Wachtwoorden: we moeten ervanaf. Maar hoe?
Eerlijk zeggen: heb je voor elke website een uniek wachtwoord, dat ook nog eens uit cijfers letter en andere tekens bestaat? Grote kans dat je op deze vraag 'nee' moet antwoorden, ook al weet je dat het eigenlijk wel zou moeten.
Wachtwoorden worden sinds de komst van de eerste computers gebruikt om onbevoegden buiten te houden. Maar inmiddels zijn technologiebedrijven en beveiligingsexperts het erover eens: we moeten af van wachtwoorden.
"Wachtwoorden zouden moeten zorgen voor meer veiligheid, maar dat is niet meer zo", zegt directeur Lotte de Bruijn van Nederland ICT, de branchevereniging van ict-bedrijven. "We moeten ervanaf."
Slechte wachtwoorden
Een groot probleem is dat mensen ondanks alle adviezen slechte, makkelijk te raden wachtwoorden gebruiken. "Veel mensen denken bovendien dat wachtwoorden veiliger worden als je er allemaal ingewikkelde tekens gebruikt, terwijl het toch vooral om de lengte gaat", zegt De Bruijn.
Bij een rondgang op straat bleek dat veel mensen maar een paar wachtwoorden hebben voor alle sites waar ze op inloggen:
Ook gebruiken mensen vaak hetzelfde wachtwoord voor verschillende websites of apps, waardoor het risico bestaat dat hackers kunnen inbreken met een wachtwoord dat is uitgelekt. De afgelopen jaren zijn meermaals wachtwoorden openbaar geworden bij grote datalekken.
Verder zijn wachtwoorden kwetsbaar voor phishing. Je kunt nog zo'n goed wachtwoord verzinnen: als je het invult op een phishing-site, kan een kwaadwillende er alsnog mee aan de haal. En tot slot worden wachtwoorden ook eens nog regelmatig vergeten.
Beveiliging moet beter snappen hoe mensen werken.
Die problemen spelen al jaren, en het lukt deskundigen maar mondjesmaat om daar iets aan te veranderen. Volgens Jelle Niemantsverdriet, beveiligingsonderzoeker in dienst van Deloitte, wordt het tijd dat computerbeveiligers iets anders bedenken.
"Beveiligingsexperts zijn heel erg bezig om mensen te leren hoe ze zichzelf veilig moeten houden, door bijvoorbeeld sterke wachtwoorden te gebruiken", zegt hij. "Maar ik denk dat we het andersom moeten doen: beveiliging moet beter snappen hoe mensen werken."
Alternatieven
Wachtwoorden zijn niet handig dus, maar er is ook nog geen allesomvattend alternatief. Er zijn wel opties, maar die zijn niet altijd even gebruikersvriendelijk, kosten geld of zijn technisch lastiger om te implementeren.
Alternatieven die wel al worden gebruikt zijn: gezichtsherkenning en vingerafdrukken. Beide worden bijvoorbeeld gebruikt om telefoons te ontgrendelen.
Veelgehoorde kritiek op biometrie is dat een vingerafdruk niet kan worden gewijzigd, in tegenstelling tot een wachtwoord. Lekt je vingerafdruk uit, dan heb je dus echt een probleem.
Niemantsverdriet kan daar weinig mee. "Het zal voor een kleine groep mensen een risico zijn, bijvoorbeeld als je bij de geheime dienst werkt", zegt hij. "Maar ik vraag me af of vingerafdrukken ooit zo aan de lopende band zullen worden misbruikt als nu gebeurt met wachtwoorden."
Volgens hem wordt er te veel aandacht besteed aan spannende, ingewikkelde hacks. "Maar uiteindelijk worden mensen gehackt met relatief saaie dingen, zoals uitgelekte wachtwoorden. Geen dingen die je in een Hollywood-film zal zien."
Inloggen met je telefoon
Biometrie is niet de enige oplossing. Ook je telefoon kan worden gebruikt om je identiteit te bevestigen. Dat kan bijvoorbeeld al met DigiD: wie dat wil, kan bij het inloggen een QR-scode scannen met zijn telefoon. Daarop moet nog wel een pincode worden ingetoetst.
"Veel mensen beschermen hun telefoon net zo goed als hun portemonnee, en merken het eerder als hun telefoon er niet is dan wanneer hun partner niet naast ze in bed ligt", zegt Niemantsverdriet. In de toekomst zou je dan bijvoorbeeld automatisch kunnen inloggen als je telefoon in de buurt van je laptop ligt.
Apparaatjes in je computer
Ook zijn er apparaatjes die je in je computer kunt stoppen en die niet alleen het wachtwoord, maar ook de gebruikersnaam kunnen vervangen. Zo'n zogenoemde security-key in je laptop stoppen is dan genoeg om in te loggen. Om te voorkomen dat iemand kan inloggen als je je sleutel laat liggen in de trein, kun je je identiteit extra bevestigen met bijvoorbeeld een app op je telefoon.
Op dit moment kunnen die apparaatjes enkel nog naast je gebruikersnaam en wachtwoord worden gebruikt. Alle grote techbedrijven hebben zich achter dat initiatief geschaard, alleen Apple nog niet.
Bezwaar hierbij is dat je het apparaatje altijd bij je moet hebben om ergens te kunnen inloggen. Daarnaast kost zo'n zogenoemde veiligheidssleutel op dit moment nog een paar tientjes, wat veel mensen zal weerhouden van aanschaf.
Nog even wachten
De perfecte oplossing bestaat dus nog niet, maar komt vast nog wel een keer, denkt De Bruijn van Nederland ICT. "Maar het zal wel nog even duren. Mensen gebruiken nu ook nog steeds de fax."