If we’re serious about technology, we need to stop creeping around.

Vergeet al je wachtwoorden, op ééntje na

(Bijna) niemand wil dat uploadfilter
DOSSIER: Doe-het-zelf

Als internetter heb je veel wachtwoorden te onthouden. Dus maak je het jezelf makkelijk door eenvoudige wachtwoorden te gebruiken. Lange tijd was het devies onder de bouwers van websites: maak het de gebruiker moeilijker. Gelukkig stappen we daar nu vanaf.

Credits:
FotoL Kanichat

Een onmogelijke opgave

Als je wilt sparen voor extra korting bij de bouwmarkt of als je een abonnement hebt op toegang tot musea, dan moeten die dienstverleners je wel kunnen herkennen. In de analoge wereld laat je daarom een klantenpas zien met je naam (en nummer). Op het internet gaat dat natuurlijk niet, of niet zo makkelijk. Daarom moet je op veel websites een account aanmaken. En om er voor te zorgen elk account beveiligd is, komt elk account met een verplicht wachtwoord. Met de verschuiving naar de online omgeving heeft elk van ons inmiddels honderden wachtwoorden te onthouden. Een onmogelijke opgave, weten we.

Zo’n app zorgt ervoor dat je met een gerust hart al je wachtwoorden kunt vergeten. Op ééntje na dan.

Gebruikers maken het zichzelf makkelijk

De consequentie daarvan is ook wel duidelijk. Veel gebruikers hanteren makkelijk te raden wachtwoorden, voor de kwaadwillende een peuleschil. Ook is het gebruik van een enkel wachtwoord voor meerdere accounts niet ongebruikelijk. Maar als dat wachtwoord van één van die accounts lekt, bijvoorbeeld zoals bij het datalek van Uber, zijn al die andere accounts ook kwetsbaar. Die impact is alleen maar groter als dat gelekte wachtwoord ook toegang geeft tot je e-mailadres. Want waar gaat de e-mail heen als jij of iemand anders op het linkje klikt waarmee je aangeeft je wachtwoord te zijn vergeten? Precies.

Veel irritatie, maar niet veel veiliger

Veel websites proberen gebruikers te dwingen een wachtwoord te kiezen dat wat minder makkelijk te raden is door, bijvoorbeeld, eisen te stellen aan het wachtwoord. Je wachtwoord moet dan minstens een paar cijfers of punt-komma’s bevatten en moet minstens zo-en-zo lang zijn, maar kent ook een maximum. Sommige websites vertrouwen de gebruiker als ze de vraag kunnen beantwoorden wat hun lievelingsdier is. Op andere plekken moet je je wachtwoord eens in de zoveel tijd veranderen. Dat is allemaal bijzonder slecht advies. Het dwingt de gebruiker niet tot een veiliger wachtwoord. Elke kwaadwillende is inmiddels getraind om de A’s te vervangen door 4’s. Net zo onveilig, maar nu wel met een extra berg irritatie.

Nieuw advies: schrap stompzinnige eisen

Dat besef sijpelt inmiddels overal door. Zo publiceerde het Amerikaanse standarisatie­instituut NIST een tijdje terug een lijvig documentNIST's visie op digitale "authentication and lifecycle management" waarin het een nieuwe kijk op goed wachtwoordbeleid uit de doeken deed. Eén van de suggesties: stop met het stellen van stompzinnige eisen aan wachtwoorden, maar zorg ervoor dat een gebruiker gewoon een lang wachtwoord – een wachtzin – kan kiezen. Dus ook geen minimaal aantal leestekens, cijfers of dat soort ongein. De organisatie raadt ook af gebruikers te dwingen hun wachtwoord te regelmatig aan te passen. Zo’n verandering afdwingen is eigenlijk alleen zinnig als je reden hebt om aan te nemen dat het bestaande wachtwoord gelekt is. Dat beleid maakt het de gebruiker een stuk makkelijker én is minstens zo veilig.

Nu we steeds meer online doen heeft elk van ons honderden wachtwoorden te onthouden. Een onmogelijke opgave.

