Hoe veilig is een wachtwoord? We gebruiken de hele dag wachtwoorden. Voor van alles en nog wat: het netwerk van de werkgever, werkmail, privémail, social media accounts, websites, noem maar op. Je moet alle wachtwoorden natuurlijk wel kunnen onthouden. Maar zolang je je wachtwoord geheim houdt en je het zelf hebt verzonnen is het veilig, toch?
Niet dus. Statische wachtwoorden zijn in tegenstelling tot eenmalige en unieke wachtwoorden per definitie onveilig. Ze vormen vandaag de dag de grootste bedreiging voor veel pc’s en dus ook voor organisaties. Eenvoudig verkrijgbare software zoals onzichtbare keyloggers (software of hardware waarmee men de toetsaanslagen en muisbewegingen van een computergebruiker kan registreren) geven hackers de mogelijkheid om gebruikersnamen en wachtwoorden van iedere gebruiker op het netwerk te stelen. Onzichtbare keyloggers omzeilen de laatste beveiligingssoftware, ongeacht de complexiteit en lengte van het wachtwoord. Hackers gebruiken deze software om informatie uit e-mailadressen of social media accounts te halen en kunnen zelfs it-netwerken manipuleren die door een encryptie-protocollen beveiligd worden.
Het is onmogelijk om je te beschermen tegen een aanval door iets dat via het internet contact maakt en op deze manier protocollen omzeilt. Mensen vertrouwen erop dat wachtwoorden veilig zijn omdat ze de onzichtbare dreiging ervan niet kunnen zien, dit betekent ook dat veel hackers nooit ontdekt zullen worden.
Goede identiteitsbescherming wordt door marktbewegingen zoals cloud computing, telewerken en virtuele desktops steeds belangrijker. Om zeker te weten dat de juiste persoon inlogt is sterke authenticatie nodig. Alleen een wachtwoord is niet voldoende. Er wordt steeds meer gekozen voor two-factor authenticatie. Simpel gezegd iets dat je weet (een wachtwoord) in combinatie met iets dat je hebt (een ‘token’, bijvoorbeeld een kaartlezer bij de bank) waardoor je iedere keer een unieke inlog krijgt.
Eigenlijk zou deze zogenoemde ‘sterke authenticatie’ voor iedereen verplicht moeten worden. Zowel thuis als op het werk. Zeker gezien de Europese ontwikkelingen. Of is dit nu weer iets te overdreven? Ik hoor graag jullie mening.
Gebruik KeePass Password Safe
Two-factor authentication lijkt me zeker een goede stap in de juiste richting.
Maar is het niet zo, dat naast een extra handeling van de gebruiker, ook de software dient te worden aangepast? Diensten die zichzelf ‘de moeite waard’ vinden om een dergelijke technologie te implementeren zijn niet te vergelijken met het forum van de buurjongen. Toch worden vaak voor beide diensten eenzelfde gebruikersnaam/wachtwoord gebruikt, daar schuilt een groot deel van het gevaar.
Stel, we stappen massaal over op het gebruik van two-factor authentication, zit ik dan achter mijn PC met een hele sleutelbos vol ’tokens’ of een flinke stapel kaartlezers? Kan ik mijn token van bank A ook gebruiken bij bank B, of het postkantoor?
Beter zou het zijn om voor een aantal diensten een dergelijke ‘standaard’ te kiezen (banken, overheid, gezondheidszorg bijvoorbeeld)? Overal gebruiken van tokens lijkt me (op dit moment) overdreven.
pasjes, irisscan, vingerafdrukscan en zo zijn niet veilig voor authenticatie op het internet omdat een hacker de driver/software van de kaartlezer en scanners kan hacken.
Een RSA token is veilig maar heeft een groot nadeel: je hebt een duur RSA token nodig voor iedere dienst.
Met de bestaande oplossingen kom je er niet. Een oplossing gebaseerd op het idee van een RSA token kan een oplossing zijn indien een meerderheid van de webdiensten samenwerken en iets nieuws fabriceren waarbij 1 token gebruikt kan worden voor alle diensten.
Een goede Internet Security pakket kan in de meeste gevallen de installatie van Keyloggers tegengaan. Tijdelijke wachtwoorden of two-factor gaat wel een stapje te ver voor basic risk gevallen.
Gebr. naam en wachtwoord in combinatie met IP- of MAC adres is ook een soort two factor beveiliging voor de authenticatie over het netwerk. Daarnaast ook de Encrypted cookie authenticatie en veel andere. Er bestaat echter geen 100% beveiliging. Het mag wel duidelijk wezen dat meer beveiliging (bijna) automatisch minder gebruiksvriendelijkheid betekent. Het is precies waar de comment van Bob hierboven gaat.
Als een hacker je informatie wil krijgen, dan bedenkt hij een two-factor hacking manier als het nodig is. Uiteindelijk moet de risico die je loopt de sterkte van je authenticatie bepalen.
De zwakste schakel in de beveiliging blijft de mens. Persoonlijk vind ik het onzin dat in bedrijven waar ik gewerkt heb wordt afgedwongen dat je lange passwords met leestekens gebruikt die je elke maand moet veranderen. Wat je dan krijgt is dat mensen hun password met een post-it op hun monitor plakken. Of andere onveilige manieren bedenken om het lastige password niet te vergeten.
