Elke werkdag behandelt Computable een technisch onderwerp waarover lezers kunnen discussiëren. Vandaag over het wachtwoord, wat nog altijd huilen blijft. In 2014 was ‘password’ het op één na ergste gebruikte wachtwoord. Tijd voor verandering. Toch?
‘Password’ is dus niet eens de ergste. De toppositie qua echt in gebruik zijnde slechte wachtwoorden is weggelegd voor … ‘123456’. En dat is helaas niet voor het eerst. Deze droevige situatie is al jaren aan de orde. Weliswaar neemt het absolute aantal van gebruikte sléchte wachtwoorden af, toch is het erg dat de slechtste wachtwoorden zó slecht zijn.
Kortom, weg met het wachtwoord! Nu echt! Maar wat dan? Biometrie, op basis van je vingerafdruk? Of een oogscan? Of two-factor authentication, maar dan gebruiksvriendelijk zodat elke gewone gebruiker er makkelijk mee om kan omgaan? De mogelijkheden zijn legio, de technologie is er. Wat denk jij?
Alle authenticatiemogelijkheden zijn in te delen in drie groepen: wat je weet (wachtwoord, pincode, etc); wat je hebt (token, mobiele telefoon, Random Reader, etc) en wat je bent (vingerafdruk, irisscan, DNA profiel, etc).
Persoonlijk vind ik de derde (wat-je-bent) geen fijne optie. Vingerafdrukken laat je overal achter, m’n DNA geeft ik echt niet af (veel te eng wat overheden en zorgverzekeraars daar mee willen en kunnen doen) en ook de irisscan is te achterhalen (digitale consumentencamera’s worden steeds beter).
Wat dus overblijft is wat-je-weet en wat-je-hebt. Wat-je-weet is de meest gebruikte en op zich prima veilig, mits je er maar zorvuldig mee omgaat. Kies sterke wachtwoorden (http://www.leisink.net/wachtwoorden.pdf) en gebruik een passwordmanager om voor ieder systeem een ander wachtwoord te kunnen gebruiken. Periodiek wisselen is onzinnig. Doe dat alleen bij (een vermoeden van) misbruik van je wachtwoord.
Het wat-je-hebt is een goede aanvulling op wat-je-weet. Echter, ook hierbij geldt dat dit alleen veilig is bij goed gebruik. Er zijn al genoeg voorbeelden van mensen die misleid zijn door criminelen om het wat-je-hebt apparaat oneigenlijk te gebruiken. Ja, een wat-je-hebt werpt een extra barriere op voor criminelen, maar een wat-je-weet in combinatie met een persoon die weet wat hij/zij doet is veilig genoeg.
Mijn mening is dan ook: een waakzame gebruiker is veel sterker dan een combinatie van wat-je-weet, wat-je-hebt en wat-je-bent.
Er is nog iets ergers dan het wachtwoord. Een website die niet de moeite neemt deze te versleutelen als ze naar de site verstuurd worden. Dus hoe sterk mijn wachtwoord is, hij wordt onversleuteld over het internet verstuurd naar Computable website. Daar is geen sterk wachtwoord tegenop gewassen en een schande.
Ik weet niet wat de uiteindelijke oplossing zal zijn, maar mijn huidige werkbare oplossing is:
– Password manager gebruiken zodat wachtwoorden voor ieder account lang en anders zijn
– 2 Factor authentication aanzetten waar mogelijk: Smartphone gebruik ik als token
– Inloggen op de iPhone die ik met vingerafdruk scanner.
Is het ideaal? Nee. Maar werkbaar genoeg om me voorlopig bezig te houden met andere zaken.
Eigenlijk zou de titel moeten zijn “weg met het hergebruiken van één wachtwoord”, want dat is de grootste manco op dit moment.
Een vingerafdruk is eigenlijk ook ongeschikt voor authenticatie, want het is gelijk aan één en hetzelde niet-te-wijzigingen wachtwoord voor alle systemen. Meer daarover op:
http://www.ikhebniksteverbergen.nl/identiteit
De veel ge[n|r]oemnde passwordmanager heeft ook een keerzijde … als iemand dat wachtwoord achterhaalt, kan hij meteen overal bij.
Dit is ook de keerzijde van alles koppelen op je werk aan bijvoorbeeld active directory. Het scheelt de gebruiker heel veel wachtwoorden onthouden voor de diverse applicaties, maar als iemand je wachtwoord weet, kan hij ook meteen overal bij.