Stap over op een wachtwoordmanager

Maar misschien de belangrijkste suggestie uit het rapport: stimuleer het gebruik van zogenaamde wachtwoordmanagersIn onze toolbox vind je een overzicht van de bekendste apps als 1Password of KeePass voor het opslaan van de geheimen. Zo’n app zorgt ervoor dat je met een gerust hart al je wachtwoorden kunt vergeten. Op ééntje na dan. Dat ene wachtwoord geeft toegang tot al je andere wachtwoorden. En natuurlijk zit daar een inherente zwakheid: als iemand anders dat éne wachtwoord bemachtigt, is je hele hebben en houwen toegankelijk. Maar voor de meeste gebruikers leert een risicoanalyse dat dát risico aanmerkelijk kleiner is dan al die eerder dreigingen, zoals onveiligheid door beperkte lengte en hergebruik van wachtwoorden.

Al mijn wachtwoorden vergeten, op eentje na

Bij mij werkt dat al jaren goed. Van de meeste accounts, het zijn er inmiddels vele honderden, weet ik het wachtwoord echt niet. De accounts zijn beveiligd met wachtwoorden die moeilijk te raden zijn en ik gebruik ook met zekerheid geen enkel wachtwoord een tweede keer. Ik heb wachtwoorden van meer dan zestig willekeurige karakters, inclusief hoofd- en kleine letters, cijfers, leestekens en wat al niet meer. Nou ja, voor de meeste van die accounts dan, want sommige accounts stellen nog altijd van die stompzinnige eisen.

  1. Wim ten Brink

    Een app gebruiken om wachtwoorden te onthouden? Dat vind ik juist een enorm slecht idee! Die App wordt dan je zwakste schakel. Verlies je toegang tot de App en je komt nergens meer in. En als iemand anders toegang krijgt tot de App dan ben je ook het haasje…
    Maar veel sites bieden ook toegang via OpenID zodat je b.v. je Google-account kunt gebruiken om b.v. bij StackOverflow in te loggen.
    Daarnaast raad ik iedereen gewoon aan om een domeinnaam te registreren met een mailbox waarbij je een onbeperkt aantal aliassen kunt aanmaken. Bij veel sites log je namelijk in via een email adres en wachtwoord en met een onbeperkt aantal aliassen kun je de accountnaam variëren per site en toch hetzelfde wachtwoord blijven gebruiken.
    Hoewel het aan te raden is om een aantal varianten te kiezen van je wachtwoord.
    Veel mensen gebruiken een enkel email adres voor al hun accounts. Gewoon per site een ander email adres gebruiken is een stuk veiliger…

  2. Rejo Zenger

    Dat risico hebben we in het artikel ook benoemd, inclusief de afweging om desondanks deze oplossing in overweging mee te geven:

    En natuurlijk zit daar een inherente zwakheid: als iemand anders dat éne wachtwoord bemachtigt, is je hele hebben en houwen toegankelijk. Maar voor de meeste gebruikers leert een risicoanalyse dat dát risico aanmerkelijk kleiner is dan al die eerder dreigingen, zoals onveiligheid door beperkte lengte en hergebruik van wachtwoorden.

    Verder is maar de vraag of een e-mailadres per website wel zo handig is: niet voor iedereen is een eigen domeinnaam even handig, het vergroot de administratie (en dat pleit dan alleen maar meer voor een wachtwoordmanager), dat adres laat zich makkelijk raden als de left-hand-side een verwijzing naar de dienst is (“facebook@…”, “google@…”) en lekt ook nog eens sneller.

    Kortom, gegeven het risicoprofiel van de meeste gebruikers is voor de meeste gebruikers een wachtwoordmanager wel degelijk een goede oplossing.

  3. B@S

    Een wachtwoordmanager is een uitstekend idee vergeleken met hergebruik, “facebook login” of – kuch – biometrie.

    Alleen… als de wachtwoordmanager niet open source is of op een platform of apparaat draait dat de gebruiker niet volledig beheert, ben je niet verzekerd van de veiligheid… Lastig dus, op een telefoon.

    De impact als al je wachtwoorden in één keer lekken is wel heel pittig. Ik snap dus dat mensen nog zwaardere middelen inzetten zoals disposable email-addresses.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.