Managed hosting door True

Discussie

Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

‘Weg met het wachtwoord!’

 

Elke werkdag behandelt Computable een technisch onderwerp waarover lezers kunnen discussiëren. Vandaag over het wachtwoord, wat nog altijd huilen blijft. In 2014 was ‘password’ het op één na ergste gebruikte wachtwoord. Tijd voor verandering. Toch?

‘Password’ is dus niet eens de ergste. De toppositie qua echt in gebruik zijnde slechte wachtwoorden is weggelegd voor … ‘123456’. En dat is helaas niet voor het eerst. Deze droevige situatie is al jaren aan de orde. Weliswaar neemt het absolute aantal van gebruikte sléchte wachtwoorden af, toch is het erg dat de slechtste wachtwoorden zó slecht zijn.

Kortom, weg met het wachtwoord! Nu echt! Maar wat dan? Biometrie, op basis van je vingerafdruk? Of een oogscan? Of two-factor authentication, maar dan gebruiksvriendelijk zodat elke gewone gebruiker er makkelijk mee om kan omgaan? De mogelijkheden zijn legio, de technologie is er. Wat denk jij?

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5220659). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Reacties

Er is nog iets ergers dan het wachtwoord. Een website die niet de moeite neemt deze te versleutelen als ze naar de site verstuurd worden. Dus hoe sterk mijn wachtwoord is, hij wordt onversleuteld over het internet verstuurd naar Computable website. Daar is geen sterk wachtwoord tegenop gewassen en een schande.

Ik weet niet wat de uiteindelijke oplossing zal zijn, maar mijn huidige werkbare oplossing is:
- Password manager gebruiken zodat wachtwoorden voor ieder account lang en anders zijn
- 2 Factor authentication aanzetten waar mogelijk: Smartphone gebruik ik als token
- Inloggen op de iPhone die ik met vingerafdruk scanner.

Is het ideaal? Nee. Maar werkbaar genoeg om me voorlopig bezig te houden met andere zaken.

Eigenlijk zou de titel moeten zijn "weg met het hergebruiken van één wachtwoord", want dat is de grootste manco op dit moment.

Alle authenticatiemogelijkheden zijn in te delen in drie groepen: wat je weet (wachtwoord, pincode, etc); wat je hebt (token, mobiele telefoon, Random Reader, etc) en wat je bent (vingerafdruk, irisscan, DNA profiel, etc).

Persoonlijk vind ik de derde (wat-je-bent) geen fijne optie. Vingerafdrukken laat je overal achter, m'n DNA geeft ik echt niet af (veel te eng wat overheden en zorgverzekeraars daar mee willen en kunnen doen) en ook de irisscan is te achterhalen (digitale consumentencamera's worden steeds beter).

Wat dus overblijft is wat-je-weet en wat-je-hebt. Wat-je-weet is de meest gebruikte en op zich prima veilig, mits je er maar zorvuldig mee omgaat. Kies sterke wachtwoorden (http://www.leisink.net/wachtwoorden.pdf) en gebruik een passwordmanager om voor ieder systeem een ander wachtwoord te kunnen gebruiken. Periodiek wisselen is onzinnig. Doe dat alleen bij (een vermoeden van) misbruik van je wachtwoord.

Het wat-je-hebt is een goede aanvulling op wat-je-weet. Echter, ook hierbij geldt dat dit alleen veilig is bij goed gebruik. Er zijn al genoeg voorbeelden van mensen die misleid zijn door criminelen om het wat-je-hebt apparaat oneigenlijk te gebruiken. Ja, een wat-je-hebt werpt een extra barriere op voor criminelen, maar een wat-je-weet in combinatie met een persoon die weet wat hij/zij doet is veilig genoeg.

Mijn mening is dan ook: een waakzame gebruiker is veel sterker dan een combinatie van wat-je-weet, wat-je-hebt en wat-je-bent.

