De geschiedenis van de sleutel

 

Afbeelding via Pixabay

Je fiets, je auto en je huis hebben één ding gemeen: er zit een slot op. En bij al die sloten horen sleutels. Sloten hebben een lange geschiedenis – naar het schijnt bestaan ze al meer dan zesduizend jaar. Door de eeuwen heen dienden al die sloten hetzelfde doel: binnenlaten wie naar binnen mag, de rest buitensluiten.

Er zijn ook altijd mensen geweest die tóch ergens naar binnen wilden waar ze niet naar binnen mochten. De meesten halen hun schouders op en denken “jammer dan”, maar sommigen proberen echt binnen te komen. Die mensen noemen we inbrekers. Ze hebben een heel scala aan mogelijkheden om de opgeworpen barrière te slechten, bijvoorbeeld gereedschap voor lockpicking (waarmee je cilindersloten kunt openpeuteren), de Poolse sleutel (in gebruik bij fietsendieven) en de aloude koevoet. Waarbij moet worden opgemerkt dat die laatste niet wordt gebruikt om het slot te openen, maar eromheen te werken.

En toen werd de computer uitgevonden. Al snel – in 1961 – bedacht men dat daar ook een slot op moest. Ik heb zelf nog pc’s gebruikt die een fysiek slot hadden, maar het wachtwoord is toch het meest gebruikte mechanisme. Het wachtwoord op zich was niet nieuw; reeds de oude Romeinen maakten er gebruik van, en ik herinner me van oude wildwestfilms dat iedereen, die het fort wilde betreden, bij de poort het wachtwoord moest noemen.

In die goede oude tijd hadden we één wachtwoord. Dat kon je gemakkelijk onthouden, al was het alleen maar omdat er nog geen eisen waren waaraan het moest voldoen. In de moderne tijden hebben we allemaal tientallen accounts, op het werk en privé, en de wachtwoorden daarvan moeten aan de soms meest verschrikkelijke eisen voldoen, die ook nog eens overal anders zijn. Zo kwam ik er gisteravond achter dat mijn bank wél een bijzonder karakter eist, maar dat dat geen accent circonflexe (^) mag zijn. En terwijl ik daar best een reden voor kan bedenken, vraag ik mij dan gelijk af waarom dit karakter elders wel mag worden gebruikt.

Ik heb het al eerder geschreven: wachtwoorden hebben hun langste tijd gehad. Niet alleen omdat we het beu zijn, maar vooral omdat ze (mede daardoor overigens) hun beveiligingswaarde verliezen. Ik durf wel te stellen dat iedereen, die geen password manager gebruikt, ofwel zijn wachtwoorden ergens opschrijft, ofwel zwakke wachtwoorden gebruikt (waar ik ook het gebruik van hetzelfde wachtwoord op verschillende plaatsen toe reken). Dat opschrijven hoeft overigens nog niet zo slecht te zijn, mits je het een beetje slim aanpakt. Een schrift met de titel “Al mijn wachtwoorden”, zoals negen jaar geleden op tv was te zien bij Ellen DeGeneres, is een minder goed idee. 

Biometrie is voor sommige toepassingen een mooi alternatief. Je telefoon ontgrendel je soepel met je vingerafdruk of met gezichtsherkenning. Zelfs vuurwapens worden ermee uitgerust (al is nog nooit zo’n smart gun verkocht, zegt Wikipedia). Er zijn ook robuustere – en dus duurdere – biometrische systemen die bijvoorbeeld je iris scannen, of je handpalm. Bij die laatste kan, behalve naar de vorm van je hand, ook worden gekeken naar het patroon van de aderen in de hand. Biometrie kan letterlijk diep gaan.

Een alternatief voor het inloggen bij websites is de FIDO-standaard (Fast Identity Online). Bij gebruik van FIDO registreer je je eenmalig bij een website. Vervolgens kun je er inloggen met behulp van je mobiele apparaat of je computer, waarbij je eventueel een FIDO USB-key gebruikt, die je alleen hoeft aan raken om in te kunnen loggen. Maar ondanks ronkende teksten op de website van de FIDO Alliance (“FIDO is widespread and growing fast!”), heb ik het nog nooit op een website gezien. Grote spelers als Google, Facebook en Dropbox zijn aangesloten, maar kennelijk niet voor Nederlandse gebruikers.

Veranderen is moeilijk, zo blijkt maar weer. Maar ooit zullen er mensen zijn die niet meer weten wat een wachtwoord is, net zoals er nu al miljoenen mensen rondlopen die de tijd zonder computer en smartphone niet hebben meegemaakt, of mensen die niet weten wat een floppy is. Tot die tijd: gebruik een password manager. En overal waar het kan twee/multifactorauthenticatie (2FA/MFA, ook wel tweestapsverificatie genoemd).

 

En in de grote boze buitenwereld …

• vinden veel mensen unieke wachtwoorden te veel gedoe.
• denken ook veel mensen, die zich geen zorgen maken om hun online veiligheid, dat ze hun zaakjes goed voor elkaar hebben.
• helpt deze website je om een overzicht van al je slimme apparaten te maken, en geeft ze je vervolgens tips voor het updaten ervan.
• is er ook kritiek op de kritiek op het nieuwe cloudbeleid van de overheid.
• moeten we vaker aangifte doen van cybercrime.
• vindt de Duitse overheid iPhones en iPads best wel veilig.
• doen veel kleine bedrijven niet aan security awareness.
• volgt TikTok je ook als je er zelf helemaal geen gebruik van maakt.