Roodkapje

“Zeg kind, waarom draag jij eigenlijk altijd dat malle kapje?”
“Wel grootmoeder, ter bescherming tegen de grote boze wolf!”
“Maar meisje, dat werkt toch helemaal niet.”
“Echt wel oma, mijn vriendinnen in het bos hiernaast lopen al met rode kapjes sinds de wolven kwamen en daar hebben ze veel minder last van die enge beesten.”
“Maar kind, de boswachter zei in de Fabeltjeskrant dat zo’n kapje niet werkt. De wolf kan maar matig kleuren onderscheiden, stond er, dus die laat zich echt niet afschrikken door zo’n felrood ding op je hoofd.”
“Ach grootmoeder, het lijkt wel alsof die boswachter gewoon niet wil toegeven dat zo’n kapje misschien toch wel een beetje werkt. Weet je, als het er ook maar voor zorgt dat één lief klein meisje minder door de grote boze wolf wordt verslonden, dan vind ik het al de moeite waard. En dan hebben we het er volgend jaar wel eens over of het echt maar een fabeltje was.”
“Nou Roodkapje, zal ik dan maar een extra mutsje voor je naaien? Welke kleur wil je?”

In dit verhaaltje wijzigde grootmoeder haar standpunt van ‘zinloos’ naar ‘baat het niet, dan schaadt het niet’. Maar het is lang niet altijd gemakkelijk om zo’n switch te maken, zeker als je je eerdere standpunt lange tijd te vuur en te zwaard hebt verdedigd. Bill Burr kan daarover meepraten. Hij bedacht in 2003 dat goede wachtwoorden een mix van hoofdletters, kleine letters, cijfers en speciale karakters moesten zijn, en dat ze regelmatig moeten worden gewijzigd. En omdat Burr voor het Amerikaanse standaardisatie-instituut NIST werkte, werden zijn ideeën breed geadopteerd. Niet alleen binnen de Amerikaanse overheid, maar wereldwijd.

Zo’n vijftien jaar later kreeg Burr spijt. Inmiddels was uit onderzoek gebleken dat mensen slecht zijn in het bedenken en onthouden van onvoorspelbare wachtwoorden (die onvoorspelbaarheid was het doel van de complexiteitsregels) en dat ze daardoor in vaste – en dus voorstelbare – patronen vervielen. Lengte maakt wachtwoorden sterk, en niet zo’n malle mix. Daarnaast zag hij in dat het regelmatig wijzigen van wachtwoorden averechts werkt, omdat dat eveneens het hanteren van patronen bevordert. Nou was Bills baas de kwaadste niet, en zo kon het gebeuren dat begin dit jaar, een kleine drie jaar na Burrs spijtbetuiging, een nieuwe serie NIST Special Publications verscheen (SP 800-63), waarin juist wordt afgeraden om complexiteitsregels en regelmatige vervanging voor te schrijven.

Nu de rest van de wereld nog. Op het werk en bij mijn bank worden nog steeds de oude regels gevolgd. Er lijkt een zekere vrees te zijn om ze los te laten. Vaak is er sprake van onbekendheid. Als een webwinkel bij het aanmaken van een account tegelijkertijd om een complex vraagt en de lengte daarvan sterk aan banden legt, dan zijn die nieuwe inzichten daar duidelijk nog niet doorgedrongen. Zeker voor mensen die een password manager gebruiken maakt het niet uit als een wachtwoord vijftig tekens lang is – ze hoeven het toch niet zelf te onthouden.

Begin jaren negentig kon ik op het werk nog alle programma opstarten die ik maar wilde (vanaf een floppy…). Daarna deed de Dichtgetimmerde Desktopcomputer zijn intrede: de baas bepaalde welk gereedschap je kon gebruiken. Dat is nog steeds zo; alleen is de desktop vervangen door een laptop. Maar er komt beweging in de zaak. Gebruikers zijn veel mondiger en veeleisender geworden en in de techniek is ook vooruitgang geboekt. One size fits all is niet meer van deze tijd en ook niet meer noodzakelijk om onze gegevens te beveiligen (daar was het immers allemaal om te doen – laten we dat vooral niet uit het oog verliezen). Over een poosje kies je zelf waar je op wilt werken en dan is dat apparaat zo ingericht dat er een strikte scheiding is tussen zakelijk en privé. In het privédeel kun je je gang gaan zonder dat dat het zakelijke deel beïnvloedt.

Ook bij het gebruik van de cloud is een voorzichtige kentering zichtbaar. Informatiebeveiligers vinden de cloud meestal levensgevaarlijk: je gegevens staan op de computer van iemand anders! Dat ís ook eng, maar je kunt je moeilijk aan dat standpunt blijven vastklampen als de hele wereld de cloud omarmt en veel moderne toepassingen alleen in de cloud bestaan. Je zult dan moeten shiften van ‘doen we niet’ naar ‘hoe kan het veilig?’ Om dat te onderzoeken gaan we een proef doen. Hoe werkt het, hoe bescherm ik mijn gegevens, wat komt er allemaal bij kijken? En dat doen we zónder echte gegevens. Kleine stapjes geven meer vertrouwen dan een grote sprong.

Als de grootmoeder van Roodkapje haar standpunt kan herzien, dan kunnen wij dat ook. Nu de boswachter nog.

En in de grote boze buitenwereld …

• hebben we nieuwe technologieën ook nodig om onze cyberweerbaarheid te versterken.
• mag je slimme deurbel niet zomaar alles filmen.
• mag je ook al niet zomaar screenshots van WhatsApp-gesprekken delen met anderen.
• waarschuwen ze ook in Amerika voor de Emotet-malware.
• heeft Microsoft enkele tonnen uitbetaald voor kwetsbaarheden die in Azure Sphere werden aangetroffen tijdens een bug bounty challenge.
• trekt Instagram ten strijde tegen online pesten.
• arresteerde de Franse politie horeca-ondernemers die geen wifidata bewaarden.
• moet er meer toezicht op internet komen, vinden het OM en burgemeesters.
• kun je nu ook privacyvriendelijk navigeren.
• kun je natuurlijk ook seksspeeltjes hacken.
• kon je zomaar iemands Grindr-account overnemen.