Het einde van het wachtwoord

25-07-2014 - P.M. Rol

Ik ben ze zat. Spuugzat. Ik weet het nog goed, in het begin had ik er maar één. Vandaag de dag heb ik zo'n tien verschillende wachtwoorden: wachtwoorden, wachtzinnen en combinaties daarvan.

Even inloggen op mijn mail-account en de ellende begint weer vooraf aan. Capslock uit? Check. Denk erom, niet te snel typen, anders gaat het weer mis. Uhhh, welk wachtwoord of wachtzin was het ook alweer?

Zucht.

Wachtwoorden zijn achterhaald en ongeschikt voor mijn brein. Ik wil een eenvoudige oplossing, ik wil een sleutelgat. Sleutel erin, kwartslag draaien en een verkeerd gekozen computerstem die zegt: 'krzzz, goedemorgen meneer Rol'. Hoe moeilijk is dat nou?

Uitvinder wachtwoord spreekt van nachtmerrie

Fernando José Corbató Fernando Corbató Fernando José Corbató foto van Jason Dorfman (MIT CSAIL fotograaf) kwam begin jaren 60 met het wachtwoord. Destijds een briljant idee om gevoelige informatie te beschermen, anno 2014 een blok aan ons been. Hij zegt in een recent interview hierover: 'Unfortunately it’s become kind of a nightmare'.

Een halve eeuw wachtwoorden

Computers en wachtwoorden gaan ondertussen meer dan een halve eeuw hand in hand. In het begin was het simpel. Eén wachtwoord, maximaal zes tekens en je gegevens waren veilig.

De computer werd sneller en het breken van wachtwoorden werd steeds eenvoudiger. Daarom moest een wachtwoord langer worden en was deze pas 'veilig' als je gebruik had gemaakt van verschillende letters, cijfers en speciale tekens. En als je toch bezig was, zorgde je voor een nieuw wachtwoord voor elke dienst.

Niet goed genoeg

Ik heb mijn best gedaan. Met wachtwoorden, wachtzinnen van meer dan 30 tekens en combinaties van wachtwoorden. Voor de zekerheid een klein papiertje met een geheugensteun voor die wachtwoorden. En toch was het niet goed genoeg.

We hebben nog minstens tien jaar last van de Heartbleed-bug in OpenSSL. Bij hacks worden steeds vaker wachtwoorden massaal gestolen.

En dan hebben we ook nog de overheid met haar onverzadigbare controle dwang. Dankzij Edward Snowden Edward Snowden Edward Snowden foto van Laura Poitras (Praxis Films) weten we dat de Amerikanen iedereen afluisteren. Getuige de halfzachte reacties van de rest van de wereld lijkt het me onwaarschijnlijk dat ze de enige zijn.

Tijdelijke oplossingen

Internetgiganten erkennen schoorvoetend het probleem en komen met (tijdelijke) oplossingen: Versleutelde communicatie en twee staps authenticatie.

Bij versleutelde communicatie wordt de communicatie met een algoritme onleesbaar gemaakt voor derden. Een hacker ziet alleen wat onsamenhangende tekens en kan niet je foto of document ontcijferen.

Met twee stap authenticatie bestaat het aanmelden niet uit één maar twee verschillende stappen. Een veelgebruikte methode is eerst een wachtwoord en vervolgens de code uit het sms'je opgeven.

Versleutelde communicatie ontsleuteld

Wachtwoorden worden nog met regelmaat onversleuteld opgeslagen in een database of zonder versleuteld protocol als tekst over het internet verzonden. Versleutelde communicatie en versleutelde opslag van wachtwoorden is een stap in de juiste richting.

Tenminste, zolang het versleutelingsprotocol niet is gekraakt, zoals het recentelijke Heartbleed-lek in OpenSSL.

Barsten in twee staps authenticatie

Toegegeven, deze extra beveiligingslaag houdt criminelen langer buiten de deur. De hacker kan dan wel een database met wachtwoorden buitmaken, maar moet daarnaast ook nog toegang krijgen tot de mobiele telefoon van het doelwit. Het klinkt goed, de criminele hacker heeft niets aan jouw wachtwoord, omdat hij de code uit het sms'je mist.

Helaas is de praktijk weerbarstig. De gemiddelde mens gebruikt slechts één wachtwoord voor tientallen diensten, het gekraakte wachtwoord is daarom zeker niet waardeloos.

Nog een barst in dubbele authenticatie. Was de encryptie op Gsm-netwerken al niet een paar jaar geleden gekraakt? Wat als de criminele hacker toegang krijgt tot de mobiele communicatie? Mag ik zeker naast mijn wachtwoord ook nog mijn telefoonnummer wijzigen!

Vodafone stelt ons gerust, de overheid heeft al directe toegang tot het netwerk. In verschillende landen is toegang zelfs mogelijk zonder gerechtelijke tussenkomst en is de beller vrij wild.

Vodafone Nederland zegt dat de Nederlandse overheid geen directe toegang heeft. Juist ja. Beste Vodafone, wat was jullie motto ook-al-weer?

Bedreiging voor omzet

Inmiddels zien internetgiganten als Google, Apple en Microsoft in dat veiligheidsdiensten een bedreiging vormen voor hun omzet.

Ze hebben zich daarom verenigd in Reform Government Surveillance. In een open brief verzoeken ze vriendelijk om een betere balans tussen burgerrechten en staatsveiligheid. Het is een voorzichtig, publiekelijk beginnetje. Laten we hopen dat ze achter de schermen wat harder hun best doen.

Wachtwoord manager

Een wachtwoord manager zoals LastPass wordt tegenwoordig aangeraden. Eén hoofdwachtwoord en als je wenst automatisch gegenereerde wachtwoorden. In principe heb je dan met één sterk wachtwoord toegang tot al je diensten.

Het probleem is evident. Dit is een wachtwoord Eldorado dat smeekt om gedolven te worden. Een kwestie van tijd, want één succesvolle inbraak is voldoende. Daarnaast is LastPass een Amerikaanse dienstverlener en zoals we weten hebben die een overijverige veiligheidsdienst.

Wie gaat dit oplossen?

Google werkt aan een authenticatie-ring en Facebook aan DeepFace. Interessante oplossingen, maar hebben we daar als gebruiker wel wat aan? Het is immers niet hun primaire belang om de gebruiker te beschermen, maar om geld te verdienen.

Van de overheid hoeven we niets te verwachten. Ze doen juist heel erg hun best om zoveel mogelijk data te verzamelen. Langzaam maar zeker verdwijnt de onschuldpresumptie en is iedereen een potentiële crimineel of terrorist.

Maar wie lost het wel op?

Wij. Als vrije burgers zijn wij het immers het meest gebaat bij onze privacy. We hebben een stel slimmeriken nodig die een decentrale oplossing bedenken die het identificeren gemakkelijk en veilig maakt. Wie wordt de 'opvolger' van Fernando José Corbató en ontwikkelt de opvolger van het wachtwoord?

Het reactieformulier is uitgeschakeld.