'Weg met al die wachtwoorden, ze werken niet!'

Door: | 14 maart 2014 16:03

Nieuws

Inhoudsopgave

  1. Inleiding
  2. pagina 2

OPINIE - Het wachtwoord blijft aan de beademing na een recente tegenslag. We hebben er inmiddels honderden en het wordt er niet veiliger op.

Komt dit je bekend voor? Je keert na een tijdje weer eens terug op die site waar je gegevens hebt geparkeerd of waar je soms iets bestelt en je weet zo vlot je wachtwoord niet meer. Gelukkig gebruik je daar een wachtwoordbeheerder voor. Tenzij je daar problemen mee hebt, zoals ik afgelopen weekend.

Gelukkig kon ik een eerdere versie van het corrupte wachtwoordendatabasebestand terugzetten, omdat ik regelmatig een back-up draai. Maar ik vind het ergerlijk dat het nodig is om al die wachtwoorden bij te houden. Ik heb er inmiddels 198 en ik vermoed dat er mensen zijn die daar een veelvoud van hebben. In mijn geval zijn dat zeker 150 verschillende wachtwoorden. Die regelmatig vervangen (zouden) moeten worden.

Recycling wijst op kernprobleem

Ik raad mensen altijd aan om niet hetzelfde wachtwoord te gebruiken. De reden daarvoor geeft al aan dat er iets inherent mis is met het hele wachtwoordenconcept: als er iemand aan de haal gaat met dat wachtwoord, kan hij diverse accounts kapen. Als een cybersnoodaard door middel van social engineering één account binnenkomt, kan hij je door wachtwoordrecycling het leven behoorlijk zuur maken. Dan heb ik het nog niet eens over al die lekkende websites die blijkbaar veel te frivool omgaan met wachtwoordbeveiliging.

Ja, we weten allemaal dat het wachtwoordsysteem niet werkt. Toch komt er niets voor in de plaats en blijven we bij het 'beter dan niets'. De laatste tegenslag is dat Mozilla zijn universele inlogsysteem Persona zelf niet verder ontwikkelt. Persona zou een beetje worden à la inloggen met Facebook of Google, maar dan niet gekoppeld aan je sociale profiel. Daar horen we Mozilla al jaren over, maar websites lopen niet echt warm voor het mechanisme. Ze hebben toch Facebook Connect?

Omslachtiger, maar nog even kraakbaar

De reden dat we wachtwoorden hebben is om gebruikersidentiteiten te verifiëren. Dat is logisch, maar de manier waarop we dat doen is anno 2014 eigenlijk krankzinnig. Een systeem weet dat jij ook daadwerkelijk degene bent die toegang moet krijgen vanwege een serie letters en cijfers die regelmatig in bulk worden ontvreemd door een zolderkamerpuber met 'Mad Skillz'. Lees: tooltjes en een handleidinkje.

Maar al te vaak is die string een code als 'Wachtw00rd'. Dat was ooit 'wachtwoord' maar het is stukken veiliger geworden nu je minstens één cijfer en een hoofdletter moet gebruiken. Het wordt door wachtwoordeisen alleen maar lastiger om een uniform systeem met al die combinaties te onthouden, terwijl een dictionary-attack niet wordt ontmoedigd, want leetspeak helpt gebruikers niet. Nou, tel uit je winst.

We gebruiken wachtwoorden om een identiteit te verifiëren, maar wordt het systeem daar eigenlijk veiliger van? Dat is irrelevant, want eigenlijk draait het gebruik van wachtwoorden om het afwentelen van verantwoordelijkheid over de accounts. Jij bent verantwoordelijk voor de toegang die je krijgt en als een ander daarmee aan de haal gaat, tsja, dan is dat jouw probleem. Dat is trouwens ook het kernissue waarom identiteitsfraudeurs zo leuk hun gang kunnen gaan.

Op de volgende pagina: Laten we eens ophouden over domme gebruikers en het liever hebben over domme, archaïsche systemen.