Een vingerafdruk is eigenlijk ook ongeschikt voor authenticatie, want het is gelijk aan één en hetzelde niet-te-wijzigingen wachtwoord voor alle systemen. Meer daarover op:

http://www.ikhebniksteverbergen.nl/identiteit

De veel ge[n|r]oemnde passwordmanager heeft ook een keerzijde ... als iemand dat wachtwoord achterhaalt, kan hij meteen overal bij.

Dit is ook de keerzijde van alles koppelen op je werk aan bijvoorbeeld active directory. Het scheelt de gebruiker heel veel wachtwoorden onthouden voor de diverse applicaties, maar als iemand je wachtwoord weet, kan hij ook meteen overal bij.

Wat dat betreft ben ik zelf meer gecharmeerd van vingerafdruk- of irisscan. Dan hoef je tenminste niet meer op de paar maanden verplicht je wachtwoord te veranderen.

Het probleem is volgens mij ook niet zozeer het onthouden van een wachtwoord, maar meer het aantal combinaties gebruiksnaam/wachtwoorden wat we vandaag de dag hebben.

Hugo: Periodiek wisselen is onzinnig. Doe dat alleen bij (een vermoeden van) misbruik van je wachtwoord.

Dit gaat dan vooral op voor eenlingen. Wat veel gebeurd bij bedrijven is dat er een algemeen account is voor een bepaalde dienst of toegang tot de klant (= bad practice), als er dan iemand uit dienst gaat moet je toch al die wachtwoorden wijzigen.

PaVaKe : Grappig, je redenatie had ik niet van jou verwacht. En ook voor dat "master password" heb je natuurlijk de beveiliging van 2 factor authenticatie.

Hoe moet je het eigenlijk doen *zonder* password manager?

Punt is dat je niet 1 van de drie genoemde dingen moet gebruiken (weten, hebben, zijn), maar in ieder geval 2. Daarmee ben je een stuk veiliger dan het gros van de mensen en bedrijven.

Maar gevaren loeren overal!

Zo beseffen bedrijven niet dat DNS instellingen cruciaal zijn voor je veiligheid.

Ook de implementatie geeft in veel gevallen een vals gevoel van veiligheid. Zo had Apple zijn zaakjes niet op orde en kon 2 factor authentication gemakkelijk omzeild worden.

Op dit soort sites altijd 123456 gebruiken als login en password, lijkt me een verstandige oplossing, kan je je veilige/sterke wachtwoord op een veilige plek gebruiken.

De plannen om iedereen te implanteren met een bio-chip staan al lang op stapel. Alleen is de social engineering nog niet zo ver dat de mensen hier warm voor lopen.

@Henri: Dan blijft mijn opmerking hetzelfde. Als er niemand uit dienst gaat is periodiek wijzigen van het wachtwoord zinloos. Bij uitdiensttreding heb je een geval van mogelijk misbruik (een vermoeden daartoe) en dien je het wachtwoord te wijzigen. Een een gedeeld wachtwoord is inderdaad bad practice, meer dan dat zelfs.

@johan: Alu-hoedjes af graag.

Verontrustend dat steeds toch een biometrische identificatie boven komt drijven. Terwijl Nederland te klein is als de overheid al onze vingerafdrukken centraal wil opslaan en in ons paspoort wil zetten, staan we te applaudiseren als elk willekeurig bedrijf onze vingerafdruk kan gaan gebruiken als identificatie. Privacy sneuvelt bij het kleinste beetje ongemak.
Gewoon wachtwoorden met een goed password manager doet het voor mij prima. 1 supersterk wachtwoord ter bescherming van al die andere. En voor de enkele sites waarin privacy een nog grotere rol speelt gewoon toch een wachtwoord onthouden.

