Waarom authenticeren wij personen aan de hand van wachtwoorden? Deze vraag hoorde ik tijdens een recent it-congres. Het antwoord heeft te maken met de aanname dat wachtwoorden een persoon uniek en 'echt' maken, deze kiest immers een bij hem/haar passend wachtwoord. Maar hoe uniek zijn de wachtwoorden? En wat zijn de alternatieven?
Allereerst de uniciteit van wachtwoorden:
• Het meest voorkomende wachtwoord is 'password'.
• Veel wachtwoorden bestaan alleen uit cijfers; bij voorkeur 000000 of 123456.
• Veel wachtwoorden bestaan uit voor de hand liggende toets combinaties zoals 'qwerty'.
• In de lijst van meest voorkomende wachtwoorden komt het eerste wachtwoord met een 'echte' betekenis pas op plaats 6…
• en op deze nummer 6 staat… “monkey”…. Daarmee de moeilijkheidsgraad samenvattend van de wachtwoorden op plaats 1 tot en met 5.
Toch blijven we volharden in de illusie dat we met wachtwoorden mensen kunnen authenticeren. En dat is toch echt niet meer nodig. Ik wil in deze blog drie alternatieven toelichten.
Allereerst een techniek die al enige tijd bestaat: iris scans. Het scannen van de iris van een persoon, levert een unieke afdruk op die gekoppeld kan worden aan die specifieke persoon. De techniek wordt al gebruikt, onder andere op luchthavens. Nadeel is het feit dat je echt met je ogen dicht bij de scanner moet gaan staan. Het is een handeling die niet vanzelf gaat (net zoals een wachtwoord invoeren overigens) en daarmee niet echt in de natuurlijke flow van gedragingen van mensen zit.
Er is een beter alternatief. Inmiddels zijn er laptops en schermen op de markt waarop een camera is gemonteerd die het gezicht van de gebruiker registreert. Met automatische gezichtherkenning worden twee dingen opgelost:
• Als de gebruiker weg loopt van zijn scherm, wordt dat gedetecteerd en gaat het device automatisch in 'vergrendeling'.
• Als een gebruiker voor het scherm gaat zitten, wordt direct gescanned of het dezelfde gebruiker is die het scherm eerder heeft verlaten. Zo ja, dan wordt het device ontgrendeld en komt de gebruiker direct terug in de sessie waar hij voorheen in werkte. Als het om een nieuwe/andere gebruiker gaat, komt die gebruiker automatisch in het opstartscherm om zich te laten authenticeren.
Een derde alternatief is inmiddels op de markt in de vorm van handpalm scanning. Het gaat hier niet om een 'grote vingerafdruk', maar om het scannen van de aderstructuur in de hand. Deze techniek is niet alleen beter praktisch toepasbaar, maar is vooral betrouwbaarheid in de zin van het laagste aantal onterechte positieve authenticaties en onterechte weigeringen. Dat komt omdat de techniek veel beter bestand is tegen temperatuurwisselingen, vochtigheid en andere externe omstandigheden. Ook deze techniek is inmiddels beschikbaar in het domein van laptops en desktops. De techniek is inmiddels klein genoeg om in een muis te passen of in een beschermcase van een tablet.
Gezichtsherkenning en handpalm scanning zijn niet alleen maar een leuk aardigheidje om te vermijden dat je een wachtwoord vergeet (password resets maken 14 procent uit van de vragen die gesteld worden aan de helpdesk) of niet meer in hoeft te voeren. Bedrijven hebben terecht een beleid dat hun gebruikers om veiligheidsredenen hun pc moeten vergrendelen voordat ze er van weg lopen. Bij audits wordt er op gecontroleerd en dit type beleid is onderdeel van ISO-certificeringen. De nieuwe technieken bieden de mogelijkheden om dit beleid te implementeren door middel van automatisering.
Ook voor de nabije toekomst bieden de nieuwe technologieën mogelijkheden: op dit moment loopt een gemiddelde volwassene met minstens tien plastic cards rond; voor de sportschool, voor toegang tot je werk, voor betaling bij een kassa, voor authenticatie bij een ziekenhuis, voor het reizen in het openbaar vervoer, et cetera. Je kan die passen vergeten, kwijt raken of ze worden gestolen. Je handpalm heb je altijd bij je. Je handpalm heeft geen pincode die je moet onthouden, Je handpalm is in een 'swipe' langs een poortje te halen voordat je in de trein stapt.
Kortom: de techniek is beschikbaar en betrouwbaar; dus weg met die wachtwoorden.
Beste John een goed en duidelijk verhaal.
Echter zien we vandaag een enorme groei van 2fa. Het principe met handpalm, irisscan , vingerafdruk gezichtherkenning blijft vrij zwak en persoonsgebonden. Stel je voor dat alle nullen en eenen van je handpalmscan in verkeerde handen terecht komt. Dat is iets wat ik zelf erg moeilijk kan wijzigen.
Voor 2fa dienen we te kiezen uit 2 vd 3 zaken nl. wie je bent ( irisscan, handpalm, iets wat je weet ( pin of een wachtwoord) en iets wat je hebt ( certificaat of digipass)
Inmiddels weten we dat 500 miljoen mensen hebben gekozen voor iets wat je weet en iets wat je hebt.
Voor websites gebruik ik mydigipass.com waarbij ik via mijn iphone de popup QRcode scan via de mydigipass.com app. Tevens kan je Intel IPT gebruiken of een hardware digipass.
Ik deel de opmerking van Mauwerd.
Het is een grappig geschreven artikel maar zoals ik al zovaak heb aangegeven bestaat ICT uit meer dan aleen maar de doelstelling om huisvrouwen achter een tekstverwerker te zetten.
Er zijn voor een aantal situaties best mogelijkheden om wachtwoorden achterwege te laten,
Denk bv aan ssl keys bij verbindingen tussen twee systemen.
Maar de alternatieven die John aankaart gaan slechts over authenticatie op PCtjes voor kantoorautomatisering… niet bepaald de plek waar de grootste problemen wat betreft wachtwoord issues spelen.
Dat er in essentie een serieus veiligheids probleem betreffende wachtwoorden speelt kan ik John slechts bevestigen…. dus goed dat ook hier eens aandacht aan besteed wordt al vrees ik dat het hier ook bij blijft.
Het doel van John is bereikt, aandacht (gezien de reacties), hij is namelijk marketing manager. Dus in dat opzicht is het een goed stuk 🙂
@All: Dank voor alle reacties. Leuke, goede, inhoudelijk inzichten. Ik heb niet de illusie dat ik in een blog alle aspecten van dit onderwerp kan afdekken. Ik hoop wel bij te dragen aan een klein prikkeltje om een “open mind” te houden rondom authenticatie. Het principiele probleem van het authenticeren van mensen door iets anders dan die mens zelf, zal uiteindelijk door techniek moeten worden opgelost is mijn overtuiging. Voorlopig zal ook ik mijn wachtwoorden nog niet helemaal kunnen vervangen door biometrische technieken en blijf ik net als de respondenten op deze blog regelmatig worstelen met weer een nieuw wachtwoord.