Waarom authenticeren wij personen aan de hand van wachtwoorden? Deze vraag hoorde ik tijdens een recent it-congres. Het antwoord heeft te maken met de aanname dat wachtwoorden een persoon uniek en 'echt' maken, deze kiest immers een bij hem/haar passend wachtwoord. Maar hoe uniek zijn de wachtwoorden? En wat zijn de alternatieven?
Allereerst de uniciteit van wachtwoorden:
• Het meest voorkomende wachtwoord is 'password'.
• Veel wachtwoorden bestaan alleen uit cijfers; bij voorkeur 000000 of 123456.
• Veel wachtwoorden bestaan uit voor de hand liggende toets combinaties zoals 'qwerty'.
• In de lijst van meest voorkomende wachtwoorden komt het eerste wachtwoord met een 'echte' betekenis pas op plaats 6…
• en op deze nummer 6 staat… “monkey”…. Daarmee de moeilijkheidsgraad samenvattend van de wachtwoorden op plaats 1 tot en met 5.
Toch blijven we volharden in de illusie dat we met wachtwoorden mensen kunnen authenticeren. En dat is toch echt niet meer nodig. Ik wil in deze blog drie alternatieven toelichten.
Allereerst een techniek die al enige tijd bestaat: iris scans. Het scannen van de iris van een persoon, levert een unieke afdruk op die gekoppeld kan worden aan die specifieke persoon. De techniek wordt al gebruikt, onder andere op luchthavens. Nadeel is het feit dat je echt met je ogen dicht bij de scanner moet gaan staan. Het is een handeling die niet vanzelf gaat (net zoals een wachtwoord invoeren overigens) en daarmee niet echt in de natuurlijke flow van gedragingen van mensen zit.
Er is een beter alternatief. Inmiddels zijn er laptops en schermen op de markt waarop een camera is gemonteerd die het gezicht van de gebruiker registreert. Met automatische gezichtherkenning worden twee dingen opgelost:
• Als de gebruiker weg loopt van zijn scherm, wordt dat gedetecteerd en gaat het device automatisch in 'vergrendeling'.
• Als een gebruiker voor het scherm gaat zitten, wordt direct gescanned of het dezelfde gebruiker is die het scherm eerder heeft verlaten. Zo ja, dan wordt het device ontgrendeld en komt de gebruiker direct terug in de sessie waar hij voorheen in werkte. Als het om een nieuwe/andere gebruiker gaat, komt die gebruiker automatisch in het opstartscherm om zich te laten authenticeren.
Een derde alternatief is inmiddels op de markt in de vorm van handpalm scanning. Het gaat hier niet om een 'grote vingerafdruk', maar om het scannen van de aderstructuur in de hand. Deze techniek is niet alleen beter praktisch toepasbaar, maar is vooral betrouwbaarheid in de zin van het laagste aantal onterechte positieve authenticaties en onterechte weigeringen. Dat komt omdat de techniek veel beter bestand is tegen temperatuurwisselingen, vochtigheid en andere externe omstandigheden. Ook deze techniek is inmiddels beschikbaar in het domein van laptops en desktops. De techniek is inmiddels klein genoeg om in een muis te passen of in een beschermcase van een tablet.
Gezichtsherkenning en handpalm scanning zijn niet alleen maar een leuk aardigheidje om te vermijden dat je een wachtwoord vergeet (password resets maken 14 procent uit van de vragen die gesteld worden aan de helpdesk) of niet meer in hoeft te voeren. Bedrijven hebben terecht een beleid dat hun gebruikers om veiligheidsredenen hun pc moeten vergrendelen voordat ze er van weg lopen. Bij audits wordt er op gecontroleerd en dit type beleid is onderdeel van ISO-certificeringen. De nieuwe technieken bieden de mogelijkheden om dit beleid te implementeren door middel van automatisering.
Ook voor de nabije toekomst bieden de nieuwe technologieën mogelijkheden: op dit moment loopt een gemiddelde volwassene met minstens tien plastic cards rond; voor de sportschool, voor toegang tot je werk, voor betaling bij een kassa, voor authenticatie bij een ziekenhuis, voor het reizen in het openbaar vervoer, et cetera. Je kan die passen vergeten, kwijt raken of ze worden gestolen. Je handpalm heb je altijd bij je. Je handpalm heeft geen pincode die je moet onthouden, Je handpalm is in een 'swipe' langs een poortje te halen voordat je in de trein stapt.
Kortom: de techniek is beschikbaar en betrouwbaar; dus weg met die wachtwoorden.
Geen vingertjes meer afhakken nu, maar hele handjes. Leuk stukkie wel. Is toch ‘een beetje’ dagdromen nog. Wie gaat logische en fysieke toegang combineren? Wie gaat alle handpalm authenticatie voor alle mogelijke toepassingen combineren? Maar het belangrijkste wordt nog: wie gaat de handpalmbezitter beschermen? Dream on!
Fijn als je hand in het gips zit, als je je collega met spoed toegang tot jouw account wil geven (uitzondering, maar af en toe absoluut noodzakelijk), als de scanner weigert/gesaboteerd is, je in wilt loggen op locatie zonder ‘mechanische’ authenticator.
Daarnaast introduceert het gebruik van biometrische authenticatie een privacyprobleem: het werkt (onbedoeld) ook als een identificatie. Personen zonder een account kunnen wel herkend worden en koppelingen tussen verschillende accounts kunnen worden gemaakt omdat het ‘wachtwoord’ overeenkomt. Anonimiteit is weer een stap verder weg, maar o zo belangrijk in onze maatschappij waar we steeds meer gaan vertrouwen op wat ‘het systeem’ over jou en anderen te melden heeft.
