'Bedrijven moeten gewoon kappen met dwingen dat mensen hun wachtwoord moeten aanpassen'

Tussen jou en allerlei gevoelige, persoonlijke informatie staat vaak maar één ding in de weg: een wachtwoord. Zo’n wachtwoord is voor kwaadwillenden echter ook vaak de enige barrière. Is dat genoeg? Voor bijna elke online dienst heb je tegenwoordig een wachtwoord nodig. We beschouwen het als vanzelfsprekend. Maar wachtwoorden zijn over het algemeen een zwakke manier van beveiliging, zegt Stephan Micklitz. Hij werkt bij Google, waar hij leiding geeft aan ontwikkelaars op het gebied van gebruikersveiligheid.

De zwakke plek van wachtwoorden zijn de mensen die de wachtwoorden gebruiken, zegt Micklitz. “Mensen kiezen liever voor wachtwoorden die ze makkelijk kunnen onthouden en makkelijk te raden zijn. Dat komt omdat je er zoveel moet gebruiken voor verschillende websites. Mensen gebruiken dezelfde wachtwoorden daardoor ook opnieuw.” Mede daarom werd deze dag, 24 november, twee jaar geleden op initiatief van technologiewebsite Tweakers uitgeroepen tot Verander je Wachtwoorden Dag.

Gebruikersgemak

Het internet moet vooral makkelijk zijn. We zijn volgens Micklitz zelf niet in staat om onze waardevolle gegevens te beveiligen. Moeten bedrijven, zoals Google, de gebruiker dan dwingen om een goed wachtwoord te gebruiken en tweestapsverificatie in te schakelen? Dat is volgens hem ook niet de oplossing. “Ik ben van mening dat je het de mensen zo makkelijk mogelijk moet maken. Ze moeten niet eerst de handleiding lezen voordat ze online veilig kunnen zijn.”

Mensen moeten niet eerst de handleiding lezen voordat ze online veilig kunnen zijn. - Stephan Micklitz Deel deze quoteDat lijkt tegenstrijdig. Veiligheid op internet kost nou eenmaal de nodige moeite. De discussie rondom wachtwoorden draait dan ook vooral om de balans tussen gebruikersgemak en veiligheid. Google neemt al stappen om de twee werelden dichter bij elkaar te brengen. Bijvoorbeeld met de mogelijkheid om met je telefoon in te loggen in plaats van je wachtwoord. Als alternatief voor het intikken van een wachtwoord op je toetsenbord, krijg je een knop op je telefoon waarmee je kunt bevestigen dat je toegang wil tot je account. Het is tweestapsverificatie, maar dan zonder de eerste stap.

“Voor de gewone gebruiker is deze manier stukken veiliger dan welk wachtwoord dan ook”, zegt Micklitz. “Maar het bereikt niet hetzelfde niveau als tweestapsverificatie. Dan moet je een wachtwoord onthouden én dat apparaat gebruiken.” Ook zitten aan deze manier van authenticatie nog wat andere haken en ogen. Als je smartphone de enige toegang tot jouw digitale profielen is, wat kun je dan doen als het apparaat gestolen is of kapot raakt? En wat als je plots je telefoonnummer verandert? Een wachtwoord is, ook bij Google, nog steeds een vangnet bij dat soort situaties.

‘Je wachtwoord veranderen is onnodig’

“Als je geen reden hebt om aan te nemen dat iemand anders jouw wachtwoord heeft en het een sterk wachtwoord is dat alleen jij kent, is er geen reden om dat te veranderen”, zegt Micklitz. “Moeten we ernaar streven dat mensen elk jaar hun wachtwoord veranderen? Ik zeg nee. Ik denk niet dat het een goed idee is om alle gebruikers op dat gebied te instrueren, omdat ik denk dat het voor de meesten een te grote last zal zijn.”

Leuk initiatief, zo’n Verander Je Wachtwoorden Dag, maar van Micklitz hoeft zoiets dus eigenlijk niet. Dat leggen we voor aan Wout Funnekotter, hoofdredacteur van Tweakers, de techwebsite die twee jaar geleden het initiatief nam voor deze themadag. Moet 24 november niet omgedoopt worden tot Schakel Tweestapsverificatie In En Gebruik Bovendien Vooral Een Sterk Wachtwoord Dag?

Als jij goede en sterke wachtwoorden gebruikt dan hoef je die in principe niet aan te passen - Wout Funnekotter Deel deze quote“Dat vind ik een heel goed punt en dat is ook iets waar we zelf naar hebben gekeken dit jaar”, zegt Funnekotter. “We hebben voor dit jaar de naam ook iets bijgeschaafd naar Check Je Wachtwoorden Dag. Wat we willen uitdragen is dat mensen hun wachtwoordbeleid checken. Dus het gaat er vooral om dat mensen er bewust mee bezig zijn. En als jij wil kiezen voor een heel laks wachtwoordbeleid… dat mag natuurlijk. Dat gaan we niemand opdringen. Maar het is vooral dat mensen een keer nadenken van wat veilig is en wat niet. Want als jij goede en sterke wachtwoorden gebruikt dan hoef je die in principe niet aan te passen.”

Bewustzijn boven verandering dus. Dat lijkt ook hard nodig. “We hebben vorig jaar een onderzoek gedaan naar hoe mensen met wachtwoorden omgaan”, zegt Funnekotter. “Datzelfde onderzoek hebben we dit jaar weer gedaan om te kijken of daar een trendlijn in zit. En enigszins zorgwekkend zagen wij die niet. Dat is toch best bizar als je bedenkt hoeveel grote hacks er in het nieuws zijn geweest het afgelopen jaar.”

Wachtwoorden afschaffen

De actie moet dus vooral van de grote bedrijven komen, denkt Funnekotter. “Wachtwoorden zijn eigenlijk een beetje ouderwets. Ik denk zeker dat een bedrijf als Google op een gegeven moment gewoon heel erg veel kan gaan pushen. Als zij er echt van af willen, dan lukt ze dat wel. En dan kan Facebook moeilijk achterblijven.”

“Het is een lang proces”, zegt Micklitz, die daar bij Google een rol in speelt. “Ik denk dat het nog wel een aantal jaar gaat duren voordat we helemaal wachtwoordvrij zijn. Het is heel erg moeilijk om ‘een aantal jaar’ precies te duiden. Maar we zien al een hoop beweging in de strijd tegen wachtwoorden.”

Tot die tijd zal 24 november waarschijnlijk nog altijd nodig blijven als Check Je Wachtwoorden Dag. Funnekotter hoopt dat de themadag toch bij kan dragen aan meer bewustzijn rondom wachtwoordveiligheid. “Daar zit ook een factor aan vast dat je van je werk elke drie maanden je wachtwoord moet aanpassen. Daar moeten die bedrijven ook gewoon een keer mee kappen. Dat dwingt mensen bijna alleen maar om ergens een drietje, viertje of vijfje te gaan ophogen. Dus het zou heel fijn zijn als zij ook luisteren.”

In onze podcast Rush Talk gingen we deze week verder in op de toekomst van wachtwoorden.