of 59045 LinkedIn

'Alles beter dan een wachtwoord'

Niet alleen worden wachtwoorden in grote hoeveelheden gestolen, ook worden ze via brute force-aanvallen in groten getale geraden. Als ze te makkelijk zijn. En het gros van de wachtwoorden is te makkelijk, gezien de top10-en die elk jaar gepubliceerd worden van meest gebruikte wachtwoorden. 123456 en password bijvoorbeeld blijven bijzonder veel gebruikt. Want gebruikers kunnen moeilijke wachtwoorden niet gebruiken en willen er zeker geen 15 onthouden.
Reageer

Wachtwoorden als beveiligingsmiddel volstaan totaal niet. De vele diefstallen van wachtwoordgegevens de afgelopen jaren waarbij tientallen miljoen wachtwoorden werden buitgemaakt en soms geopenbaard, zijn daar een duidelijk bewijs van. Er zijn alternatieven. Maar ook die zijn niet perfect.

Wachtwoorden bieden nog maar weinig bescherming. Alternatieven genoeg.

Niet alleen worden wachtwoorden in grote hoeveelheden gestolen, ook worden ze via brute force-aanvallen in groten getale geraden. Als ze te makkelijk zijn. En het gros van de wachtwoorden is te makkelijk, gezien de top10-en die elk jaar gepubliceerd worden van meest gebruikte wachtwoorden. 123456 en password bijvoorbeeld blijven bijzonder veel gebruikt. Want gebruikers kunnen moeilijke wachtwoorden niet gebruiken en willen er zeker geen 15 onthouden.

Bovendien hebben veel gebruikers slechte gewoontes ontwikkeld rondom wachtwoorden, die maar moeilijk zijn af te leren. Zo blijkt uit een onderzoek van SailPoint dat 20 procent van de werknemers zijn wachtwoorden deelt met zijn collega’s, 56 procent ze zowel voor zakelijke als privé apps gebruikt en 1 op de 7 is bereid zijn wachtwoord te verkopen voor een luttel bedrag.

Enkele alternatieven voor wachtwoorden op een rijtje.

Biometrie.
Biometrie is een alternatief voor wachtwoorden dat steeds vaker gebruikt wordt en in steeds meer vormen. Zo zijn er natuurlijk de vingerafdrukherkenners waar menig smartphone maar ook laptop mee is uitgerust. Of netvliesscans waarbij de adertjes en andere fysieke eigenschappen in het oog gescand worden en vervolgens omgezet in een digitale code die vergeleken wordt een opgeslagen template. Ook de afdruk van een oor zou uniek en dus bruikbaar zijn voor identificatie, net als het hartritme van een gebruiker of de manier van typen.

Aan biometrie kleeft echter één groot bezwaar. De gevolgen van een datadiefstal hierbij zijn zeer groot. Zoals beveiligingsexpert Bruce Scheier zegt: “Je kunt wel een nieuw wachtwoord kiezen maar je kunt geen nieuwe vinger aan laten groeien.” Gebruikers kunnen hun biometrische gegevens vrijwel niet veranderen, behalve dan met ingrijpende operaties. Dat betekent dat al die gegevens – en dus biometrie als identificatiemiddel – na diefstal onbruikbaar zijn geworden. 

Factor authenticatie
Hierbij wordt naast het wachtwoord nog een tweede identificatiemethode toegepast. Vaak is dat in de vorm van een sms’je. Daar vrijwel iedereen een telefoon heeft, is dit zeer bruikbaar. Het is in elk geval veiliger dan alleen een wachtwoord.

Captcha’s
Captcha’s voorkomen dat een bot via brute force aanvallen wachtwoorden kraakt. Door een Captcha in te laten vullen weet het systeem dat er een mens aan de knoppen zit en geen bot. Maar het gebruik ervan levert veel ergernis op waardoor ze zich er waar mogelijk tegen verzetten, wat het gebruik niet bevordert.

Password management tools
Password Management Tools beschermen alle wachtwoorden voor websites van een gebruiker met behulp van encryptie. Een gebruiker hoeft dan nog maar één wachtwoord te onthouden – dat van de tool: het master password. Inloggen gebeurt vervolgens automatisch. En desgewenst genereert de tool ook een wachtwoord als de gebruiker een nieuwe website bezoekt en daar wil inloggen. Bijkomend voordeel is dat een goede password management tool ook bescherming biedt tegen phishing. Hij herkent of de gebruiker inderdaad op de gewenste site inlogt met het juiste URL. Is het een doorgelinkte of vervalste site, dan ziet hij dat het URL niet klopt.

Persoonlijke usb-sleutel
Op een persoonlijke USB-sleutel staan de benodigde persoonlijke gegevens om in te loggen. De sleutel moet in het device worden gestoken dat dan vervolgens het profiel laadt. Google biedt hiervoor de SecurityKey en vereist een Google Chrome-versie 40 of hoger op Chrome OS, Windows, Mac OS of Linux. Alle logins zijn opgeslagen op de mastersleutel waardoor wachtwoorden nergens meer ingegeven zouden hoeven te worden. Communicatie tussen de browser en de sleutel zou geen informatie genereren waarmee een ander zich als jou kan voordoen.

Virtueel token
Dit bestaat uit vooraf vastgelegde informatie over een gebruiker die geïntegreerd kan worden met bijvoorbeeld een smartphone. De app Clef biedt deze mogelijkheid en heeft al tienduizenden gebruikers. De app genereert een tijdelijk, uniek beeld op het scherm van de smartphone. Dat moet voor de webcam gehouden worden om de gebruiker te identificeren. Voordeel is dat die beelden elke keer random worden gegenereerd waardoor stelen geen zin heeft.

Een wachtzin
Ze zijn langer, complexer en makkelijk om te herinneren. Een prima voorbeeld is: “Ikleesgraagagconnect”. Door spaties te plaatsen tussen de woorden en hier en daar een hoofdletter, wordt de wachtzin nog moeilijker om te kraken. “Ik lees graag AGConnect”, is een nog veiligere versie en blijft makkelijk te onthouden.

Bron: AG Connect, Tanja de Vrede

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.