Dit is een expertquote van Jelle Wieringa, Security Awareness Advocate, KnowBe4.
U kunt dit bericht, of delen hiervan gebruiken op uw kanalen, met vermelding van de naam van de expert en organisatie. Aanleiding: Google komt met passkeys: 'Begin van het einde van het wachtwoord' - Techzine.nl
Steeds meer grote techbedrijven introduceren met de passkeys-functie een nieuwe manier waarmee mensen kunnen inloggen. In plaats van dat mensen een wachtwoord invoeren, moeten ze een handeling verrichten met een apparaat zoals hun smartphone. Denk aan het klikken op een login-bevestigingsbericht of een veegpatroon of het checken van een vingerafdruk. Mensen kunnen zich met deze passkeys-technologie beter beschermen tegen phishing-e-mails. Maar het is niet zo dat passkeys volledig bestand zijn tegen phishing, zoals Apple beweert. Daar is een combinatie aan veiligheidsmaatregelen voor nodig.
Cybercriminelen kunnen phishing op veel manieren uitvoeren. Ze laten hun slachtoffers bijvoorbeeld op linkjes klikken die doorverwijzen naar de website van de zogenaamde afzender. Wanneer mensen hier hun mailadres en wachtwoord invoeren, kunnen cybercriminelen deze stelen en in hun voordeel gebruiken. Omdat mensen met passkeys geen wachtwoorden meer hoeven te gebruiken, maar in plaats daarvan een handeling uitvoeren met hun eigen apparaat, kunnen ze voorkomen dat cybercriminelen succesvol zijn en hun gegevens misbruiken voor het inloggen op hun onlineaccounts.
Maar dat geldt niet voor alle phishing-e-mails. Neem bijvoorbeeld Business Email Compromise (BEC)-aanvallen. Dit is een vorm van social engineering waarbij een cybercrimineel zich in een e-mail voordoet als de CEO of een HR-manager van een bedrijf. In die e-mail vraagt hij een medewerker van dat bedrijf om ‘zo snel als mogelijk’ bepaalde data te delen of een geldbedrag op een rekeningnummer te storten. Cybercriminelen besteden veel tijd en aandacht aan deze e-mails. Door zaken zoals het e-mailadres, afzender, onderwerp en tone of voice zo realistisch mogelijk te maken. Tegen dit soort social engineering-aanvallen gaan passkeys niet werken.
Als mensen zich niet realiseren wanneer ze gemanipuleerd worden en eigenhandig data delen met een cybercrimineel, gaat technologie nooit het verschil maken. Ook passkeys niet. Ze zijn dus geen cure-all-fix en zeker niet anti-phishing. Mensen moeten niet alleen vertrouwen op technologie, maar ook kennis hebben over en zich bewust zijn van de tactieken van cybercriminelen om veilig gedrag te kunnen vertonen. Alleen zo verkleinen we de kans dat cybercriminelen hun slag kunnen slaan.
Dit is een origineel bericht van KnowBe4