus een website kan bijvoorbeeld authenticatie via Google ondersteunen, maar dan kun je niet inloggen met een Facebook account.
Tenslotte werkt SAML alleen wanneer er ‘toegang’ is naar het internet. Binnen organisaties zijn er applicaties of websites die geen toegang hebben tot het internet. In dat geval heeft het gebruik van SAML geen meerwaarde.
Met al deze beperkingen is het dan ook de vraag of SAML een oplossing is tot het wachtwoord probleem. Hoe komen we dan echt van de wachtwoorden af? Het antwoord hierop is waarschijnlijk dat we hier voor nu niet vanaf komen. Maar we kunnen de huidige inlogmethode wel een stuk veiliger maken met Single Sign On oplossingen.
Eén van de grootste problemen met wachtwoorden is dat mensen te voorspelbare wachtwoorden kiezen of wachtwoorden bijhouden op plekken die onveilig zijn (de bekende post-its). Door gebruik te maken van Single Sign On Software die gebruikers automatisch inlogt in applicaties kunnen deze wachtwoorden een stuk complexer worden gemaakt. De gebruiker hoeft tenslotte nog maar één wachtwoord te onthouden.
Het grote verschil met dit soort oplossingen in tegenstelling tot SAML is dat er geen aanpassingen hoeven plaats te vinden aan de applicatie/website kant. De intelligentie van het inloggen zit ingebouwd aan de kant van Single Sign On Software. Hierdoor zijn dit soort oplossingen voor organisaties veel sneller inzetbaar. En er hoeft niet ingeleverd te worden op veiligheid.