'Weg met al die wachtwoorden, ze werken niet!'

Komt dit je bekend voor? Je keert na een tijdje weer eens terug op die site waar je gegevens hebt geparkeerd of waar je soms iets bestelt en je weet zo vlot je wachtwoord niet meer. Gelukkig gebruik je daar een wachtwoordbeheerder voor. Tenzij je daar problemen mee hebt, zoals ik afgelopen weekend.

Gelukkig kon ik een eerdere versie van het corrupte wachtwoordendatabasebestand terugzetten, omdat ik regelmatig een back-up draai. Maar ik vind het ergerlijk dat het nodig is om al die wachtwoorden bij te houden. Ik heb er inmiddels 198 en ik vermoed dat er mensen zijn die daar een veelvoud van hebben. In mijn geval zijn dat zeker 150 verschillende wachtwoorden. Die regelmatig vervangen (zouden) moeten worden.

Recycling wijst op kernprobleem

Ik raad mensen altijd aan om niet hetzelfde wachtwoord te gebruiken. De reden daarvoor geeft al aan dat er iets inherent mis is met het hele wachtwoordenconcept: als er iemand aan de haal gaat met dat wachtwoord, kan hij diverse accounts kapen. Als een cybersnoodaard door middel van social engineering één account binnenkomt, kan hij je door wachtwoordrecycling het leven behoorlijk zuur maken. Dan heb ik het nog niet eens over al die lekkende websites die blijkbaar veel te frivool omgaan met wachtwoordbeveiliging.

Ja, we weten allemaal dat het wachtwoordsysteem niet werkt. Toch komt er niets voor in de plaats en blijven we bij het 'beter dan niets'. De laatste tegenslag is dat Mozilla zijn universele inlogsysteem Persona zelf niet verder ontwikkelt. Persona zou een beetje worden à la inloggen met Facebook of Google, maar dan niet gekoppeld aan je sociale profiel. Daar horen we Mozilla al jaren over, maar websites lopen niet echt warm voor het mechanisme. Ze hebben toch Facebook Connect?

Omslachtiger, maar nog even kraakbaar

De reden dat we wachtwoorden hebben is om gebruikersidentiteiten te verifiëren. Dat is logisch, maar de manier waarop we dat doen is anno 2014 eigenlijk krankzinnig. Een systeem weet dat jij ook daadwerkelijk degene bent die toegang moet krijgen vanwege een serie letters en cijfers die regelmatig in bulk worden ontvreemd door een zolderkamerpuber met 'Mad Skillz'. Lees: tooltjes en een handleidinkje.

Maar al te vaak is die string een code als 'Wachtw00rd'. Dat was ooit 'wachtwoord' maar het is stukken veiliger geworden nu je minstens één cijfer en een hoofdletter moet gebruiken. Het wordt door wachtwoordeisen alleen maar lastiger om een uniform systeem met al die combinaties te onthouden, terwijl een dictionary-attack niet wordt ontmoedigd, want leetspeak helpt gebruikers niet. Nou, tel uit je winst.

We gebruiken wachtwoorden om een identiteit te verifiëren, maar wordt het systeem daar eigenlijk veiliger van? Dat is irrelevant, want eigenlijk draait het gebruik van wachtwoorden om het afwentelen van verantwoordelijkheid over de accounts. Jij bent verantwoordelijk voor de toegang die je krijgt en als een ander daarmee aan de haal gaat, tsja, dan is dat jouw probleem. Dat is trouwens ook het kernissue waarom identiteitsfraudeurs zo leuk hun gang kunnen gaan.

Op de volgende pagina: Laten we eens ophouden over domme gebruikers en het liever hebben over domme, archaïsche systemen.

Donder op met die accounts

Ook ik gebruik op enkele plekken een simpel, eenvoudig kraakbaar en dus hoogst onveilig wachtwoord. Dat doe ik als ik het account koppel aan een secundaire webidentiteit (ik ben in m'n paranoïde tijd meerdere ID's online begonnen - inmiddels is dat niet 'paranoïde' maar gewoon 'verstandig') en bijvoorbeeld een webapplicatie gebruik waarvoor ik het eigenlijk volslagen onzin vind om een account aan te maken. Of spam verwacht.

Te pas en te onpas moet je inloggen om iets te kunnen doen. Iets bestellen, logisch. Reageren op een forum, nou ja, vooruit. Maar zelfs gewoon lezen vereist al een wachtwoord. (Dan heb ik het dus niet over betaalmuren. Hoewel je natuurlijk op dat moment betaalt met je sociale profielgegevens.) Donder nou eens op met al die wachtwoorden overal. Ook geen wonder dat 'wachtwoord' zo populair is. Een paar wachtwoorden onthouden gaat nog wel, maar met de gigantische hoeveelheid accounts die vandaag de dag nodig zijn, is het wel zo makkelijk om op een flink aantal je geboortedatum te gebruiken.

Wachtwoorden bovenop wachtwoorden

Ik kan dat 'domme gebruikers' ook echt niet kwalijk nemen. Niks domme gebruikers. Domme, archaïsche verificatiemethodes! Ik snap wel dat mensen hun wachtwoorden toevertrouwen aan iets als LastPass, maar ik word er niet gelukkig van als ik mijn wachtwoorden aan één bedrijf toevertrouw. Ik snap wel dat mensen overal inloggen met een sociaal netwerk, maar ik word er niet gelukkig van als ik al mijn logins koppel aan mijn hele profiel.

Er is iets fundamenteel mis met dit systeem. Al die wachtwoorden maken ons er niet veiliger op. Het helpt niet dat we ze ook nog eens regelmatig moeten wijzigen. Of dat bedrijven als LinkedIn zo stom zijn om de wachtwoordendatabase kwijt te raken aan dieven, waardoor we ook die weer moeten resetten. Of dat ze te resetten zijn door goedgelovige helpdeskmedewerkers, waardoor een social engineer toegang krijgt tot een digitale schatkist.

Nieuw systeem

We hebben iets nodig is dat niet afhankelijk is van één gegeven (hoera, multifactor-authenticatie) en ook niet is gebaseerd op het onthouden van een toegangscode. Maar alsjeblieft geen combinatie waardoor het me twee minuten kost om in te loggen. Wachtwoord hier, paraaf daar, vingerafdruk hier, DNA-materiaal daar - dat wordt leuk.

Het kan wel. Techjournalist Mat Honan geeft al een paar mooie voorbeelden van wat mogelijk is. Bijvoorbeeld een authenticatiesysteem dat gebruikers leert herkennen aan een aantal passieve factoren als typsnelheid, locatie, apparaat en een keur aan andere variabelen. Bij twijfel over je identiteit, word je alsnog aan een controle-actie blootgesteld.

Daar kan ik nou enthousiast van worden. Maar ik zie hier bitter weinig vooruitgang in. Logisch, we hebben een systeem waardoor alleen consumenten de sjaak zijn als er weer eens misbruik van wordt gemaakt. Sorry, verander je wachtwoord maar weer. Pas als we massaal boos weglopen (bekentenis: ik heb zelf ook nog steeds een LinkedIn-account, dus ik geef het slechte voorbeeld) motiveren we bedrijven om eens met iets anders op de proppen te komen.