We zijn er nog niet, maar het begint er wel op te lijken dat we een weg inslaan waar de username/wachtwoorden niet meer de enige realistische optie zijn om ons het gevoel van veiligheid te geven.
Even de goeden daargelaten, maar de meeste mensen gaan niet om met een wachtwoord zoals dat theoretisch zou moeten. Misschien is ze dat nooit verteld, of misschien vinden ze dat alleen maar lastig. Het resultaat is dat minimaal 90 procent van het wachtwoordgebruik niet (en dan ook helemaal niet) voldoet aan de normen. Een servicedesk vroeg mij onlangs nog zonder blikken of blozen om mijn wachtwoord. Van de honderd mensen die ik onlangs in een kort onderzoekje gevraagd heb hoe zij met hun wachtwoord omgingen waren er tien die zeiden dat ze dat serieus namen, die andere negentig proberen op de makkelijkste manier te voldoen aan de eisen die door de organisatie aan wachtwoorden worden gesteld of deze te omzeilen. Er is geen intrinsieke motivatie.
Als we naar alternatieven gaan kijken dan zijn die er natuurlijk wel. Smartcards en andere tokens, contact of proximity, biometrische identificatie zoals vingerafdruk, gezichtsherkenning en irisscan. Dat zij allemaal mogelijkheden met hun voor en tegens, maar die hebben vaak een prijskaartje in kennis, aanschaf en beheer. De particulier die andere hobby’s heeft dan ict zal het zonder redelijke alternatieven moeten stellen en gebruikt z’n favoriete wachtwoord voor elke site die er maar om vraagt. En diezelfde particulier werkt ook in een bedrijf waar geen geld is voor de alternatieve mogelijkheden. Biedt Windows 10 ruimte voor laagdrempelige alternatieven?
Wachtwoord is het halve werk
Wachtwoorden werken dus zeer beperkt, maar ze blijven nodig. We moeten bij het praten over biometrie namelijk direct onderstrepen dat bijvoorbeeld een vingerafdruk geen vervanger kan zijn voor een wachtwoord. De algemeen beschikbare biometrie is een goede aanvulling maar meer is het niet.
Als we naar de 3-factor authenticatie kijken (iets wat je weet, iets wat je bent, iets wat je hebt) dan valt het wachtwoord duidelijk onder ‘iets wat je weet’. Tenzij je het op een papiertje schrijft, dan valt het onder ‘iets wat je hebt OF wat je weet’. En als het wachtwoord te eenvoudig is dan valt het onder ‘Iets wat je kunt bedenken’. Wachtwoorden zijn theoretisch ideaal, praktisch een schijnveiligheid. Het ‘iets wat je hebt’ is terug te vinden in het token zoals bijvoorbeeld een smartcard. Als daar een pincode aan vast zit dan valt die authenticatie onder ‘iets wat je hebt EN iets wat je weet’. Dat klinkt goed, en ook in de praktijk blijkt dat dit in veel gevallen werkt. En in veel gevallen is het zelfs zo dat de token wordt ontsloten door de pincode, helemaal mooi. Dat is dan een aardig sterke combinatie zolang we ervan uit gaan dat de token niet te dupliceren is. Daar waar het nog wel fout gaat met een token is bijvoorbeeld in de zorg waar hier en daar uit bezuinigingsredenen nog steeds meerdere mensen uit verschillende shifts op één account werken en het token met pincode aan het prikbord hangt.
Biotoken beter?
Dat unieke aspect van een token zou ook moeten gelden voor een biometrische identificatie. Nu daar zitten twee problemen aan. De (betaalbare) biometrische technologie is verre van perfect, die kun je te vaak redelijk om de tuin leiden. Daarnaast zijn jouw biologische eigenschappen niet geheim, je laat ze overal achter, zoals je vingerafdruk op een glas wijn, op foto’s en op je computer. Ze worden niet beschermd door een pincode. De pincode is dan het beperkt veilige wachtwoord náást de beperkt veilige biometrische identificatie.
We kunnen misschien wel roepen dat wachtwoorden (en pincodes) het halve werk zijn, maar ze zijn onverminderd belangrijk om in de buurt te komen van veiligere identificatie.
Windows 10, kans en valkuil
We hebben kunnen lezen dat Windows 10 alternatieven op wachtwoorden out of the box gaat ondersteunen. Geweldig, een belangrijke stap! Alleen ik zie direct de valkuil … we gaan niet identificatiemethoden combineren, maar we gaan massaal overstappen van wachtwoorden naar vingerafdrukken.
Zoals gezegd, de betaalbare biometrie is verre van perfect. Daarnaast kan ik een wachtwoord wel eenvoudig wijzigen, maar als iemand mijn vingerafdruk gekraakt heeft, kan ik in theorie slechts negen keer een andere kiezen. De Irisscans kan ik maar éénmaal wijzigen, met hoofdherkenning kan ik een grote baard laten groeien, maar verder heb ik geen wijzigingsopties. Dus laten we nou niet ons hoofd op hol brengen en met de ogen dicht de digitale kat met negen levens zijn. Overstappen naar vingerafdrukidentificatie is geen verbetering.
Toekomst
Eigenlijk moeten we nu overstappen naar tokens met pincodes. Misschien met biometrie als extra toevoeging, bijvoorbeeld als eenvoudige bevestiging als ons scherm net een time-out heeft gehad. Maar na een paar uur moet dan toch echt weer de token gebruikt worden. Kunnen we daar nu naartoe overstappen alstublieft?
Maar dat is een naïeve gedachte. Ik ben bang dat de vingerafdruk het gaat winnen, met een aanvullende pincode als optioneel extraatje. Want: het is goedkoop, het geeft de meeste mensen een beter gevoel van veiligheid en het is gebruikersvriendelijker.
Dus Windows 10 verlost ons hopelijk niet helemaal van het wachtwoord (pincode) maar zet de discussie bij een breder publiek wel op scherp.
Waarom zo moeilijk doen met wachtwoorden als je computer toch backdoors heeft, tracking cookies of spionage software?
Als privacy toch dood is heb je geen wachtwoord meer nodig toch?