Wachtwoorden zijn ontworpen om wachtwoorden te vervangen en phishing-aanvallen te bestrijden, maar Google en Microsoft waarschuwen ervoor dat ze onvoldoende zijn als zwakkere herstelmethoden in gebruik blijven. “Elk account is slechts zo veilig als de zwakste inloggegevens”, aldus Microsoft, waarbij hij opmerkte dat wachtwoorden en sms-herstel nieuwe kwetsbaarheden kunnen veroorzaken, zelfs nadat de wachtwoordsleutels zijn geïmplementeerd.
Google erkende dat “wachtwoorden een gemakkelijkere en veiligere manier zijn om toegang te krijgen tot online accounts vergeleken met wachtwoorden en zelfs traditionele multi-factor-methoden”, maar benadrukte dat ze op zichzelf niet helemaal veilig zijn. Het bedrijf waarschuwde gebruikers dat “zelfs als u normaal gesproken een toegangssleutel gebruikt, het belangrijk is om uw account te beveiligen met tweestapsverificatie (2SV).” Deze extra beveiligingslaag is essentieel, vooral als iemand probeert zich voor te doen als de gebruiker en beweert de toegangssleutel te zijn kwijtgeraakt.
Geautomatiseerde herstelprocessen die zwakkere inloggegevens misbruiken, kunnen een toegangssleutel omzeilen, waardoor het van essentieel belang is om accounts verder te beveiligen. Microsoft heeft accountherstel aangemerkt als een nieuw aanvalsoppervlak nu de adoptie van wachtwoorden toeneemt en traditionele aanvalsmethoden afnemen. “Het inzetten van wachtwoordsleutels verbetert het inloggen”, merkte Microsoft op, “maar aan de meeste accounts is nog steeds een wachtwoord of sms-methode gekoppeld ‘voor het geval dat’ – en zolang die inloggegevens bestaan, vormen ze een aanvalsoppervlak.”
De aanbevolen herstelmethode houdt in dat u de toegangscode van het account op een ander apparaat gebruikt om eventuele herstelstappen te voltooien. Microsoft stelde ook herstelmethoden met hoge zekerheid voor die een door de overheid uitgegeven identiteitsbewijs en biometrische verificatie vereisen, zoals een gezichtsscan, en zei: “Zoals NIST aanbeveelt, vereist herstel met hoge zekerheid een door de overheid uitgegeven identiteitsbewijs en biometrische verificatie.”
Deze richtlijnen zijn voornamelijk gericht op zakelijke gebruikers voor Microsoft en thuisgebruikers voor Google. Ondanks het verschillende publiek erkennen beide bedrijven de bedreigingen die blijven bestaan. Google benadrukte dat hoogwaardige accounts zoals Gmail voortdurend worden aangevallen en spoort gebruikers aan om 2SV te implementeren om de beveiliging te verbeteren. Gebruikers moeten ook effectieve vormen van 2SV selecteren, zoals Google Prompts en een Authenticator-app, en afzien van eenmalige sms-codes, die als zwakkere methoden worden beschouwd.
Naarmate de adoptie van wachtwoorden versnelt, herhaalde Microsoft dat de beveiliging alleen zal werken als gebruikers alle phishable inloggegevens verwijderen. De waarschuwing van Google over de beperkingen van wachtwoorden is vooral relevant nu aanvallers zich beginnen te concentreren op herstelstromen en alternatieve authenticatiemethoden. De voortdurende evolutie van bedreigingen vereist een alomvattende beveiligingsstrategie die robuuste herstelmethoden omvat die verder gaan dan alleen het implementeren van toegangscodes.
