Beschouwing

Wachtwoorden: het vermoeiende circus van onthouden en vergeten

De internettende mens komt om in zijn wachtwoorden. Dus gooit hij er vaak met de pet naar (wéér de naam van de hond). Wanneer verlossen irisscans en harstslagherkenning ons uit deze hel? En wat kunnen we intussen het beste doen om online veilig te blijven?

Peter van Ammelrooy
null Beeld Michiel Schuurman
Beeld Michiel Schuurman

Twee letters, twee cijfers, twee letters. Zo zag het nieuwe wachtwoord eruit waarmee ik zes jaar geleden toegang kreeg tot het bedrijfsnetwerk. Een inlogcode als het kenteken voor een auto. Aanvankelijk kostte het me moeite om de combinatie te onthouden, maar na verloop van tijd voerde ik XX-YY-XX in alsof ik ermee was geboren.

Tot twee maanden geleden. De systeembeheerders vonden het de hoogste tijd voor een bedrijfsbrede wachtwoordensanering. Werknemers mochten zelf een nieuw inlogcode bedenken. Nog steeds tik ik op onbewaakte ogenblikken de oude combinatie in. Het vermoeiende circus van onthouden en vergeten is opnieuw begonnen.

Frustratie

Het is een frustratie die ik sinds twee weken deel met de gebruikers van Twitch, een soort online-tv-zender waarop gamers kijken naar andere gamers terwijl die spelen. Na een inbraak gingen eind maart de inlogcodes van álle geregistreerde leden de vuilnisbak in. Voor de zekerheid. 100 miljoen stuks.

Het verschijnsel wachtwoord gaat al meer dan twintig eeuwen mee als wapen voor soldaten, voor bankiers, voor samenzweerders. Voor de man met de pet werd de code pas een paar decennia geleden noodzaak. Volgend jaar vieren we dat veertig jaar geleden, in Amsterdam, de eerste geldautomaat in gebruik werd genomen. Vanaf toen moesten consumenten hun pincode onthouden. En dan mogen we blij zijn dat de vrouw van de uitvinder van het persoonlijke identificatienummer, John Shepherd-Barron, vier cijfertjes wel welletjes vond.

De pincode voor bankzaken kreeg gezelschap van die voor de mobiele telefoon. Maar de sluizen gingen pas goed open met de komst van internet, zo'n twintig jaar geleden. De gemiddelde internetter heeft 19 wachtwoorden, leert een Brits onderzoek uit 2014. Is het een wonder dat bijna de helft dan kiest voor iets dat ze niet snel vergeten, zoals de naam van de hond? De noodzaak iets te onthouden botst hier met de plicht datzelfde ook goed geheim te houden. Vandaar dat onderzoekers driftig zoeken naar alternatieven.

null Beeld Michiel Schuurman
Beeld Michiel Schuurman

Wat vinden we van deze? 'Vergeet je pincode, maak een selfie.' Ruim een week geleden werd bericht dat Apple een octrooi is toegekend voor een zelfportret als wachtwoordvervanger. In de toekomst krijg je alleen toegang tot je mobiele telefoon als die je gezicht herkent.

'Zit je nou weer jezelf te fotograferen?'

'Nee, ik ontgrendel mijn iPhone.'

Gezichtsherkenning

Nieuw is het niet, gezichtsherkenning als alternatief voor een wachtwoord. Op computers uitgerust met Windows 8 en een camera kun je er al voor kiezen. In de komende nieuwe versie, Windows 10, bouwt Microsoft ook de mogelijkheid in om je pc te starten met een scan van je vinger of je ogen.

Niet alleen Microsoft zit ons op de huid. De mobieltjes van Apple en Samsung zijn al twee jaar te ontgrendelen door je vinger op een sensor in de thuisknop leggen. Op Schiphol hoeven zakenreizigers die daarvoor betalen niet meer met hun paspoort te zwaaien. Ze mogen doorlopen bij de douane na een irisscan. En sinds 2009 bevatten nieuwe Europese paspoorten een chip, waarin onze vingerafdruk zit opgeslagen.

