Wachtwoorden - nóg een keer

 

Afbeelding via Pixabay

De Security (b)log van vorige week met de titel Wachtwoorden – ja alweer leverde een aantal vragen op die de moeite waard zijn om ze voor een breder publiek te beantwoorden. Dus daar gaan we, nóg een keer wachtwoorden!  

Er kwam een opmerkelijke werkwijze langs, die in gewichtige taal al gauw het label zero knowledge opgeplakt zou kunnen krijgen. Als een site om een wachtwoord vraagt, dan klikt de gebruiker iedere keer op “wachtwoord vergeten”. Doorgaans stuurt de site dan een herstelbericht naar het bij haar bekende e-mailadres. De link in die mail leidt je naar een pagina om een nieuw wachtwoord in te stellen. Daar ramt de gebruiker op een stel willekeurige toetsen, waarbij hij geen enkele moeite doet om het nieuwe wachtwoord te onthouden. Want de volgende keer doet hij gewoon weer hetzelfde. Of ik daar iets van wil vinden.

Mijn eerste twee gedachten hierbij zijn: “hé, wat creatief” en “oei, wat bewerkelijk”. De combinatie van die beide gedachten is: prima bruikbaar voor accounts waar je maar zelden komt. Je bestelt een cadeau op een site waar je nog nooit eerder was en waar je waarschijnlijk voorlopig niet meer hoeft te zijn, maar ze willen per se dat je een account aanmaakt. Lijkt me prima om dit systeem in dat geval te gebruiken. Maar voor accounts die je vaker nodig hebt lijkt het me minder bruikbaar; je bent dan telkens erg lang bezig om binnen te komen. Nog even een tip: je doet er goed aan om het wachtwoord eerst in de Kladblok of desnoods in een nieuw Word-document te typen en van daaruit naar de wachtwoordvelden te kopiëren, aangezien je anders een uitdaging hebt om in het tweede wachtwoordveld nog eens hetzelfde wachtwoord te typen. Daarna sluit je het bestand, zonder het op te slaan. Weet je trouwens wie erg goed is in het verzinnen van dat soort wachtwoorden? Password managers… (zie verderop).

Dat systeempje maakt overigens nog eens duidelijk dat het van groot belang is om je e-mail goed te beschermen. Immers: als een aanvaller toegang heeft tot je mail, dan kan hij zelf ook overal op “wachtwoord vergeten” klikken en vervolgens via het herstelbericht toegang tot al die sites krijgen – onder jouw naam.

Sommige mensen zijn sceptisch over wachtwoordkluizen. Zijn die apps wel veilig? Zou er niet toch een achterdeurtje in zitten? Het eerlijke antwoord: dat weten we niet, althans niet met zekerheid. Kijk, zo’n password manager is software, en software bevat per definitie fouten. Een deel van die fouten is van invloed op de veiligheid van het product. Bovendien draait een dergelijke app meestal niet geïsoleerd op jouw apparaat, maar synchroniseert het de gegevens via de cloud, zodat je je kluis op al je apparaten kunt gebruiken. Met andere woorden: jouw wachtwoorden staan meestal niet op je apparaat, maar op een computer ergens ter wereld. Onder het motto ‘toeval bestaat niet’ ontving ik net vanochtend een mailtje van LastPass, de password manager die ik vroeger gebruikte. Er was “ongebruikelijke activiteit” in de door hen gebruikte clouddienst. Hackers konden gebruikersinformatie inzien. Maar, zo benadrukken ze, de wachtwoorden zijn versleuteld en omdat jij de enige bent die de sleutel kent, lopen die geen gevaar. Ze laten in het midden of die versleutelde wachtwoorden wel zijn buitgemaakt. Maar in moedwillig aangebrachte achterdeurtjes geloof ik niet zo, zolang je maar geen password managers gebruikt die uit verdachte landen zoals Rusland of China komen. Sommige producten zijn open source, hetgeen iedereen de mogelijkheid biedt om het programma binnenstebuiten te keren (of dat ook echt gebeurt, is een tweede). En misschien vindt uitgerekend een kwaadwillende een kwetsbaarheid.

Het verplichte gebruik van een mix van hoofdletters, kleine letters, cijfers en overige tekens roept ook steeds vragen op. Het belangrijkste element van een goed wachtwoord is zijn lengte, maar ook het aantal karakters waar je uit kunt kiezen doet een duit in het zakje. Als je alleen kleine letters gebruikt, dan heeft een aanvaller, die je wachtwoord probeert te raden, een kans van 1 op 26 per positie dat hij goed zit. Gebruik je daarnaast ook hoofdletters, dan wordt die kans een stuk kleiner: 1 op 52. Gooi je er ook nog cijfers en 'rare tekens' bij, dan wordt de kans op goed raden nóg kleiner. Dat werkt vervolgens mooi door in de lengte van het wachtwoord: bij een wachtwoord van 3 tekens met alleen kleine letters is het aantal mogelijkheden 26*26*26 = 17.576. Gebruik je daarnaast hoofdletters, dan kun je daarmee al 52*52*52 = 140.608 verschillende wachtwoorden maken. Met wachtwoordlengte 8 ga je naar respectievelijk bijna 209 miljard en bijna 53,5 biljoen mogelijkheden. Merk op dat het uitbreiden van het aantal mogelijke karakters in dit voorbeeld slechts acht keer zoveel mogelijkheden geeft, terwijl het langer maken van het wachtwoord twaalf miljoen keer zoveel mogelijke wachtwoorden oplevert. Dat lijkt idioot veel, maar bedenk dat aanvallers vaak een heleboel computers aan het werk zetten om wachtwoorden te kraken. Vele handen maken licht werk!

Samenvattend: gebruik lange wachtwoorden, liefst gegenereerd door en opgeslagen in een betrouwbare app. En zoals altijd: zet overal waar dat kan tweefactorauthenticatie/tweestapsverificatie aan.

 

En in de grote boze buitenwereld …

• lees je hier wat er aan de hand is bij LastPass.
• kan het WK voetbal gemakkelijk leiden tot cyberdreigingen.
• wil de politie van San Francisco dodelijke robots inzetten.
• zijn privégegevens van alle leden en oud-leden van Forum voor Democratie gelekt.
• maakt TikTok jouw gegevens vandaag toegankelijk voor medewerkers in China.
• kun je dat ook op humoristische wijze uitleggen.
• profiteren criminelen nog steeds van Log4j.
• gaan Microsoft 365 en de AVG niet goed samen.
• hebben Russische hackers het gemunt op Nederlandse gasinstallaties.
• kijk je hier naar Mikko Hyppönen’s presentatie If it’s smart, it’s vulnerable.
• zit er een privacy-aspect aan het uploaden van je adresboek naar een online dienst.
• mag het NCSC eindelijk dreigingsinformatie delen met niet-vitale bedrijven.
• snuffelen sommige laptop- en telefoonreparateurs rond in je apparaat.
• moeten we een noodpakket in huis halen voor het geval een cyberaanval het land platlegt.