"Vergeet al je wachtwoorden, op één na"

Avatar
Rejo Zenger

Online hebben we intussen wel honderd verschillende wachtwoorden te onthouden. Met verschillende eisen en opties, maar is dat wel zo veilig?

Als je wilt sparen voor extra korting bij de bouwmarkt of als je een abonnement hebt op toegang tot musea, dan moeten die dienstverleners je wel kunnen herkennen. In de analoge wereld laat je daarom een klantenpas zien met je naam (en nummer).

Rejo ZengerRejo ZengerMaandelijks staat columnist Rejo Zenger van Bits of Freedom stil bij digitale burgerrechten. Deze maand: Het belang van een goed wachtwoord.Op het internet gaat dat natuurlijk niet, of niet zo makkelijk. Daarom moet je op veel websites een account aanmaken. En om er voor te zorgen elk account beveiligd is, komt elk account met een verplicht wachtwoord.

Met de verschuiving naar de online omgeving heeft elk van ons inmiddels honderden wachtwoorden te onthouden. Een onmogelijke opgave, weten we.

Makkelijk wachtwoord

De consequentie daarvan is ook wel duidelijk. Veel gebruikers hanteren makkelijk te raden wachtwoorden, voor de kwaadwillende een peuleschil. Ook is het gebruik van een enkel wachtwoord voor meerdere accounts niet ongebruikelijk.

Ieder van ons heeft inmiddels honderden wachtwoorden te onthouden Maar als dat wachtwoord van één van die accounts lekt, bijvoorbeeld zoals bij het datalek van Uber, zijn al die andere accounts ook kwetsbaar. Die impact is alleen maar groter als dat gelekte wachtwoord ook toegang geeft tot je e-mailadres.

Want waar gaat de e-mail heen als jij of iemand anders op het linkje klikt waarmee je aangeeft je wachtwoord te zijn vergeten? Precies.

Stompzinnige eisen

Veel websites proberen gebruikers te dwingen een wachtwoord te kiezen dat wat minder makkelijk te raden is door, bijvoorbeeld, eisen te stellen aan het wachtwoord.

Je wachtwoord moet dan minstens een paar cijfers of punt-komma’s bevatten en moet minstens zo-en-zo lang zijn, maar kent ook een maximum. Sommige websites vertrouwen de gebruiker als ze de vraag kunnen beantwoorden wat hun lievelingsdier is. Op andere plekken moet je je wachtwoord eens in de zoveel tijd veranderen. Dat is allemaal bijzonder slecht advies.

Het dwingt de gebruiker niet tot een veiliger wachtwoord en elke kwaadwillende is getraind om de A’s te vervangen door 4’s. Net zo onveilig, maar nu wel met een extra berg irritatie.

Er wordt afgeraden gebruikers te dwingen hun wachtwoord te regelmatig aan te passen Dat besef sijpelt inmiddels overal door. Zo publiceerde het Amerikaanse standarisatie­instituut NIST een tijdje terug een lijvig document waarin het een nieuwe kijk op goed wachtwoordbeleid uit de doeken deed. Eén van de suggesties: stop met het stellen van stompzinnige eisen aan wachtwoorden, maar zorg ervoor dat een gebruiker gewoon een lang wachtwoord – een wachtzin – kan kiezen. Dus ook geen minimaal aantal leestekens, cijfers of dat soort ongein.

De organisatie raadt ook af gebruikers te dwingen hun wachtwoord te regelmatig aan te passen. Zo’n verandering afdwingen is eigenlijk alleen zinnig als je reden hebt om aan te nemen dat het bestaande wachtwoord gelekt is. Dat beleid maakt het de gebruiker een stuk makkelijker én is minstens zo veilig.

Wachtwoordmanagers

Maar misschien de belangrijkste suggestie uit het rapport: stimuleer het gebruik van zogenaamde wachtwoordmanagers als 1Password of KeePass voor het opslaan van de geheimen.  Zo’n app zorgt ervoor dat je met een gerust hart al je wachtwoorden kunt vergeten. Op ééntje na dan. Dat ene wachtwoord geeft toegang tot al je andere wachtwoorden.

En natuurlijk zit daar een inherente zwakheid: als iemand anders dat éne wachtwoord bemachtigt, is je hele hebben en houwen toegankelijk. Maar voor de meeste gebruikers leert een risicoanalyse dat dát risico aanmerkelijk kleiner is dan al die eerder dreigingen, zoals onveiligheid door beperkte lengte en hergebruik van wachtwoorden.

Sommige diensten stellen nog altijd van die stompzinnige eisen Bij mij werkt dat al jaren goed. Van de meeste accounts, het zijn er inmiddels vele honderden, weet ik het wachtwoord echt niet. De accounts zijn beveiligd met wachtwoorden die moeilijk te raden zijn en ik gebruik ook met zekerheid geen enkel wachtwoord een tweede keer.

Ik heb wachtwoorden van meer dan zestig willekeurige karakters, inclusief hoofd- en kleine letters, cijfers, leestekens en wat al niet meer. Nou ja, voor de meeste van die accounts dan, want sommige diensten stellen nog altijd van die stompzinnige eisen.

Uitgelichte afbeelding via Shutterstock