Beheer

Security
wachtwoord

'Alles beter dan een wachtwoord'

Wachtwoorden bieden nog maar weinig bescherming. Alternatieven genoeg.

© Pixabay CC0 Public Domain
2 september 2016

Wachtwoorden bieden nog maar weinig bescherming. Alternatieven genoeg.

Wachtwoorden als beveiligingsmiddel volstaan totaal niet. De vele diefstallen van wachtwoordgegevens de afgelopen jaren waarbij tientallen miljoen wachtwoorden werden buitgemaakt en soms geopenbaard, zijn daar een duidelijk bewijs van. Er zijn alternatieven. Maar ook die zijn niet perfect.

Niet alleen worden wachtwoorden in grote hoeveelheden gestolen, ook worden ze via brute force-aanvallen in groten getale geraden. Als ze te makkelijk zijn. En het gros van de wachtwoorden is te makkelijk, gezien de top10-en die elk jaar gepubliceerd worden van meest gebruikte wachtwoorden. 123456 en password bijvoorbeeld blijven bijzonder veel gebruikt. Want gebruikers kunnen moeilijke wachtwoorden niet gebruiken en willen er zeker geen 15 onthouden.

Bovendien hebben veel gebruikers slechte gewoontes ontwikkeld rondom wachtwoorden, die maar moeilijk zijn af te leren. Zo blijkt uit een onderzoek van SailPoint dat 20 procent van de werknemers zijn wachtwoorden deelt met zijn collega’s, 56 procent ze zowel voor zakelijke als privé apps gebruikt en 1 op de 7 is bereid zijn wachtwoord te verkopen voor een luttel bedrag.

Enkele alternatieven voor wachtwoorden op een rijtje.

Biometrie.

Biometrie is een alternatief voor wachtwoorden dat steeds vaker gebruikt wordt en in steeds meer vormen. Zo zijn er natuurlijk de vingerafdrukherkenners waar menig smartphone maar ook laptop mee is uitgerust. Of netvliesscans waarbij de adertjes en andere fysieke eigenschappen in het oog gescand worden en vervolgens omgezet in een digitale code die vergeleken wordt een opgeslagen template. Ook de afdruk van een oor zou uniek en dus bruikbaar zijn voor identificatie, net als het hartritme van een gebruiker of de manier van typen.

"|Je kunt geen nieuwe vinger aan laten groeien"

Aan biometrie kleeft echter één groot bezwaar. De gevolgen van een datadiefstal hierbij zijn zeer groot. Zoals beveiligingsexpert Bruce Scheier zegt: “Je kunt wel een nieuw wachtwoord kiezen maar je kunt geen nieuwe vinger aan laten groeien.” Gebruikers kunnen hun biometrische gegevens vrijwel niet veranderen, behalve dan met ingrijpende operaties. Dat betekent dat al die gegevens – en dus biometrie als identificatiemiddel – na diefstal onbruikbaar zijn geworden.  

2 Factor Authenticatie

Hierbij wordt naast het wachtwoord nog een tweede identificatiemethode toegepast. Vaak is dat in de vorm van een sms’je. Daar vrijwel iedereen een telefoon heeft, is dit zeer bruikbaar. Het is in elk geval veiliger dan alleen een wachtwoord.

Captcha’s

Captcha’s voorkomen dat een bot via brute force aanvallen wachtwoorden kraakt. Door een Captcha in te laten vullen weet het systeem dat er een mens aan de knoppen zit en geen bot. Maar het gebruik ervan levert veel ergernis op waardoor ze zich er waar mogelijk tegen verzetten, wat het gebruik niet bevordert.

Password Management Tools

Password Management Tools beschermen alle wachtwoorden voor websites van een gebruiker met behulp van encryptie. Een gebruiker hoeft dan nog maar één wachtwoord te onthouden – dat van de tool: het master password. Inloggen gebeurt vervolgens automatisch. En desgewenst genereert de tool ook een wachtwoord als de gebruiker een nieuwe website bezoekt en daar wil inloggen. Bijkomend voordeel is dat een goede password management tool ook bescherming biedt tegen phishing. Hij herkent of de gebruiker inderdaad op de gewenste site inlogt met het juiste URL. Is het een doorgelinkte of vervalste site, dan ziet hij dat het URL niet klopt.

Persoonlijke USB-sleutel

Op een persoonlijke USB-sleutel staan de benodigde persoonlijke gegevens om in te loggen. De sleutel moet in het device worden gestoken dat dan vervolgens het profiel laadt. Google biedt hiervoor de SecurityKey en vereist een Google Chrome-versie 40 of hoger op Chrome OS, Windows, Mac OS of Linux. Alle logins zijn opgeslagen op de mastersleutel waardoor wachtwoorden nergens meer ingegeven zouden hoeven te worden. Communicatie tussen de browser en de sleutel zou geen informatie genereren waarmee een ander zich als jou kan voordoen.

Virtueel token

Dit bestaat uit vooraf vastgelegde informatie over een gebruiker die geïntegreerd kan worden met bijvoorbeeld een smartphone. De app Clef biedt deze mogelijkheid en heeft al tienduizenden gebruikers. De app genereert een tijdelijk, uniek beeld op het scherm van de smartphone. Dat moet voor de webcam gehouden worden om de gebruiker te identificeren. Voordeel is dat die beelden elke keer random worden gegenereerd waardoor stelen geen zin heeft.

Een wachtZIN

Ze zijn langer, complexer en makkelijk om te herinneren. Een prima voorbeeld is: “Ikleesgraagagconnect”. Door spaties te plaatsen tussen de woorden en hier en daar een hoofdletter, wordt de wachtzin nog moeilijker om te kraken. “Ik lees graag AGConnect”, is een nog veiligere versie en blijft makkelijk te onthouden.

Lees meer over
Lees meer over Beheer OP AG Intelligence
2
Reacties
Anoniem 02 september 2016 15:51

Het probleem zit te vaak bij het beheer van de webapplikaties waar de database met wachtwoorden van klanten niet voldoende beveligd is. Via dat kanaal worden de meeste wachtwoorden gestolen. Een bruteforce-attack voor individuele gebruikers loont zich niet.
Biometrie kun je beter vergeten, tenminste als je iets voor je privacy over hebt.
SQRL ziet er inderdaad hoopvol uit, ik ga dat eens rustig doorlezen.

Anoniem 02 september 2016 11:48

Steve Gibson van GRC is bezig met de ontwikkeling van SQRL. Een inlog systeem met QR codes en een unieke ID per site, eventueel anoniem. Zeer interessant systeem. Zie voor meer informatie: https://www.grc.com/sqrl/sqrl.htm

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.