In de gemeente Alkmaar loggen medewerkers ’s ochtends in op hun werkomgeving zonder wachtwoord. Ze bewijzen hun identiteit met behulp van een passkey, die is opgeslagen op hun eigen apparaat. De inlogmethode is niet alleen veiliger dan het gebruik van wachtwoorden, maar ook gebruiksvriendelijker.
Waarom Alkmaar als eerste Noord-Hollandse gemeente kiest voor passkeys
Alkmaar is één van de eerste gemeenten die gebruikmaakt van passkeys om veilig in te loggen. Volgens security-experts voorkomt deze methode dat cybercriminelen een voet tussen de deur krijgen. Om iedereen over te krijgen, werden in Alkmaar hulptroepen aangerukt.
Passkeys worden automatisch gegenereerd. Een passkey bestaat uit één privé en één openbare sleutel. De openbare sleutel wordt opgeslagen op de website waarop je wil inloggen, de privésleutel staat op een eigen apparaat: een smartphone, een tablet, een laptop of een fysieke authenticatiesleutel. Inloggen is alleen mogelijk met de juiste combinatie van openbare en privésleutel.
Aanvalsoppervlakte weghalen
Rick Meints, chief informaton security officer (CISO) bij de gemeente Alkmaar, vertelt: ‘Doordat je een soort certificaat aanmaakt op je eigen apparaat, kan er alleen authenticatie plaatsvinden met de website waarvoor dat certificaat is gemaakt. Een aanvaller kan daar dus nooit tussen zitten.’ Meints is afkomstig uit de pentest- en hackersscene en weet dat het voornaamste risico voor organisaties ligt in phishing en het onderscheppen van inloggegevens, zogeheten Adversary-in-the-Middle aanvallen. ‘Doordat we passkeys hebben geïmplementeerd, halen we in een keer dat aanvalsoppervlakte weg voor criminelen.’
Passkeys is een vorm van phishing-resistente multi factor authenticatie (MFA), een vereiste uit de Baseline Informatiebeveiliging Overheid (BIO). Voor passkey hoef je geen codes in te voeren of tokens te bewaren. In Alkmaar gebruiken ze de Authenticator-app van Microsoft of Windows Hello op de laptop voor authenticatie. Hoe lang de sleutel geldig is, kan een organisatie zelf instellen. Bij Alkmaar kiezen ze voor acht uur. Passkey werkt op basis van Fast Identity Online (FIDO) 2, een verzameling open standaarden. De inlogmethode beperkt zich dus niet tot producten van Microsoft.
Technologie ontzorgt
Michiel Koster, directeur bedrijfsvoering en dienstverlening bij de gemeente Alkmaar, geeft alle credits aan zijn CISO, die de organisatie warm kreeg voor het onderwerp vanuit zijn technische expertise. Tegelijkertijd wijst hij erop dat de technologie de medewerkers ontzorgt: geen gedoe meer met het onthouden van wachtwoorden, geen verplichte wachtwoordwissels meer. Hij stelt: ‘Informatieveiligheid wordt soms gezien als beperkend, maar uiteindelijk is het een hulpmiddel voor gemeenten om betrouwbare dienstverlening te verlenen. Dat besef mogen we best wat meer omarmen.’
Bij de implementatie legde de gemeente de nadruk op communicatie. ‘Na de aankondiging stond er een team klaar om mensen gefaseerd over te laten gaan’, vertelt Koster. Wat ook hielp: een deadline. Na een bepaalde datum was er geen andere mogelijkheid meer om in te loggen. Hulptroepen stonden klaar om medewerkers ondersteuning te bieden. Meints. ‘We kregen de vraag: is het echt wel veilig? Het gaat zo makkelijk en zo snel, dat kán haast niet veilig zijn.’
De eerste in Noord-Holland
Lang niet alle gemeenten werken al wachtwoordloos. Binnen Noord-Holland is Alkmaar de eerste. Meints en Koster moedigen andere gemeenten aan om hun voorbeeld te volgen. ‘Als we criminelen buiten de deur willen halen, is dit echt dé manier.’
Navraag bij de informatiebeveiligingsdienst (IBD) leert dat meerdere gemeenten ermee bezig zijn. In welk stadium zij zich bevinden, weet de IBD niet. ‘De kern van de Cyberbeveiligingswet (Cbw) is risicomanagement en dit is één van de maatregelen om te nemen om risico’s te verkleinen’, zegt een woordvoerder van de IBD. Het heeft wel wat voeten in de aarde om de processen goed op orde te krijgen. ‘Je geeft niet een sleutel en klaar is kees.’
Device bound
Het Nationaal Cyber Security Center (NCSC) is voorstander van deze inlogmethode. Het risico dat passkeys kwijtraken wanneer een apparaat kapot gaat of gestolen wordt, kan bij consumenten van toepassing zijn. In dit geval speelt het niet, zo legt een woordvoerder van NCSC uit. ‘Er is gekozen voor ‘device bound’, waardoor passkeys niet zomaar kwijt kunnen raken omdat de sleutel ‘aan het apparaat vast zit’. Hiermee voeg je een extra laag toe. Je wilt juist niet dat je die sleutels kunt uitwisselen want daarmee creëer je een extra risico. Gebruikers verliezen over het algemeen bijna nooit hun telefoon of laptop en als dat wel het geval is wil je juist dat als incident registeren om vervolgens die sleutels opnieuw aan te maken.’
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.