Iedereen weet dat je eigenlijk voor elke applicatie een uniek, sterk wachtwoord moet gebruiken. Maar bijna niemand doet dat. Want het is lastig. Begrijpelijk, maar ook een groot veiligheidsrisico. Want bijna alle cyberincidenten beginnen met misbruik van een zwak wachtwoord. MindYourPass ontwikkelde een veilige en zeer gebruiksvriendelijke oplossing, die Centric implementeert.
Merijn de Jonge van MindYourPass wil meteen iets ophelderen: MindYourPass is géén wachtwoordkluis. Het is een oplossing die je gebruikt om een uniek, sterk wachtwoord te genereren voor elke applicatie die je gebruikt. De toepassing bestaat uit een wachtwoordgenerator, die telkens een nieuw, sterk wachtwoord maakt. Plus een firewall waarin een organisatie bepaalt voor welke applicaties sterke wachtwoorden nodig zijn.
Het gebruik hiervan wordt continu gemeten. Niet de wachtwoorden zelf, want die worden niet opgeslagen en bovendien zijn de gebruikers anoniem. Maar wel of ze worden gebruikt. Met die informatie meten organisaties hoe veilig het wachtwoordgebruik is en zien ze waar ze kunnen verbeteren.
Controleerbaar
‘Meestal bestaat wachtwoordbeleid alleen op papier: de organisatie schrijft voor dat mensen sterke wachtwoorden gebruiken. Maar of ze dat daadwerkelijk doen, dat weet je niet. Met MindYourPass weet je dat nu wél, want dit blijkt uit automatisch gegenereerde rapporten. Wij bieden op deze manier auditbare veiligheid op het gebied van wachtwoorden,’ zegt De Jonge.
Voor gebruikers verandert de invoering van MindYourPass weinig, want zij loggen nog steeds in bij een applicatie. Daar is echter een stapje tussengekomen: wanneer ze inloggen, dan opent MindYourPass en daar tikken gebruikers een wachtwoord in dat ze gemakkelijk kunnen onthouden. De technologie van MindYourPass voert het sterke wachtwoord zelfs in voor de gebruiker van de applicatie. Die mag voor elk account hetzelfde, gemakkelijk te onthouden wachtwoord gebruiken. De gegenereerde wachtwoorden worden niet bewaard. De toepassing werkt dus heel anders dan een wachtwoordkluis waarin wachtwoorden wél bewaard worden. In deze animatie wordt duidelijk hoe het werkt.
In de bijbehorende firewall kunnen organisaties bepalen voor welke applicaties een sterk wachtwoord nodig is en aanvullende maatregelen nemen. Zoals multifactor inloggen voor extra veiligheid. In dat geval gebruikt MindYourPass de biometrische identificatie op de mobiele telefoon van de gebruiker voor het genereren van een wachtwoord. De Jonge: ‘Zo krijg je als organisatie goed grip op de veiligheid van je applicaties, zonder dat je daarvoor dure hardware hoeft aan te schaffen.’
Decentrale overheid
MindYourPass is een Nederlands bedrijf. Centric wil de gepatenteerde technologie van de onderneming inzetten voor de decentrale overheid. Voor veel overheden staat het verbeteren van de informatieveiligheid, met als belangrijk onderdeel een sterk wachtwoordengebruik, hoog op de prioriteitenlijst. De Baseline Informatiebeveiliging Overheid (BIO) dwingt dit bovendien af. Luc Beelen, product manager Burgerzaken bij Centric: ‘Goed wachtwoordenbeleid is voor veel van onze klanten een uitdaging. MindYourPass helpt hier controle over te krijgen.’
Centric helpt vervolgens met de implementatie en de doorontwikkeling. Daarvoor is speciaal een kopgroep opgericht. Onder meer de gemeente Pijnacker-Nootdorp zal zo ervaring opdoen met MindYourPass. Beelen: ‘We gaan met de deelnemers van de kopgroep de functionaliteit beproeven en kijken aan welke functionaliteit er nog meer behoefte is.’ Organisaties die deelnemen aan de kopgroep, krijgen een reductie op de licentieprijs van de MindYourPass-software en bijbehorende dienstverleningskosten. De kosten zijn overigens vergelijkbaar met die van een wachtwoordenkluis. Zie ook de website voor deelname aan de kopgroep.
Voldoen aan AVG
Voor organisaties biedt het gebruik van MindYourPass het grote voordeel dat afdwingbaar wordt dat medewerkers sterke wachtwoorden gebruiken. Voor medewerkers is het voordeel dat MindYourPass gemakkelijk te gebruiken is: veiligheid, eenvoud én privacy gaan daarbij samen. Dat het product écht veilig is en de privacy van gebruikers waarborgt, heeft Centric uiteraard uitgezocht, vertelt Beelen.
‘Niet alleen onze eigen mensen hebben dat gedaan, we hebben ook een externe partij, de Software Improvement Group, onderzoek laten doen. Beide onderzoeken bevestigden de kwaliteit. Er kwamen ook een paar aanbevelingen uit, die MindYourPass heeft verwerkt in hun product.’
Een belangrijk aanvullend argument voor organisaties om deze oplossing te gebruiken, is dat MindYourPass is in te zetten als een instrument om te voldoen aan de eisen van de privacywetgeving AVG. De Jonge legt uit: ‘De firewall monitort waar mensen inloggen. Dit gebeurt aan de hand van sleutels die door MindYourPass niet tot personen te herleiden zijn omdat de sleutels niet compleet zijn. Als er een datalek is, dan kan de getroffen organisatie ons vragen om de sleutels aan hen te leveren.’
De klant heeft het andere ‘stuk van de sleutels’, als het ware. ‘Door dat stuk te combineren met de sleutels die ze van ons krijgen, kunnen ze zien welke gebruiker een applicatie benaderderde.’ Met die informatie kan de functionaris gegevensbescherming (FG) bijvoorbeeld reconstrueren wat er is gebeurd en de nodige maatregelen nemen. Voor alle duidelijkheid: dit is géén informatie over wachtwoorden, want het genereren van wachtwoorden gebeurt gescheiden van de firewall. Na afloop maakt MindYourPass nieuwe sleutels waardoor de privacy weer optimaal is beschermd.
Al met al belooft MindYourPass een goede oplossing te zijn voor een vraagstuk waarmee veel organisaties kampen. Dat is de reden dat Centric met het bedrijf samenwerkt en de toepassing inzet, samen met en bij overheden.
Meer informatie
Kijk voor meer informatie op de website van Centric en neem contact op met Luc Beelen via Luc.Beelen@centric.eu . Of bel + 31 6 2901 6578.
Als gemeente aansluiten bij een kopgroep? Dat kan via Kopgroep MindYourPass | Centric
Geef een antwoord