Het ergst zijn de wachtwoorden waar de site voorwaarden aan stelt. na drie, vier keer een wachtwoord te hebben afgekeurd 'floept' ie dan ineens door naar 'Ok'. En dan weet je dus eigenlijk niet meer goed welk wachtwoord je nou ook weer als laatste had verzonnen.
Wachtwoorden worden ook vaak met geeltjes onder toetsenborden geplakt als men ze te vaak moet wijzigen.
Ik gebruik dan ook een zelfgeschreven wachtwoordmanager op een USB-stick aan mijn sleutelbos: niet in de PC, dan is het wachtwoord dus ook niet te kraken. Wel weer kans op verlies, maar daar ziet de - hopelijk - eerlijke vinder adresgegevens van de eigenaar en kan de stick geretourneerd worden.
Verder wordt er een minder gestandaardiseerde database met versleuteling gebruikt en is het pakketje beveiligd tegen bruteforce attacks.
100% safe? Nee, en dat wordt het ook nooit. Zolang er op de een of andere manier van buitenaf toegang tot iets (een site, dienst, device) mogelijk moet zijn, dan is de beveiliging per definitie lek. Zet een deur in een gebouw en je het is per definitie inbraakgevoelig. Doe er een raam in en je hebt een tweede lek. Kortom: voor 100% veiligheid zet je je PC in een kluis zonder verbinding met internet en dan maar hopen dat niemand de combinatie van je kluis weet te raden...

Een potentieel alternatief is volgens mij een app/software die de authenticatie op een veilige wijze voor je afhandelt, waarbij geen persoonlijke of gedeelde gegevens op de website voor authenticatie worden achtergelaten.

zie bijvoorbeeld GRC's SQRL: https://www.grc.com/sqrl/sqrl.htm

Deze oplossing is public domain en eenvoudig (lees: relatief goedkoop) te implementeren, vandaar een oplossing met potentie m.i.

Een ander soortgelijk initiatief wordt geboden door FidoAlliance: https://fidoalliance.org

Ik werk voor een gemeente waarbij we flexwerken en ook thuiswerken. Thuiswerken is keurig geregeld met RSA tokens. Op kantoor is het nog steeds login/wachtwoord en je screen locken als je wegloopt. Ook prima. Maar wat ik echt zou willen, is dat gemeentes toegang geboden zou worden tot het Rijkspassysteem: Fysieke toegangscontrole en digitale toegangscontrole met 1 pas. Dat helpt dan niet enkel 11 ministeries, maar ook 393 gemeentes, 12 provincies en 24 waterschappen.

@Dennis: Ik ken GRC al jaren, maar kom er niet zo vaak meer. Leuke link en overigens nog dezelfde opmaak als 15 jaar geleden :-)

Ik heb hem nog niet helemaal door (snel gescand) maar ik ga hiervoor wel een proof of concept voor opzetten, er zit voldoende potentie in.

"How to freak out a mobile APP user?" is Episch! Thanks.

Voor wie het nog niet weet, vingerafdrukken en irisscans veranderen wel degelijk met het stijgen van de leeftijd.
Zolang er nog geen beter alternatief is, zijn wachtwoorden met/zonder 2-factor een oplossing waarmee we moeten leven.

Inderdaad Henri, de DNS wordt vaak vergeten, bij jou neem ik aan 8.8.8.8 en 8.8.4.4 als eerste en tweede DNS-server.

Een eenmalig te gebruiken wachtwoord met sms autenticatie. Eventueel kan nog een vingeradruk worden gebruikt, hoewel ook die niet 100% betrouwbaar is. Je zou dan je Digid veel breder kunnen toepassen. Je meldt je aan bij Digid en die geeft een eenmalige autenticatie aan de applicatie of website dat degene is gevalideerd. Je geeft dan geen telefoonnummer aan de leverancier maar die blijft binnen de Digid omgeving.
Daar moet dan een beveligd protocol voor worden ontwikkeld en via tunneling VPN worden de gegevens versleuteld uitgewisseld.

Heb 33 !!!! passwords , ik wordt er helemaal gek van.
(hotmail,facebook, email , OV chip kaart , DigiD,,,,,,en ga zo maar door.

Waarom overal niet 1 inlognaam , met 1 gelijk passwword , dan direct een SMS autenticatie er over met de 6 zijfers die je moet invoeren.
Mijn hypotheek bank Florius werkt ook zo , en schijnbaar is het wel veilig.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×