Waarom loginless de toekomst van authenticatie is
Er wordt wel eens gezegd: bekend maakt onbemind.
Maar psychologisch onderzoek laat precies het tegenovergestelde zien: hoe vaker mensen aan iets worden blootgesteld, hoe meer ze zich ertoe aangetrokken voelen, en hoe eerder ze gaan geloven dat het betrouwbaar en veilig is.
Dit fenomeen verklaart misschien het hardnekkig voortbestaan van het traditionele inlogvenster met gebruikersnaam en wachtwoord waarop nog veel te veel organisaties blijven vertrouwen als de digitale voordeur van hun merk. We kennen allemaal het inlogvenster en veel consumenten denken nog altijd dat wachtwoorden de beste manier zijn om hun online accounts en digitale identiteit te beschermen. Maar helaas is dat een volstrekt verkeerde veronderstelling.
De werkelijkheid is dat geraden of gestolen wachtwoorden op een schrikbarend hoge schaal bijdragen aan identiteitsdiefstal en fraude gericht op consumenten. In het VK is jaarlijks meer dan zes procent van alle inwoners slachtoffer van dergelijke misdrijven, een stijging van 22% ten opzichte van cijfers van vóór de pandemie.
Diefstal van wachtwoorden speelt ook een belangrijke rol bij een groot aantal datalekken. Volgens het Verizon Data Breach Report 2021 waren wachtwoorden verantwoordelijk voor 89% van lekken met webapplicaties, in de vorm van gestolen inloggegevens of omdat ze waren gehackt tijdens brute force-aanvallen.
Omdat de digitale transformatie gevolgen heeft voor nagenoeg elk aspect van ons leven, voeren we online steeds meer belangrijke activiteiten en waardevolle transacties uit. We hebben nu al meer gebruikersaccounts, met steeds meer combinaties van een gebruikersnaam en een wachtwoord, dan we mogelijkerwijs kunnen onthouden. Daarom doen mensen wat het meest voor de hand ligt: 86% van de consumenten geeft toe dat ze (soms) hetzelfde wachtwoord voor verschillende accounts gebruiken.
Naarmate mensen meer tijd en geld online spenderen, stijgen ook hun verwachtingen ten aanzien van beveiliging en privacy van hun persoonsgegevens. 92% van de consumenten geeft aan dat ze verwachten dat organisaties hun persoonsgegevens beschermen, en 87% meldt dat ze niet zouden twijfelen om naar een concurrent te gaan als ze het idee hadden dat ze er bij een bepaalde organisatie niet op kunnen vertrouwen dat deze verantwoordelijk met hun data omgaat.
Het is aan de huidige digitale organisaties: als ze willen bieden wat de klanten willen en verwachten, zullen ze login- en authenticatie-oplossingen moeten zien te vinden die voor een krachtigere beveiliging – en een betere customer experience – zorgen dan mogelijk is met die op wachtwoorden gebaseerde aanpak uit het verleden.
De toekomst is aan loginless
Van kassaloze supermarkten tot geautomatiseerde systemen voor parkeergeldbetalingen die rechtstreeks gekoppeld zijn aan het kenteken van een voertuig, er zijn al innovatieve oplossingen die vertrouwen op nieuwe, handigere manieren om identiteit vast te stellen. Op de duur, en misschien al aan het eind van dit decennium, zal het ouderwetse inlogvenster vervangen zijn door doorlopende, contextuele en intelligente authenticatiemethoden. Zulke authenticatie zonder login oplossingen kunnen vertrouwde gebruikers frictieloze toegang bieden met behoud van hun privacy en security.
In plaats van elke gebruiker te vragen een wachtwoord te typen, monitoren de loginless authenticatiesystemen van morgen het gedragspatroon van mensen, en zien ze precies wanneer, waar en hoe mensen een app gebruiken. Als er een onregelmatigheid wordt vastgesteld, volgt er onmiddellijk een beveiligingsreactie. In andere gevallen is het niet nodig om aan te melden.
Devices kunnen gebruikmaken van technologieën als gezichtsherkenning in combinatie met het scannen van vingerafdrukken op een touchscreen om te controleren of gebruikers daadwerkelijk zijn wie ze beweren te zijn. Devices kunnen ook geolocatiegegevens combineren met IP-adressen om meteen vast te stellen wanneer cybercriminelen elders op de wereld een account proberen te hacken. Een gebruiker wordt dan niet door het wachtwoord zelf geïdentificeerd, maar door de manier waarop het wachtwoord wordt getypt.
