In de afgelopen 10 a 15 jaar zijn de internetsites waar je moet inloggen als paddenstoelen uit de grond gekomen. De gemiddelde Nederlander zal waarschijnlijk bij tientallen sites geregistreerd staan. Bij al die sites is een username en wachtwoord nodig om in te loggen. Dat kan al snel problemen opleveren.
Als je je netjes aan de regels voor internet-security houdt, moet je voor elke site een ander wachtwoord gebruiken. Bovendien mag je die wachtwoorden nergens opschrijven. Dat begint al heel lastig te worden: van tientallen sites verschillende wachtwoorden onthouden zonder ze op te schrijven, is een hele uitdaging. Maar het wordt nog lastiger: de meeste sites hebben tegenwoordig (uit veiligheidsoverwegingen) een 'strong password policy'. Dat betekent dat je password een minimale lengte moet hebben, minimaal een aantal bijzondere tekens, cijfers en hoofdletters moet bevatten. Dat maakt het onthouden ervan niet eenvoudiger.
Om het nog lastiger te maken ben je ook steeds vaker verplicht het wachtwoord regelmatig te wijzigen. Je mag dan natuurlijk geen eerder gebruikte wachtwoorden hergebruiken (dat spreekt voor zich).
Kortom, de gemiddelde Nederlander wordt geacht voor tientallen sites regelmatig nieuwe complexe wachtwoorden te bedenken en die (zonder ze op te schrijven) te onthouden. Volgens mij een onmogelijke opgave. Gevolg is dat mensen de regels aan hun laars gaan lappen: dezelfde wachtwoorden voor verschillende sites gebruiken of wachtwoorden opschrijven. Niet verstandig, maar wel de enige mogelijkheid om nog ergens in te kunnen loggen.
Natuurlijk kun je de wachtwoorden laten opslaan door de browser (of een lokale wachtwoordbeheerder), maar dan ben je wel volledig afhankelijk van de machine waarop de wachtwoorden opgeslagen zijn. Als je op een andere machine wilt inloggen, ben je de klos, nog afgezien van het feit dat we eigenlijk geen wachtwoorden zouden mogen opslaan, zelfs niet in een veilige omgeving.
Op internet zijn ook allerlei wachtwoordbeheerders beschikbaar die wachtwoorden voor je onthouden en deze in de cloud opslaan. Het probleem is alleen dat dat eigenlijk hetzelfde risico heeft als wanneer je hetzelfde wachtwoord voor meer sites gebruikt: als het wachtwoord dat je gebruikt voor de wachtwoordbeheerder gekraakt wordt, heeft men in één klap toegang tot al je privé-informatie.
De vraag is of het überhaupt nog wel mogelijk is veilig met passwords op internet om te gaan en of we in de toekomst, naast passwords, ook andere authenticatiemiddelen zouden moeten gaan gebruiken.
Gebruik al jaren een dergelijke wachtwordbeheerder op internet. En ja, als het wachtwoord daarvoor gekraakt wordt heb je alsnog een fors probleem.
Dus heb ik daarvoor de moeite genomen een wat langer, complexer wachtwoord te bedenken, en ik gebruik het niet voor sites waarvoor de impact van kraken groot is. Gelukkig is dat aantal beperkt.
Ik vind zelf dat de makers van al die websites inmiddels beter zouden moeten weten.
Zelf opslaan van login-informatie is gevaarlijk, dat moeten we overlaten aan bijvoorbeeld OpenID.
Dus niet klooien met wachtwoordbeheerders, maar de makers van sites aansporen om niet zelf het wiel uit te willen vinden.
Allang geleden uitgezocht en afgevinkt.
Lastpass Premium in combinatie met een yubikey. Multifactor authenticatie. Lastpass kan ook sterke wachtwoorden voor je maken. Zie voor meer info
http://lastpass.com/ en http://www.yubico.com/yubikey
Voor een review, luister naar de podcast van Steve Gibson, zie http://www.grc.com/sn/sn-256.htm
Zo en nu weer allemaal aan het werk…
De groei van het aantal accounts en passwords is fors. Al een aantal jaren wordt gewerkt aan het hergebruik van authenticatiemiddelen. DigiD en eHerkenning voor bedrijven zijn een tastbaar resultaat van deze inspanningen. Vanuit het Platform Identity Management Nederland (www.pimn.nl) wordt hergebruik van middelen, het losmaken van authenticatie uit applicaties en toenemend gebruik van mobiele telefoons voor inloggen als een trend gezien. Voor de convergentie van logische en fysieke beveiliging zijn nog weinig voorbeelden bekend, maar dat zal ook gaan spelen. OpenId, Oauth in combinatie met Socical Sign On bieden interessante ontwikkelingen. Wachtwoord beheer is nodig, de ontwikkeling daarheen kost de nodige tijd.