Dag wachtwoord

 

Afbeelding via Pixabay

De dag van de tonijn, Star Wars-dag, de dag van het naakt tuinieren – zomaar een greep uit de talloze ‘dagen-van’ die je dezer dagen zou kunnen vieren. De ene dag spreekt je misschien meer aan dan de andere, maar de dag waar ik het met jullie over wil hebben is de dag van het wachtwoord. Of, chiquer: World Password Day. Die dag werd in 2013 in het leven geroepen door technologiebedrijf Intel “om bewustzijn te kweken over de rol die sterke wachtwoorden spelen in het beveiligen van ons hele digitale leven”.

Het wachtwoord heeft dus z’n eigen feestdag, maar het wordt ook verguisd. Je hebt er teveel van, ze moeten aan allerlei ingewikkelde eisen voldoen, je vergeet ze, ze willen regelmatig ververst worden en ze zijn veel te belangrijk voor de beveiliging van al die accounts. Wordt het dan niet tijd dat het wachtwoord die belangrijke rol, die Intel het een klein decennium geleden toedichtte, inlevert? Ten gunste van iets gemakkelijkers en veiligers?

Kijk om je heen. Het ís er al. Hoe ontgrendel jij je telefoon? Dat kan heel gemakkelijk met je vingerafdruk of met je gezicht. Je vingerafdruk is veiliger dan een pincode, want niemand kan hem afkijken. En ja, ik ken ook wel die James Bond-scenario’s waarbij vingerafdrukken met een plakbandje van een bierglas worden geplukt om ze vervolgens in latex na te maken, maar gewone stervelingen hoeven daar echt niet voor te vrezen. Functionarissen, voor wie dit soort high-tech aanvallen wél een bedreiging kunnen vormen, beseffen dat zelf maar al te goed – mag ik hopen. Gezichtsherkenning van consumentenkwaliteit, zoals die in mobieltjes wordt toegepast, is vaak toch nog te gemakkelijk te omzeilen met een foto, daarom ontraad ik het gebruik ervan voor zakelijke/belangrijke toepassingen.

Microsoft propageert al een poosje ‘wachtwoordloze authenticatie’: het systeem kan dan vaststellen dat jij het echt bent zonder dat daar een wachtwoord aan te pas komt. Sinds een jaar kunnen zakelijke gebruikers zonder wachtwoord inloggen bij onder andere Outlook en OneDrive. In plaats daarvan gebruiken ze de Authenticator app, Windows Hello, een fysieke veiligheidssleutel of een verificatiecode die je op je telefoon of per e-mail ontvangt.

Zo’n authenticator app (je hebt ze ook van bijvoorbeeld Google en RSA) genereert voor ieder account dat je ermee beschermt een cijfercode, die meestal één minuut geldig is. Bij het inloggen moet je die code invullen. Momenteel gebruiken we dit mechanisme meestal in het kader van meerfactorauthenticatie (wachtwoord + iets extra’s), maar Microsoft wil ons hiermee helemaal van het wachtwoord afhelpen.

Windows Hello werkt bijvoorbeeld met een infraroodcamera, die onder andere kijkt naar het warmtebeeld van je gezicht, de afstand tussen je ogen en de diepte van je oogkassen en de positie van mond en neus. Zonder foto’s te maken. Maar het kan ook met een pincode. Huh? Een pincode is toch onveiliger dan een wachtwoord, omdat je slechts tien verschillende tekens gebruikt? Om te beginnen hoeft de Hello-pincode niet uit alleen cijfers te bestaan, maar wat belangrijker is: de pincode is gekoppeld aan een specifiek apparaat, bijvoorbeeld je laptop. Bovendien is de pincode niet zoiets als een surrogaat-wachtwoord, maar een code om jouw eigen geheime sleutel toegankelijk te maken voor het systeem. Met behulp van die sleutel wordt een cryptografisch beveiligd login-verzoek naar een server gestuurd. Daarbij wordt je pincode zelf niet verzonden. Er is ook geen server waarop jouw pincode is opgeslagen. Bij wachtwoorden is dat anders: bij een webwinkel weten ze je wachtwoord omdat ze het moeten kunnen controleren. Daarom is de wereld altijd in rep en roer als het wachtwoordbestand van een groot bedrijf gestolen is.

Windows Hello is slechts een voorbeeld van een wachtwoordloze toekomst, hier gekozen omdat ik denk dat de kans groot is dat dit jouw eerste ervaring hiermee zal zijn – of al is – op een computer. Voor het vertrouwen in dergelijke technologie is het belangrijk dat je enigszins begrijpt hoe het werkt. Toen ik een paar jaar geleden mijn nieuwe computer uitpakte en Windows 10 met alle geweld wilde dat ik een pincode verzon in plaats van een wachtwoord, vond ik dat ook raar. Maar met wat uitleg vallen de puzzelstukjes op hun plek.

Veel eigenschappen van wachtwoorden zijn inmiddels achterhaald, zoals complexiteitseisen en de eis om ze regelmatig te vervangen. We kunnen die eigenschappen moderniseren, maar we kunnen ook meteen een grote stap zetten en wachtwoorden helemaal afschaffen. Ook Intel, dat deze themadag verzon, werkt mee in de FIDO Alliance, een wereldwijde club waarin technologiebedrijven samenwerken aan een sterke manier om gebruikers zónder wachtwoorden te authentiseren, omdat ze geloven in de veiligheid ervan. We gaan gemakkelijkere, veiligere tijden tegemoet. Maar voor het zover is: gebruik een password manager, die wachtwoorden voor jou verzint en opslaat, en die geautomatiseerd voor jou inlogt. Dat is altijd veiliger dan zelf prutsen. Want dat is nou eenmaal wat wij mensen doorgaans doen als het om wachtwoorden gaat.

  

En in de grote boze buitenwereld …

… is ongetwijfeld weer het een en ander gebeurd, maar deze keer had ik helaas geen tijd om die informatie te selecteren en hier te presenteren.