Wat dat betreft ben ik zelf meer gecharmeerd van vingerafdruk- of irisscan. Dan hoef je tenminste niet meer op de paar maanden verplicht je wachtwoord te veranderen.
Het probleem is volgens mij ook niet zozeer het onthouden van een wachtwoord, maar meer het aantal combinaties gebruiksnaam/wachtwoorden wat we vandaag de dag hebben.
Hugo: Periodiek wisselen is onzinnig. Doe dat alleen bij (een vermoeden van) misbruik van je wachtwoord.
Dit gaat dan vooral op voor eenlingen. Wat veel gebeurd bij bedrijven is dat er een algemeen account is voor een bepaalde dienst of toegang tot de klant (= bad practice), als er dan iemand uit dienst gaat moet je toch al die wachtwoorden wijzigen.
PaVaKe : Grappig, je redenatie had ik niet van jou verwacht. En ook voor dat “master password” heb je natuurlijk de beveiliging van 2 factor authenticatie.
Hoe moet je het eigenlijk doen *zonder* password manager?
Punt is dat je niet 1 van de drie genoemde dingen moet gebruiken (weten, hebben, zijn), maar in ieder geval 2. Daarmee ben je een stuk veiliger dan het gros van de mensen en bedrijven.
Maar gevaren loeren overal!
Zo beseffen bedrijven niet dat DNS instellingen cruciaal zijn voor je veiligheid.
Ook de implementatie geeft in veel gevallen een vals gevoel van veiligheid. Zo had Apple zijn zaakjes niet op orde en kon 2 factor authentication gemakkelijk omzeild worden.
Op dit soort sites altijd 123456 gebruiken als login en password, lijkt me een verstandige oplossing, kan je je veilige/sterke wachtwoord op een veilige plek gebruiken.
De plannen om iedereen te implanteren met een bio-chip staan al lang op stapel. Alleen is de social engineering nog niet zo ver dat de mensen hier warm voor lopen.
@Henri: Dan blijft mijn opmerking hetzelfde. Als er niemand uit dienst gaat is periodiek wijzigen van het wachtwoord zinloos. Bij uitdiensttreding heb je een geval van mogelijk misbruik (een vermoeden daartoe) en dien je het wachtwoord te wijzigen. Een een gedeeld wachtwoord is inderdaad bad practice, meer dan dat zelfs.
@johan: Alu-hoedjes af graag.
Verontrustend dat steeds toch een biometrische identificatie boven komt drijven. Terwijl Nederland te klein is als de overheid al onze vingerafdrukken centraal wil opslaan en in ons paspoort wil zetten, staan we te applaudiseren als elk willekeurig bedrijf onze vingerafdruk kan gaan gebruiken als identificatie. Privacy sneuvelt bij het kleinste beetje ongemak.
Gewoon wachtwoorden met een goed password manager doet het voor mij prima. 1 supersterk wachtwoord ter bescherming van al die andere. En voor de enkele sites waarin privacy een nog grotere rol speelt gewoon toch een wachtwoord onthouden.
Het ergst zijn de wachtwoorden waar de site voorwaarden aan stelt. na drie, vier keer een wachtwoord te hebben afgekeurd ‘floept’ ie dan ineens door naar ‘Ok’. En dan weet je dus eigenlijk niet meer goed welk wachtwoord je nou ook weer als laatste had verzonnen.
Wachtwoorden worden ook vaak met geeltjes onder toetsenborden geplakt als men ze te vaak moet wijzigen.
Ik gebruik dan ook een zelfgeschreven wachtwoordmanager op een USB-stick aan mijn sleutelbos: niet in de PC, dan is het wachtwoord dus ook niet te kraken. Wel weer kans op verlies, maar daar ziet de – hopelijk – eerlijke vinder adresgegevens van de eigenaar en kan de stick geretourneerd worden.
Verder wordt er een minder gestandaardiseerde database met versleuteling gebruikt en is het pakketje beveiligd tegen bruteforce attacks.
100% safe? Nee, en dat wordt het ook nooit. Zolang er op de een of andere manier van buitenaf toegang tot iets (een site, dienst, device) mogelijk moet zijn, dan is de beveiliging per definitie lek. Zet een deur in een gebouw en je het is per definitie inbraakgevoelig. Doe er een raam in en je hebt een tweede lek. Kortom: voor 100% veiligheid zet je je PC in een kluis zonder verbinding met internet en dan maar hopen dat niemand de combinatie van je kluis weet te raden…