Nee, wat mij betreft mogen wachtwoorden nog lang blijven bestaan.
Wat ik vele malen mooier vind is two-factor authentication, zoals Google dat bijvoorbeeld heeft, en ING binnenkort ook.
Inloggen geschiedt met een wachtwoord gecomibineerd met een token via bijv. SMS of een mobile app. Erg handig, want je mobieltje heb je altijd bij je!
hr De Voogd,
Ik begrijp uw redenering, maar moeten we dan ook de wet maar afschaffen omdat er geroofd en gemoord wordt?
Frans van der Reep
Zomaar een idee wat na het lezen van dit, goed leesbaar overigens, artikel in me opkomt:
Bij dieren kun je een chip in laten brengen om je huisdier uniek identificeerbaar te maken. Dierenartsen hebben vervolgens een scanner om deze chip uit te lezen.
Bouw een scanner in in je device, en injecteer de chip onderhuids op een praktische plek en voila, dan zijn we er toch?
Bij de two-factor authentication zoals JW beschrijft zie ik wel wat praktische bezwaren, vooral als je codes via een app binnen moet krijgen. Dit bezwaar uit zich met name als je ergens in het buitenland zit, en je data-roaming uitgeschakeld hebt of in een gebouw zit waar je geen gsm ontvangst hebt.
PaVaKe,
Google Authenticator kun je gebruiken *zonder* internet verbinding. Ik gebruik het voor Dropbox, Google, Amazon AWS, LastPass en nog wat andere diensten. Er zit een algoritme in *hoe* de nummers gegenereerd worden en die loopt synchroon met de authenticatie server.
2-Factor is gewoon een extra stap die het phishen van wachtwoorden zinloos maakt. Ook beschermt het tegen je “wachtwoord vergeten” opties waarbij je e-mail dienst gebruikt wordt om je account te herstellen.
Het identificeren en authenticeren en verifieren is gewoon nog steeds een lastige business waar nog geen silver bullet voor is. De eerste die dit echt goed, veilig en gebruiksvriendelijk aan kan bieden… wordt een miljardenbedrijf.
@Henri: klopt. Daarnaast kun je als backup nog een lijst van eenmalig te gebruiken codes uitprinten voor het geval je je mobieltje kwijt bent / accu leeg is, etc.
Biometrische authenticatie heeft m.i. teveel haken, ogen en privacybezwaren.
Goed dat er zo nu en dan aandacht is voor deze kwestie, waarom moeilijk doen. Wachtwoorden kan je eenvoudig maken met een wachtwoord generator tool en eventueel bewaren met een wachtwoorden kluis tool, allemaal gratis te verkrijgen en eenvoudig te beheren. Biometrische authenticatie die goed werkt is relatief duur in aanschaf en beheer. En er moet met veel zorg omgegaan worden. Juist in omgevingen waar men niet goed omgaat met wachtwoorden, kan biometrische authenticatie snel meer problemen opleveren dan oplossen. En goedkope biometrische authenticatiemiddelen leveren vooral technische en daarmee continuïteitsproblemen op. En dat kost nog meer.
Per geval moet bekeken worden wat zinvol is en wat de organisatie aankan en waar het management echt achter wil gaan staan. Dat laatste is meestal de zwakke plek.
Het houden van audits op de naleving is prima, maar helaas is het bijna altijd een wassen neus. Audits worden bijna altijd min of meer aangekondigd. Opeens zijn er dan clean desks, enz. en na de audit is het weer net zo (on)veilig als het voorheen was. Dan krijgt men een certificaat met niet meer waarde dan het papier, dat o zo geduldig is.
Biometrische authenticatie zal uiteindelijk wel veel meer toegepast gaan worden. Maar volgens mij gaat dat echt niet zo snel gebeuren als in dit artikel gesuggereerd wordt. Dat schreef ik vijftien jaar geleden ook al, toen men ook heel verwachtingsvol was over stem-, iris- en vingenafdrukscannen. Niettemin blijft de ontwikkeling wel heel interessant.
Als we ons al terecht druk maken om het bewaren van vingerafdrukken en dna scans, lijkt me opslag van biometrische gegevens door willekeurige bedrijven wat te veel van het goede. Dan nog het foutpercentage zowel in onterechte authenticatie als in onterechte afwijzing, beide onacceptabel behalve voor oninteressante diensten. Een betrouwbare en acceptabele toepassin glijkt me nog ver weg.
Een goede idee van de schrijver van het artikel, maar het is een variatie op bestaande systemen en de kraakbaarheid van dit soort systemen is natuurlijk niet onmogelijk.
Ik heb ooit zo’n systeem onderzocht en toen bleek dat voor identificatie van de vinger in dit geval een betastend werd gemaakt dat ergens encryptie werd opgeslagen. Op het moment dat je dit bestandje hebt, kom je overal in.
Ik heb geen voorstander van een eenmalige indentificatie, something to know en something to have is een goed principe voor authenticatie, dus naast de handpalm toch nog maar iets anders uitvragen wat uniek is.
Wonderlijk vak, de ICT, dat je zulke artikelen kan schrijven en er toch carriere in kan maken. Niets over wie het gaat implementeren, wie het gaat betalen, welke juridische en technische complicaties je kan tegenkomen.
Gewoon artikel afsluiten met
Kortom: de techniek is beschikbaar en betrouwbaar; dus weg met die wachtwoorden.