Het biometrisch paspoort, Apple's selfieslot, Microsofts tronieportier - ze passen in een trend: we gaan van een wachtwoord dat je moet onthouden naar jezelf als wachtwoord. De vreemdste vondsten dienen zich aan. In februari onthulden Amerikaanse en Chinese wetenschappers een toetsenbord dat met de minuscule stroompulsen die je vingers afstaan je type-patroon in kaart brengt. En daarmee vervolgens Kees van Klaas kan onderscheiden.

On-demand

Niet alleen de buitenkant van je lijf opent deuren. De Britse bank Halifax heeft met succes een proef afgerond waarbij de klant inlogt met een polsband die zijn hartslag meet en bij een match het seintje 'akkoord' naar diens computer stuurt. Banken en telefooncentrales hebben al geëxperimenteerd met systemen die stemmen herkennen.

Ho, stop, pauze: aan vinger, iris, gezicht, stem en hartslag als authenticatiemethode kleeft wel een gemeenschappelijk nadeel. Eenmaal gedigitaliseerd en ergens opgeslagen kunnen ze worden gestolen en gebruikt om je bankrekening leeg te trekken. Goed verstoppen dus en versleutelen. Met een... wachtwoord.

Kortom, berichten over de dood van het wachtwoord zijn voorlopig schromelijk overdreven. Vandaar dat onderzoekers driftig zoeken naar veiligere vormen. Zo introduceerde de Amerikaanse webgrootmacht Yahoo in januari een password-on-demand. Bij die methode log je in met je telefoonnummer, waarna je een 4-cijferige code per sms krijgt toegestuurd die je als wachtwoord invoert.

null Beeld Michiel Schuurman
Beeld Michiel Schuurman

Tal van internetdiensten als Google, Microsoft en LinkedIn maken al gebruik van dit soort 'authenticatie in twee stappen', voor gebruikers die extra bescherming prettig vinden. Daarbij moet je je gebruikersnaam en wachtwoord invoeren op de website, waarna je een bevestigingscode krijgt toegestuurd in een e-mail of een sms. Tegenover het persbureau AP had risicostrateeg Tim Erlin kritiek op de methode-Yahoo. Je mobieltje kan in verkeerde handen vallen; hackers kunnen malware op je toestel installeren om de codes te onderscheppen.

Tot de dag dat we met onze hartslag geld uit de muur trekken, zullen we met het wachtwoord moeten leven. Een goede grondregel, als aanvulling op de andere richtlijnen op deze pagina, luidt dat je over je wachtwoord moet waken als was het je tandenborstel: kies een goede, vervang hem elke drie maanden en leen hem aan niemand uit.

Advies #1: gebruik geen persoonlijke gegevens in je wachtwoord

Dankzij sociale netwerken als Facebook, Twitter en LinkedIn kunnen hackers gemakkelijker aan informatie komen die we als privé beschouwen. Hoe kwetsbaar daarmee wachtwoorden zijn met de naam van het kind of de kat bleek vorig jaar uit een macabere anekdote opgetekend door The New York Times. Na de aanslag van 2001 op het World Trade Center kwam het bedrijf Cantor Fitzgerald diep in de problemen. Als een van 's werelds grootste financiële dienstverleners had die als regel ingesteld dat elke werknemer zijn wachtwoord met vier collega's moest delen. Zo zouden bij een ongeluk nooit klantengegevens onbereikbaar worden. Niemand die een ramp had voorzien waarbij in één klap 658 effectenhandelaren het leven lieten - tweederde van het personeelsbestand.

Het bedrijf riep de hulp in van Microsoft. Dat stelde een checklist op van persoonlijke gegevens die werknemers zouden kunnen hebben gebruikt voor hun wachtwoord. Aan de resterende medewerkers van Cantor Fitzgerald de delicate taak om de nabestaanden te vragen naar de naam van kinderen en katten of de dag dat hun dierbaren afstudeerden. 'Dit was nog geen etmaal nadat de wolkenkrabbers waren ingestort', herinnert topman Howard Lutnick zich in The New York Times. Het kostte Microsoft slechts twee dagen om met ouderwets recherchewerk de meeste toegangscodes te achterhalen. Nu, veertien jaar later, zouden onderzoekers alleen nog maar de sociale media hoeven te plunderen.