Bij dezelfde bedrijven vroegen de IT afdelingen regelmatig om je password als ze iets wilde doen of resetten ze gewoon je password. Dus men vind beveiliging belangrijk, behalve als het even niet goed uitkomt.
Mijn tip: gebruik voor elke applicatie of website een ander password. Het eerder genoemde KeePass Password Safe kan hier prima bij helpen. Verder gebruik ik TrueCrypt voor mijn persoonlijke documenten en voor backups.
Maak trouwens nooit gebruik van de ingebouwde Windows encryptie, want als een IT beheerder dan je password reset ben je je data kwijt.
Wat ik veel lees hier is dat de gebruiker de zwakste schakel in het geheel is, dat is natuurlijk waar.
Bob en Marcus bezwaren dat een gebruiker een hele set aan tokens aan de bos sleutelhangers krijgt en dat niet alle (web) applicaties ingericht zijn om ook te kunnen authenticeren met tokens van fabrikanten.
Dit klopt ook. We zijn er nog niet om het volledig werkbaar te krijgen en ook nog eens gebruikers vriendelijk.
Er zijn wel veel ontwikkelingen die naar die richting bewegen. Er zijn vendoren die met een bedrijfstoken het technisch mogelijk hebben gemaakt dat gebruikers (werknemers) met dat token ook veilig kunnen in loggen op bijvoorbeeld prive applicaties zoals Hyves. Dat is mooi alleen beperkt tot het aantal applicaties waarmee die specifieke vendor een samenwerkingsverband mee heeft. Maar wel een stap in de goede richting.
Steeds meer bedrijven maken gebruik van niet alleen (bedrijfs) applicaties die in het interne bedrijfsnetwerk staan maar ook van cloud applicaties zoals Google apps of Microsoft office 365. Wachtwoorden die door die applicatie gebruikt worden veroorzaakt voor gebruikers een probleem, immers men moet steeds meer verschillende wachtwoorden onthouden. Er zijn oplossingen beschikbaar die de medewerkers een (web) portal bieden waar icoontjes staan met de interne applicaties, de cloud applicatie en zelf prive applicaties. Dat (web) portal slaat alle statische wachtwoorden op zodat de gebruiker met een Single sign on ervaring (met 1 klik op welke applicatie dan ook en men is ingelogd) aanlogt. De initiele authenticatie is dan belangrijk en dit is prima op te lossen met sterke authenticatie gebruik makende van tokens. De vendor moet dan wel de portal ondersteunen.
De grens werk en prive word steeds vager en de technische (authenticatie) ontwikkelingen die het mogelijk maken dit op een goede manier te beveiligen en te ondersteunen zijn er. En duur hoeft dit zeker niet meer te zijn, ook daar bieden de authenticatie fabrikanten passende oplossingen.
Alle reacties hierboven zijn prima, maar ik lees uit het artikel twee andere zaken:
Wachtwoorden kunnen met keyloggers en dergelijke worden gekaapt. Alleen RSA lijkt daartegen bestand. Ook bij wachtwoord managers zoals keepass moet een wachtwoord toch een keer worden ingetikt c.q. ingeplakt. En alles dat via de eigen computer moet worden ingevoerd in een pagina kan door hacksoftware worden afgeluisterd.
Het is idd helaas onmogelijk om je daartegen te beschermen. In theorie nog wel: de software die dit doet niet activeren, maar in de praktijk is dit vrijwel ondoenlijk omdat het merendeel van sites inmiddels scripting in de browser vereist – ziehier de race tussen criminele software en de bestrijding daarvan.
Ik vraag mij af of de verantwoording niet teveel bij de gebruiker gelegd wordt, ik ken mensen die helemaal niet weten wat een keylogger is en toch bijvoorbeeld hun bankzaken doen via internet. De consument moet zijn gezond verstand gebruiken maar de softwareproducent moet een veilig product leveren, als een keylogger zonder mijn weten zich kan installeren in mijn besturingssysteem dan is dat naar mijn mening toch echt een fout besturingssysteem. Als we zo doorgaan zoals nu dan zal de crimineel het altijd winnen zelfs al hebben we een dozijn sloten, wachtwoorden, pasjes en weet ik veel wat op onze pc.
Wat Steam recent introduceerde is wel goed. Inloggen kun je alleen vanaf bekende locatie of pc (dus of gateway-IP loggen en evt cookie), en anders via mail-link een goedkeuring vragen.
Verbaas me over hoop sites waar je allerlei gegevens kunt wijzigen zonder uberhaupt een automatisch bericht naar je mailadres. Vaak wel voor mailadreswijzigingen, maar niet altijd.
Een OpenID met bv sms authenticatie in combinatie zou mooi zijn. Maar tooltjes om allerlei onleesbare passwords te maken en onthouden zijn gewoon niet handig, zeker in de steeds mobielere wereld. Een extra stap bij belangrijke stappen (bestellen, mutaties) zou je net als Mastercard met een SecureCode-achtig vervolg moeten regelen. Niet alleen password en userid, maar op z’n minst een link in mail die aangeklikt moet worden. Niet waterdicht, maar begin eens met een veiligere basis.
Een beetje een open deur en nog niet geheel compleet.
Het klopt wat je schrijft maar dat is toch al bij iedereen bekend.
Wachtwoord nooit volledige betrouwbaar, maak er maar van geen enkele beveiligingsmethode/middel volledig betrouwbaar.
Het gaat er om of het middel inverhouding staat tot wat je wil beschermen.