Elke werkdag behandelt Computable een technisch onderwerp waarover lezers kunnen discussiëren. Vandaag over het wachtwoord, wat nog altijd huilen blijft. In 2014 was ‘password’ het op één na ergste gebruikte wachtwoord. Tijd voor verandering. Toch?
‘Password’ is dus niet eens de ergste. De toppositie qua echt in gebruik zijnde slechte wachtwoorden is weggelegd voor … ‘123456’. En dat is helaas niet voor het eerst. Deze droevige situatie is al jaren aan de orde. Weliswaar neemt het absolute aantal van gebruikte sléchte wachtwoorden af, toch is het erg dat de slechtste wachtwoorden zó slecht zijn.
Kortom, weg met het wachtwoord! Nu echt! Maar wat dan? Biometrie, op basis van je vingerafdruk? Of een oogscan? Of two-factor authentication, maar dan gebruiksvriendelijk zodat elke gewone gebruiker er makkelijk mee om kan omgaan? De mogelijkheden zijn legio, de technologie is er. Wat denk jij?
Een potentieel alternatief is volgens mij een app/software die de authenticatie op een veilige wijze voor je afhandelt, waarbij geen persoonlijke of gedeelde gegevens op de website voor authenticatie worden achtergelaten.
zie bijvoorbeeld GRC’s SQRL: https://www.grc.com/sqrl/sqrl.htm
Deze oplossing is public domain en eenvoudig (lees: relatief goedkoop) te implementeren, vandaar een oplossing met potentie m.i.
Een ander soortgelijk initiatief wordt geboden door FidoAlliance: https://fidoalliance.org
Ik werk voor een gemeente waarbij we flexwerken en ook thuiswerken. Thuiswerken is keurig geregeld met RSA tokens. Op kantoor is het nog steeds login/wachtwoord en je screen locken als je wegloopt. Ook prima. Maar wat ik echt zou willen, is dat gemeentes toegang geboden zou worden tot het Rijkspassysteem: Fysieke toegangscontrole en digitale toegangscontrole met 1 pas. Dat helpt dan niet enkel 11 ministeries, maar ook 393 gemeentes, 12 provincies en 24 waterschappen.
@Dennis: Ik ken GRC al jaren, maar kom er niet zo vaak meer. Leuke link en overigens nog dezelfde opmaak als 15 jaar geleden 🙂
Ik heb hem nog niet helemaal door (snel gescand) maar ik ga hiervoor wel een proof of concept voor opzetten, er zit voldoende potentie in.
“How to freak out a mobile APP user?” is Episch! Thanks.
Voor wie het nog niet weet, vingerafdrukken en irisscans veranderen wel degelijk met het stijgen van de leeftijd.
Zolang er nog geen beter alternatief is, zijn wachtwoorden met/zonder 2-factor een oplossing waarmee we moeten leven.
Inderdaad Henri, de DNS wordt vaak vergeten, bij jou neem ik aan 8.8.8.8 en 8.8.4.4 als eerste en tweede DNS-server.
Een eenmalig te gebruiken wachtwoord met sms autenticatie. Eventueel kan nog een vingeradruk worden gebruikt, hoewel ook die niet 100% betrouwbaar is. Je zou dan je Digid veel breder kunnen toepassen. Je meldt je aan bij Digid en die geeft een eenmalige autenticatie aan de applicatie of website dat degene is gevalideerd. Je geeft dan geen telefoonnummer aan de leverancier maar die blijft binnen de Digid omgeving.
Daar moet dan een beveligd protocol voor worden ontwikkeld en via tunneling VPN worden de gegevens versleuteld uitgewisseld.
Heb 33 !!!! passwords , ik wordt er helemaal gek van.
(hotmail,facebook, email , OV chip kaart , DigiD,,,,,,en ga zo maar door.
Waarom overal niet 1 inlognaam , met 1 gelijk passwword , dan direct een SMS autenticatie er over met de 6 zijfers die je moet invoeren.
Mijn hypotheek bank Florius werkt ook zo , en schijnbaar is het wel veilig.