Verboden!


Gebruik geen wachtwoorden met...

naam partner, kind

naam school, universiteit

geboortedatum

huwelijksdatum

je naam achterstevoren

telefoonnummer

kentekennummer

namen populaire personages (Harry Potter)

termen uit woordenboek

termen uit woordenboek met 1 cijfer eraan vast

alleen cijfers, alleen letters

bekende citaten

maar zes tekens

tekst van Twitter, Facebook

tekst uit romans, films, liedjes

je inlognaam

reeks toetsenbord letters (qwerty)

voorgaande wachtwoorden

reeks opeenvolgende letters of cijfers

je favoriete sport of team

Advies #2: schrijf je wachtwoord nooit op

Volgens een van de oudst bekende beschrijvingen van een wachtwoord, door de Griekse historicus Polybius (circa 200-118 voor Chr.), schreven de oude Romeinen de woorden van hun wachten wél op. Op houten tabletten, als cruciaal onderdeel voor een ingenieus systeem waarmee de legeraanvoerder kon controleren of er mazen in de bewaking zaten.

De eerste computers kenden helemaal geen wachtwoord. Tot 1961, toen het Massachusetts Institute of Technology (MIT) zijn CTSS in gebruik nam. Dat was het eerste systeem waarop gebruikers een eigen map kregen toegewezen voor hun bestanden, afgegrendeld met een wachtwoord.

Die beveiliging was niet waterdicht. Je kon de CTSS gewoon een opdracht geven om toegangscodes uit te printen. Dat gebeurde dan ook, verklapte een medewerker van het MIT in 2012 aan het Amerikaanse magazine Wired. Op die manier kon hij meer uren achter de CTSS zitten dan hem waren toebedeeld. Schuldbewust had hij de 'geleende' wachtwoorden met collega's gedeeld.

Die eerste digitale wachtwoordendiefstal in de geschiedenis was pas onopgemerkt gebleven als de 'dader' niet plagerige berichten had achtergelaten op het account van de directeur.

Dat is ook de reden waarom inlogcodes beter geheim kunnen blijven. Niet vanwege hackers, maar omdat kwaadwillenden bezwarende berichten uit jouw naam naar nietsvermoedende afzenders kunnen sturen. Natuurlijk is de verleiding groot om je wachtwoord op een geeltje te zetten, zeker als dat ingewikkeld is. Doe het dan, maar plak het in geen geval op je beeldscherm, zegt de Amerikaanse beveiligingsgoeroe Bruce Schneier. Berg het op in je portemonnee. Heb je een bestand met wachtwoorden opgeslagen je pc, geef er dan een naam aan waarvan niemand vermoedt wat er in staat.

Advies #3: maak je wachtwoord zo complex mogelijk

Een zo lang mogelijke mix van letters, cijfers, leestekens en symbolen, in afwisselend hoofd- en kleine letters: dat levert nog altijd de beste wachtwoorden op. Maar 100 procent garantie biedt 4#hY>Peuroa niet. Al was het maar omdat de techniek bij de tegenstanders niet stilstaat. Wat hackers ooit maanden kostte is door de toegenomen rekenkracht van computers nu soms binnen uren en zelfs seconden gepiept. Tot drie jaar terug werd elke combinatie van acht tekens nog als een probate bescherming gezien. Toen onthulde een hacker tijdens de jaarlijkse Crack Me If You Can-wedstrijd een computer van 12 duizend dollar, Project Erebus V2.5, die er nog geen twaalf uur over deed om een bestand versleuteld met een code van acht tekens open te breken.

null Beeld Michiel Schuurman
Beeld Michiel Schuurman

Volgens Paul Ducklin van de Britse cyberbeveiliger Sophos zijn er inmiddels computers te koop voor 20 mille die in één seconde 100 miljard variaties aan wachtwoorden van acht letters kunnen uitproberen op een gecodeerd bestand. Aangezien er 280 miljard combinaties van zulke wachtwoorden bestaan is elke code van acht letters binnen 3 seconden achterhaald.

