Wachtwoorden achterhaald?
Om te bewijzen dat jij jij bent en niemand anders, zijn er in de loop der jaren veel dingen bedacht die jouw uniciteit tegenover anderen moeten kunnen aantonen. Een ID in de vorm van paspoort of rijbewijs met daarop jouw foto is daar een simpel voorbeeld van, maar daar valt tegen betaling en contact met de juiste kanalen altijd wel aan te komen. Zelfs technische hoogstandjes als vingerafdrukken in een paspoort zijn in de praktijk na te maken. In de digitale wereld moet je je meestal identificeren met een wachtwoord. De combinatie van jouw naam of mailadres en een zelf gekozen wachtwoord moet dan uniek en veilig genoeg zijn om je toegang te verlenen. Maar dat zijn net twee dingen die de laatste tijd aardig onder vuur liggen: uniek en veilig. Het blijkt dat wachtwoorden helemaal niet uniek gekozen worden. Wachtwoorden als ‘123’ of simpelweg je eigen e-mailadres worden nog steeds vaak gebruikt. Het valt niet mee om voor alle websites waar je moet inloggen een ander wachtwoord te verzinnen. Hetzelfde wachtwoord overal of op meerdere plekken gebruiken verhoogt niet alleen de kans op kraken, maar hackers hebben onder jouw naam dan ook meteen toegang tot meerdere diensten. Een uniek wachtwoord is dan ook een eerste vereiste. Daarnaast is het de vraag hoe veilig je wachtwoorden bij de diverse diensten opgeslagen zijn. Als een dienst wordt gehackt, wat tegenwoordig regelmatig gebeurt, liggen meteen miljoenen wachtwoorden op straat. Aan die veiligheid kun je zelf niet veel doen, behalve ervoor zorgen dat de mogelijke impact ervan zo klein mogelijk is. Daarmee lijken wachtwoorden niet meer dan een pro forma beveiliging, makkelijk te omzeilen en niet meer van deze tijd. Om die problemen te voorkomen, wordt vaak een extra vorm van verificatie gevraagd. Dat is dan bijvoorbeeld een code die je via sms toegestuurd krijgt of een op je telefoon gegeneerd getal dat je moet overtypen. Ook al is je wachtwoord bij anderen bekend, dan kunnen ze nog niet inloggen omdat ze niet over die tweede verificatie beschikken. Dat roept twee vragen op. Waarom gebruiken we die wachtwoorden dan überhaupt nog en schakelen we niet helemaal over naar zo’n vorm van verificatie? En wat gebeurt er als je bijvoorbeeld je smartphone kwijt bent of wisselt van provider en tijdelijk geen sms’jes kunt ontvangen en dus niet meer kunt inloggen? Het gaat dan niet meer om een persoonsgebonden verificatie, maar om een apparaatgebonden verificatie. Wie je smartphone heeft, heeft je identiteit – en zeker als je geen pincode ingesteld hebt, ben je die zo kwijt. Daar hoeft dan geen paspoort voor vervalst te worden. Een combinatie van een goed wachtwoord en een universele tweede verificatiemethode lijkt op dit moment dan ook de beste oplossing. In deze c’t testen we uitgebreid een aantal wachtwoordmanagers die wachtwoorden kunnen generen en gaan we in op de mogelijkheden van tweefactorauthenticatie. Zodat jij zolang mogelijk kunt blijven wie je bent.
Veel plezier