Dit is nog toekomstmuziek, maar veel van de technologieën die het pad effenen voor loginless kunnen nu al door organisaties worden geïmplementeerd. Met name passwordless authenticatie maakt het mogelijk zowel de customer experience als de security te verbeteren door bij consumenten digital trust op te bouwen en ze tegelijkertijd te verblijden met een soepele experience die de waarde van het eigen merk uitdraagt.
Gaan voor passwordless
Nieuwe gestroomlijnde loginopties worden steeds populairder en nu ze steeds vaker worden gebruikt, vinden consumenten dat veel beter werken dan wat de traditionele methoden te bieden hadden. Dat betekent een nieuwe norm wat betreft de verwachtingen van klanten. Onderzoeks- en adviesbureau Gartner voorspelt dan ook dat eind dit jaar digitale organisaties die soepele identity-verificatietrajecten kunnen leveren, 10% meer zullen omzetten dan hun concurrenten die minder klantgericht zijn.
Consumenten laten nu al een voorkeur zien voor frictieloze loginmethoden. De kans dat klanten zich voor een online service registreren is 50% groter als ze zich kunnen aanmelden met een biometrische methode. En 39% van de consumenten in het VK maakt nu al gebruik van passwordless of biometrische authenticatie wanneer dat maar mogelijk is.
In principe zijn passwordless authenticatie methoden alle methoden die geen gebruikmaken van wachtwoorden. Gebruikers kunnen een eenmalige link of code toegestuurd krijgen om die in te voeren op de site waar de authenticatie is vereist of ze kunnen hun identiteit bevestigen met een biometrische methode zoals gezichtsherkenning of het scannen van een vingerafdruk. Er zijn ook nieuwe op standaarden gebaseerde authenticatieframeworks beschikbaar waarmee gebruikers zich eenvoudig kunnen authenticeren door met een geregistreerd apparaat webapplicaties te openen.
Organisaties die werken met passwordless authenticatie hoeven dat niet voor elke login te gebruiken Ze kunnen er voor kiezen passwordless logins alleen te gebruiken in situaties met weinig risico. Voor logins met een hoog risico kunnen ze een of meer krachtige authenticatiefactoren blijven gebruiken. Daarom vormt multi-factor authenticatie (MFA) zo'n stevige basis voor het gebruik van passwordless. MFA is een methode van identity-verificatie waarvoor de gebruiker meer dan één vorm van identificatie nodig heeft, zoals een wachtwoord plus een eenmalige code die via sms naar een mobiel device wordt gestuurd.
Een organisatie kan beginnen met het gebruik van een passwordless methode door MFA te implementeren en te bepalen wat de risiconiveaus zijn om te beslissen wanneer gebruikers wordt gevraagd hun identiteit te bevestigen door aanvullende, krachtigere authenticatiefactoren te verstrekken. Voor een login afkomstig van een nieuw device vanaf een nieuwe locatie zou dan meer bewijs nodig zijn dat de gebruiker daadwerkelijk degene is die hij of zij beweert te zijn dan voor een login van een bekend device in een vertrouwd netwerk. Door de juiste factor te koppelen aan het juiste risiconiveau, zorgt u voor gebruiksgemak en een krachtige security.
Hetzelfde principe geldt voor passwordless authenticatie. Wanneer er sprake is van weinig risico, is de loginprocedure gestroomlijnd en is er voor gebruikers een eenvoudiger pad naar de resources die ze nodig hebben. Zijn de risico's echter groter, dan wordt extra bevestiging vereist.
Bij Okta helpen we onze klanten om geleidelijk aan over te stappen op loginless identity.
We kunnen onze klanten helpen met een scala aan passwordless mogelijkheden om over te stappen op passwordless authenticatie, zodat ze een gebruikersvriendelijke experience kunnen bieden en identity attacks met succes kunnen afslaan.
Wilt u meer weten over hoe Okta organisaties helpt zich voor te bereiden op een loginless toekomst? Download onze nieuwe whitepaper, Build Trust, Not Barriers: That’s the Loginless Future voor meer informatie over hoe we onze visie – het transformeren van de customer experience van morgen – vandaag al tot realiteit kunnen maken.