Leuk hoor, dat alles tegenwoordig wordt gedigitaliseerd en beveiligd met een wachtwoord of pincode, maar ik heb inmiddels meer pincodes en wachtwoorden dan sleutels aan mijn sleutelbos. Ik moet er telkens meer onthouden. Ik probeer het altijd met ezelsbruggetjes. Zoals de laatste vier cijfers van mijn ouders telefoonnummer, gedeeld door drieëntwintig, plus vierduizend. Ik heb bij de pinautomaat altijd een lange rij achter me staan.
In het begin was het meest gebruikte wachtwoord ‘geheim'. Wat is je wachtwoord? Dat is ‘geheim'. Degene die het verzonnen heeft, heeft er zelf niet eens om gelachen.
Zelf doe ik altijd vieze woorden zoals maagzuur of diarree (en natuurlijk nog een paar apenstaartjes en hekjes voor de veiligheid). Mensen die mijn mail proberen te hacken gaan natuurlijk eerst de namen van mijn kinderen af, dan mijn vrouw, favoriete voetbalclub, huisdier, geboortedatum, het zal toch niet stiekem toch ‘geheim' zijn? Nee, het is kotsklontjes!
Kotsklontjes
Mijn vrouw moest laatst van mij even mijn mail checken en ze vraagt aan mij: wat is je wachtwoord? Ik zeg, kotsklontjes. Waarop mijn vrouw zegt: wie heeft er nou als wachtwoord kotsklontjes? Ik zeg: 'Precies! Daar sla je de spijker op zijn kop.' Ik ben niet de Friesland Bank, waar het hele dorp dezelfde pincode heeft!
Ik word er gek van. Er valt toch wel iets anders te verzinnen dan al die wachtwoorden. Iris scannen, stemherkenning, geurproeven of een rebus die alleen jij kunt oplossen. Maar goed, wat je ook verzint en hoe goed je iets ook beveiligd, er zal altijd een gek zijn die de beveiliging omzeilt.
Dus wat ze moeten doen is niet beter beveiligen, maar ze moeten het inbreken strenger straffen. Zet die hackers maar voor een lange tijd vast. Uiteraard zonder ze op verlof te sturen.
De huis-tuin-en-keuken hacker – die ook echt een white-hat hacker blijft en geen black-hat hacker (oftewel een cracker) is bij wie ’t toch vooral vaak een sport is om te pochen en gebruikers op veiligheidsgaten te wijzen: die moeten in elk geval helemaal niet harder aangepakt worden. Sterker nog – geef ze een baan als security-tester. Er zijn immers websites en databases zat die zo lek als een mandje zijn. Er is tekort aan dit soort personeel. Kortom, zulk personeel kan goed gebruikt worden. Dan de black-hat hackers (c.q. crackers): ja, die mogen ze van mij langer straffen. En dan denk ik vooral aan de mensen die meewerken aan ’t botten van (meestal Windows-)PC’s en _vooral_ aan de mensen die hun diensten afnemen. Want van Microsoft en consorten zal toch nooit ge?ist worden dat ze een keer veilige spullen afleveren en veilige defaults instellen. Dus ’t enige wat dan overblijft is inderdaad ’t hard aanpakken van de symptonen – alhoewel de oorzaken aanpakken natuurlijk mooier zou zijn. Maar dat zal voorlopig niet gebeuren, want de omzetten moeten natuurlijk niet krimpen.
Hoewel ’t ook inderdaad nog veel voorkomt dat men onveilige wachtwoorden neemt, ligt daar niet ’t pijnpunt – men is tenslotte zelf verantwoordelijk voor ’t gebruiken van wachtwoorden die makkelijk te raden zijn. Nee – ’t pijnpunt is gaten in de software (incl. firmware) en ontwerpfouten in protocollen. D?e zaken moeten worden aangepakt. En dat kan – zo heeft de geschiedenis bewezen – ’t beste door Open Source te gebruiken, zodat iedere knuppel (ja, ook hackers) in de code kan kijken en zodat men nooit bewust achterdeurtjes kan inbouwen en zodat programmeurs verplicht worden netjes en veilig te programmeren – immers, iedereen kan hun werk inzien. Broddelwerk afleveren zal dan niet worden geaccepteerd. (Zoals nu w?l ’t geval is.)
Dat heeft v????l meer effect dan achteraf nu en dan een crackertje oppakken (c.q. een stukje symptoon weg te snijden) die wat VISA-codes heeft weten te bemachtigen door een database van een webwinkel te kopi?ren.
Maar voorlopig zal ’t toch vooral daarbij blijven: symptoonbestrijding.
Helemaal waar! Je wordt ***gek*** van de wachtwoorden en dat dan ook nog voor de meest onbenullige zaken ook. En dan gaan ze ook nog zo ver dat ze nog eisen stellen aan die wachtwoorden ook, zodat je fraai bedachte wachtwoord ineens weer niet geaccepteerd wordt en je ter plekke iets anders moet verzinnen.
Het ergste vind ik dat je bij sommige instanties dus doodleuk ieder jaar een ander wachtwoord moet verzinnen dat essentieel afwijkt van alle vorige versies… Gevolg is, dat men het allemaal niet meer kan onthouden en op het bureaublad een tekstbestandje plaatst genaamd ‘wachtwoorden.doc’, of erger nog overal lijstje heeft slingeren met wachtwoorden. Daarmee wordt de beoogde ‘veiligheid’ juist contra-productief.
Ook overkomt het me vaak dat ik dus weer niet meer weet welk wachtwoord ik ook weer had en ‘dus’ maar een nieuw account voor het een of ander open.
Maar ik heb de oplossing gevonden: een eenvoudig wachtwoordenprogrammaatje dat gewoon vanaf een USB-stick werkt. Nog maar EEN enkel wachtwoord te onthouden en overal de beschikking tot je wachtwoorden. Perfect!
…en dan maar hopen dat die usb stick niet kwijtraakt…
Nee Peter, daarvan ligt een kopie naast de PC met de opschrift, “mijn wachtwoorden”.
“Zet die hackers maar voor een lange tijd vast.”
Zolang ze aan de “goede kant” lopen, zou het doodzonde zijn van het mooie “security_werk” wat ze doen. Wat dat betreft met ik het met “M” eens.
Keer op keer laten deze ict-experts zien dat
– de produkten niet zo veilig zijn als de sales-afdeling je wil doen geloven,
– dat er nog steeds gaten zitten in je beveiliging,
– dat zaken nog steeds niet zo goed beveiligd zijn als dat eigenlijk zou moeten/kunnen.
“If you can beat them, hire them.”
Erken als bedrijf dat je development team is verslagen door een expert die gewoon beter is, huur hem/haar in en sta open van wat ze je kunnen leren. Dan weet je zeker dat je volgende release een stuk beter in elkaar zit en daar worden we allemaal beter van 🙂