Passwords: niet leuker, wel makkelijker

Voor een paar euro krijg je zo toegang tot gevoelige data, zelfs medische dossiers en financiële gegevens, toonde RTL Techjournalist Daniel Verlaan in een artikel over een Russische darkweb-site.

Op Linkedin en Twitter brandde meteen de discussie los over de laksheid van bedrijven en hun slechte beveiliging. Maar ik denk dat deze kwestie vooral gaat over de zwakste schakel: de digitale voordeur en de manier waarop gebruikers noodgedwongen de sleutels hanteren. We besteden veel aandacht aan de beveiliging van onze digitale huizen en kluizen, maar werken al tientallen jaren met een gebrekkig slot op die voordeur: het wachtwoord. Een veiligheidssysteem dat lastig is om te gebruiken. En gebaseerd op de illusie van wachtwoorden die we onthouden en die niet te raden of te vinden zijn.

Op de impliciete aanname dat een wachtwoord uniek en geheim is, valt veel af te dingen. Op het darkweb vind je lijsten met miljarden wachtwoorden. Die zijn in de loop der tijd verzameld door de password hashes uit gestolen bestanden en gehackte directory servers te kraken. Grote kans dat 1 of meer van jouw wachtwoorden daar ook tussen zitten. Voor wie dat nog niet gedaan heeft: kijk het zelf maar eens na op haveibeenpwned.com.

Een andere aanname is dat de schade van een geraden of gekraakt wachtwoord beperkt zal blijven omdat we voor alle systemen en sites netjes verschillende wachtwoorden gebruiken, die we regelmatig wijzigen. Ook die aanname is onjuist. Niet alleen omdat we gemakzuchtig zijn (en dat zijn we zeker), maar het is ook ondoenlijk. Een gemiddeld persoon heeft al moeite met onthouden van een paar pincodes. Laat staan een groot aantal ingewikkelde wachtwoorden met cijfers en tekens. De meeste mensen gebruiken daarom overal hetzelfde wachtwoord. Of een doorzichtig trucje, hetzelfde wachtwoord met wat letters van de site erachter. Is dat eenmaal gekraakt, kan de hacker of koper zijn gang gaan op elke site waar het account voorkomt.

Voor degene die wel de adviezen opvolgen om verschillende ingewikkelde wachtwoorden te gebruiken is het een heel gedoe. Omdat onthouden niet gaat, is het gebruik van hulpmiddelen de enige mogelijkheid. Zoals een excel bestand met logins, of het wachtwoordboekje van de Hema. Een enkeling doet logins via "wachtwoord vergeten", en geeft zo elke keer een nieuw wachtwoord op. Beter, maar erg omslachtig. Een prima oplossing is 2 factor authenticatie. Maar dat kan alleen als de site of het systeem die optie aanbiedt en dat zijn uitzonderingen. De meeste mensen schakelen die optie bovendien uit gemakzucht niet in.

Misleidend advies van experts

Een praktische en goede oplossing is het gebruik van een password manager. Maar dan staan er weer security experts op die claimen dat dat ook niet 100% veilig is. Velen grijpen dat aan als een welkom excuus om te blijven volharden in de onveilige ingesleten gewoontes. Ook hoor je vaak als argument: "why bother anyway, als ze binnen willen komen lukt het toch wel ", want ook dat is wat de security experts ons elke dag vertellen.

Ik denk dat we als sector en aanbieders iets moeten doen aan deze onveilige situatie. Het passwordsysteem is nu eenmaal niet perfect. En dus moeten we tot er iets beters komt, onze gebruikers niet slechts bestraffend toespreken, maar wat meer begrip tonen voor het feit dat we ze met een gemankeerd veiligheidssysteem en met onmogelijk op te volgen adviezen hebben opgescheept. We moeten ze gaan helpen, en zo motiveren tot veiliger gedrag.

Start met de aanpak van de wijkagent, die bij een open deur een briefje achterlaat: zoek de accounts van je eigen gebruikers op in haveibeenpwned en informeer ze dat ze zelf, privé, ook risico lopen. Stimuleer het gebruik van een password manager. Geef bijvoorbeeld incentives voor de mensen die een hoge score behalen in de securitymeting die managers zoals Lastpass aanbieden. Wijs op de andere voordelen van de password manager, zoals overzicht van al je accounts, nood-access en gemak als je er eenmaal aan gewend bent.

En trap niet in de valkuil van sommige security-experts, die steevast wijzen op de risico’s  van iets nieuws. En zo verhinderen dat een goede oplossing het verliest van de nog betere oplossing, die er alleen helaas nog niet is, of onbetaalbaar of te ingewikkeld is.

Zolang we nog met passwords moeten leven zullen we realistisch moeten zijn en de gebruiker ervan een werkbare oplossingen moeten bieden. Ook voor passwords geldt: leuker kunnen we het niet maken, wel makkelijker. En ook veiliger.