Wil je een lang wachtwoord dat toch makkelijk is om te onthouden? Maak dan er een zin van. Wel een onzinnige zin. Zoals: IkBAK6xsoepvan@staart. Zet op je geeltje alleen maar 'ikBAKsoep'. De rest schiet je vanzelf te binnen.

Advies #4: Gebruik niet steeds hetzelfde wachtwoord

In 2008 gebruikte 88 procent van de ondervraagden in een peiling een en het zelfde wachtwoord voor meerdere internetdiensten. In 2010: 71. Weer twee jaar later: 55. In 2014: een lichte stijging, naar 62. 'Hergebruik' van wachtwoorden, zo blijkt hieruit, is een niet uit te roeien verschijnsel. Of gebruikers weten niet wat het risico is, óf ze kiezen ervoor dat te negeren. Dat risico is niet gering. Hackers die bij een geslaagde inbraak op een onbeduidende website Y je wachtwoord vinden, hebben dan ook de sleutel voor het internetloket van je bank.

Experts met begrip voor het menselijk tekort raden internetters aan een enkel wachtwoord-voor-alles alleen op die plekken te gebruiken waar de schade te overzien valt. Zorg er in elk geval voor dat het codewoord voldoet aan de eisen van alle andere adviezen en gebruik niet voor meerdere websites dezelfde inlognaam. Soms is dat lastig, als websites vragen om je e-mailadres als inlognaam. Niet iedereen zal een veelvoud aan mailaccounts willen bijhouden (elk met - zucht - wéér een wachtwoord).

Kassa!

Met een van deze pincodes is ruim kwart van de pinpassen te gebruiken:

(bron: Nick Berry, Datagenetics, 2013)

1234
1111
0000
1212
7777
1004
2000
4444
2222
6969
9999
3333
5555
6666
1122
1313
8888

Advies #5: Gebruik een wachtwoordmanager

De meeste mensen, signaleerde de Britse datawetenschapper Nick Berry in een interview met de Amerikaanse zender NPR in 2012, vertonen een stuitend gebrek aan creativiteit als ze een pincode moeten verzinnen. 'De meest gebruikte pin is 1-2-3-4. Die staat op 10 procent van de pinpassen. Dus als je een bankpas bij een geldautomaat ziet liggen, heb je kans van een op tien dat je door 1-2-3-4 in te tikken het juiste getal hebt te pakken.'

Met wachtwoorden is het niet veel beter gesteld. 'Met slechts 100 wachtwoorden krijg ik toegang tot 9,2 procent van de accounts', aldus Berry. Op basis van bestanden met gestolen inloggegevens maakt het bedrijf Splashdata elk jaar een top-25 van meest gebruikte wachtwoorden. Op wat kleine verschuivingen na is de lijst al jaren hetzelfde: als wachtwoord voeren veel gebruikers nog steeds 'wachtwoord' in.

Wie niet verder komt dan 1234567 kan wachtwoorden verzinnen beter overlaten aan software als LastPass, Keepass of 1Password. Dit zijn computerprogramma's die complexe codes voorstellen en die verbergen achter een moederwachtwoord. Ook webbrowsers, zoals Safari, bieden je zo'n wachtwoordenmanager - zodat je nog maar een enkel codewoord hoeft te onthouden.

null Beeld Michiel Schuurman
Beeld Michiel Schuurman

Advies #6: zet je wachtwoorden in je testament

Omdat we steeds meer zaken digitaal doen, is het zaak dat je nabestaanden toegang krijgen tot je accounts online. Ze moeten abonnementen kunnen opzeggen, mensen bereiken van wie je alleen een e-mailadres hebt, je Twitter- en Facebook-pagina opheffen. In Groot-Brittannië laat al een op de tien zijn inlogcodes opnemen in het testament, aldus een onderzoek van de University of Londen uit 2011. Dat testament moet dan wel opgeborgen in een kluis. Achter slot en grendel. Met een sleutel. Of een code.

Meer over