De laatste melding van een lekke mand bij telecombedrijf KPN bleek toch gebaseerd te zijn op een misverstand. Het lek kwam van een slecht beveiligde site voor babyspullen. Toch bracht het wel een ander probleem aan het licht. Mensen hergebruiken wachtwoorden. Niet zo vreemd natuurlijk, want hoe moet je die toch allemaal onthouden? Er zijn zoveel sites die om een wachtwoord vragen. Veel meer dan je, als gewoon mens kan onthouden.
Beveiligen is vaak een balans tussen gebruiksvriendelijkheid en veiligheid. Dus wat is wijs? Wat aanbevelingen: bedenk een wachtwoord voor onzin sites, gebruik verschillende wachtwoorden voor verschillende niveaus, verzin goede wachtwoorden, maak gebruik van wachtwoordbeheerders en gebruik waar mogelijk open authenticatie.
Zoveel sites vragen je te registreren voor de meest onzinnige zaken. Wil je die websites hetzelfde wachtwoord geven dat je ook gebruikt voor jouw e-mail? Dacht het niet. Motieven om jou een account aan te laten maken zijn veelal commercieel van aard (kijk eens hoeveel geregistreerde gebruikers wij hebben) en niet in het belang van de gebruiker. Protesteer dus door een dergelijk formulier te vullen met onzin informatie en een gemakkelijk in te voeren wachtwoord dat je voor dergelijke sites lekker kunt hergebruiken. Natuurlijk ga je pas registreren nadat je hebt gekeken of er niet al een gebruikersnaam/wachtwoord combinatie staat op bugmenot.com
Gezien bovenstaande paragraaf zou je minimaal twee, maar ik hanteer er zelf meer, niveaus aanbrengen in je ‘wachtwoordstrategie’. Zie het als een piramide. Bovenaan het allerbelangrijkste: overheidszaken en dergelijke. Vervolgens je primaire e-mailadres(sen). Daarna zaken waarom je geeft, maar waar het verliezen van controle minder erg is: sociale netwerken, secundiare e-mailadressen. Vervolgens webshops e.d., hier moet je vaak je adres kwijt, dus geen plek voor een onzin-wachtwoord, maar webshops willen in de eerste plaats verkopen, het belang van veiligheid staat op een lager pitje (voor een webshop waar je je creditcard informatie hebt achter gelaten is het echter wel weer verstandig om een ander wachtwoord te kiezen). En op het laagste niveau heb je dus in de vorige paragraaf behandelde onzin-wachtwoord.
Een goed wachtwoord is niet noodzakelijkerwijs een moeilijk te onthouden wachtwoord. Natuurlijk is het beste wachtwoord geheel willekeurig. Toch is niet onmogelijk om iets dat wél te onthouden is als wachtwoord te hebben dat nog steeds erg veilig is. Een redelijk bruikbare strategie is die gebaseerd op zinnen: ‘BultrugEnJong’, ‘JoostLeest1Boek’… een dergelijke oplossing is in ieder geval online met slechts veel moeite te kraken (zie voor meer achtergrond het gelinkte Baekdal.com artikel. Omdat het meerdere woorden bevat is het met een woordenlijstaanval een velen malen lastiger te kraken (overigens is een wachtwoord in het Nederlands nog beter dan het in Engels, want de kans dat iemand een woordenlijstaanval in het Nederlands uitvoert is een stuk kleiner).
Wachtwoorden ergens opslaan gaat in principe ten koste van de veiligheid. In de praktijk zorgen wachtwoordbeheertools (zoals deze in veel browsers al zitten) echter voor meer variatie in de wachtwoorden, zodat het uiteindelijk leidt tot betere wachtwoorden. Ben je echt bang dat jouw computer gehackt wordt? Zorg er voor dat je wachtwoordbestand versleuteld is opgeslagen, met behulp van een wachtwoord. Voor online opslaan, hoe goed met beveiligd dan ook, ben ik zelf wel enigszins huiverig voor, maar door een ontzettend sterk wachtwoord / key hiervoor te gebruiken kan het eigenlijk geen probleem opleveren. De methode die b.v. Firefox Sync afdwingt voldoet aan deze eis.
Het wordt zelden ‘open identificatie’ genoemd, maar je hebt vast wel eens ‘OpenID login’ of ‘Log in met Twitter/Facebook/Google’ gezien[1]. Tenzij je anoniem wilt blijven en je hebt toch al een goed beveiligde Twitter, Facebook of Google account is het een goede manier om hiermee in te loggen. Eigenlijk zijn die open identificatie platformen een soort wachtwoordbeheerders die volledig online zijn. Open identificaties sites beheren echter geen wachtwoorden. De applicatie waarvoor je je moet identificeren en de partij waardoor je je laat identificeren (waarbij je wél wilt inloggen) wisselen onderling informatie uit over jouw identiteit; betrouwbaar genoeg om zeker te weten dat jij het (weer) bent. De website waarbij je je moet identificeren heeft echter geen idee van jouw wachtwoord. Wordt ook na het inloggen middels een derde partij nog om een wachtwoord gevraagd, gebruik dan een geheel willekeurig wachtwoord, dat een ander nooit kan raden en dat jij nooit gaat gebruiken omdat je net zo gemakkelijk met de OpenID/Auth-partij kunt inloggen. Denk wel aan wat mogelijk de zwakste schakel is. Vind je je Twitter account wachtwoord niet zo belangrijk, dan wil je je Twitter account ook niet gebruiken om in te loggen op je primaire e-mail account.
Het laatste wat je wilt is angst voor techniek. Maar net zoals je voor je werk een andere sleutel hebt als voor je huis, je fiets, en misschien de kluis die in je huis staat, is het verstandig om ook in de digitale wereld aparte sleutels te hanteren. Dat je alle deuren van je huis kunt openen met 1 sleutel is niet gek, het maakt immers niet uit. Maar om met diezelfde sleutel ook in je kluis te kunnen, terwijl je die sleutel ook nog wel eens geeft aan de buren, dat is misschien een minder slimme stap. Enige behoedzaamheid kan geen kwaad. Wees dus wijs, ontwikkel een wachtwoordstrategie.
[1] Strikt genomen is ‘Sign in’ met Twitter, Facebook of Google geen open identificatie maar veelal identificatie met authenticatie. Wel werkt het op OpenAuth-technologie (de manier waarop het werkt is een open standaard). Je geeft hiermee vaak ook applicaties het recht om berichten in je persoonlijke profiel te lezen e.d.
Vond je dit leuk, volg me op Mastodon, voeg die RSS, euh ATOM feed toe aan je feedreader, of schrijf je hieronder in op mijn nieuwsbrief.
Dit artikel van murblog van Maarten Brouwers (murb) is in licentie gegeven volgens een Creative Commons Naamsvermelding 3.0 Nederland licentie .