Wachtwoorden zijn ontworpen om wachtwoorden te vervangen en phishing-aanvallen te bestrijden, maar zowel Google als Microsoft waarschuwen dat ze onvoldoende zijn als er zwakkere herstelmethoden blijven bestaan. Microsoft verklaarde: “Elk account is slechts zo veilig als de zwakste inloggegevens”, wat aangeeft dat wachtwoorden en sms-herstelopties nog steeds nieuwe aanvalsoppervlakken kunnen bieden, zelfs na het implementeren van toegangscodes.
Google erkent dat wachtwoordsleutels gemakkelijker en veiliger online toegang mogelijk maken in vergelijking met wachtwoorden en andere traditionele multi-factor authenticatiemethoden. Het bedrijf waarschuwt echter dat gebruikers hun accounts ook moeten beveiligen met tweestapsverificatie (2SV) om te beschermen tegen pogingen tot nabootsing van identiteit waarbij verloren toegangssleutels kunnen worden misbruikt.
Door kwetsbaarheden in geautomatiseerde herstelprocessen kunnen aanvallers zwakkere inloggegevens gebruiken om wachtwoordsleutels volledig te omzeilen. Volgens Microsoft verbetert het gebruik van wachtwoordsleutels de inlogbeveiliging, maar aan veel accounts zijn nog steeds opties voor wachtwoord- of sms-herstel gekoppeld, waardoor potentiële aanvalsoppervlakken behouden blijven. “Het implementeren van wachtwoordsleutels verbetert het inloggen”, zei Microsoft, waarbij hij de risico’s benadrukte die gepaard gaan met zwakke herstelmethoden.
De optimale hersteloplossing is het gebruik van de accountwachtwoord op een ander apparaat. Microsoft merkte ook op dat een superieure herstelmethode het presenteren van door de overheid uitgegeven identiteitsbewijzen en biometrische verificatie omvat, in lijn met de NIST-aanbevelingen voor herstel met hoge zekerheid.
Microsoft richt zijn begeleiding vooral op zakelijke gebruikers, terwijl Google zich richt op thuisgebruikers. Ondanks dit onderscheid erkennen beiden dat diensten als Gmail aantrekkelijke doelwitten blijven voor cybercriminelen. Google dringt er bij gebruikers op aan om 2SV te implementeren voor extra bescherming tegen ongeautoriseerde toegang, vooral gezien het risico dat aanvallers het accountherstelproces misbruiken.
Google benadrukt de noodzaak om twee specifieke soorten 2SV te gebruiken: Google Prompts en een Authenticator-app op mobiele apparaten. Zowel Google als Microsoft raden af om te vertrouwen op eenmalige sms-codes en categoriseren deze als zwakke vormen van meervoudige authenticatie die volledig moeten worden uitgeschakeld ten gunste van veiligere alternatieven.
Hoewel het gebruik van wachtwoordsleutels toeneemt, waarschuwt Microsoft dat de effectiviteit ervan afhankelijk is van het feit dat gebruikers phishable inloggegevens volledig elimineren. Google benadrukt dat wachtwoordsleutels weliswaar een cruciale ontwikkeling zijn, maar dat ze geen onfeilbare oplossing zijn, vooral omdat aanvallers zich steeds vaker richten op herstelstromen en fallback-authenticatiemethoden.
