Als bedrijven single sign-on invoeren, dan zullen veelvoorkomende wachtwoorden als 123456 of password aanzienlijk afnemen. Dat zeggen security-experts op nieuwssite Channelinsider. Werknemers hoeven, omdat er maar één keer een wachtwoord ingevoerd wordt voor meerdere applicaties, maar één wachtwoord te onthouden.
In de lijst met 25 populairste wachtwoorden van 2011 zitten nog steeds makkelijk te raden exemplaren zoals 'password' en '123456', zo blijkt uit databases van hackers. Ook 'qwerty', 'letmein', 'monkey' en 'qazwsx' komen veel voor. Er wordt bij het maken van een wachtwoord voor een website vaak aangeraden zowel letters als cijfers te gebruiken, maar dat is zinloos wanneer codes als 'abc123', 'passw0rd' of 'trustno1' worden gebruikt.
Zelfs als gebruikers een mailtje krijgen dat ze hun wachtwoord sterker, dus meer afwisselend, moeten maken, dan geven ze hieraan vaak geen gehoor. Daarom pleiten experts voor het gebruik van inlogsystemen zoals bijvoorbeeld Facebook Connect, waarbij ingelogd wordt op websites van derden via het Facebook-account.
Twee wachtwoordproblemen
Er zijn twee problemen met wachtwoorden. Enerzijds worden er zwakke wachtwoorden gebruikt en anderzijds worden die zwakke wachtwoorden voor diverse websites gebruikt. Experts vinden dat er minder toepassingen moeten zijn die verificatie nodig hebben via een wachtwoord. Bovendien is het veel beheersbaarder en goedkoper om verificatie via een token of telefoon te laten verlopen, dan steeds voor elke applicatie weer opnieuw een wachtwoord in te tikken.
Dat er vaak zwakke wachtwoorden gebruikt worden, is zeker waar.
Maar om dat nou via Facebook (de slechtste keus die je maar kunt maken op privacygebied) te laten lopen gaat me wat te ver.
Beter is het als je dat bijvoorbeeld doet met een LastPass-plugin via Firefox.
Dat kan sterke paswoorden genereren, en via encrypted verbindingen evt automatish je paswoorden invullen en/of beheren.
Alles wordt op de server ook zwaar encrypted bewaard, en is uitsluitend voor jou toegankelijk.
Jaren terug had Microsoft hier al een oplossing voor: Microsoft Passport. Je kon op alle websites met dat logo (zoals hun eigen MSN en Hotmail site) inloggen met je Passport.
Dit is nooit van de grond gekomen.
Ik genereer voor elke website een random ww, die ik in een secure password manager heb zitten. Maar single signon is helemaal geen slecht idee. En het mooie is, het is er al: http://openid.net/ Hopelijk zijn er steeds meer sites die dit gaan gebruiken.