Sesam open u
Verreweg de meeste vormen van beveiliging werken met wachtwoorden en toegangscodes. Uit onderzoek blijkt dat computergebruikers daar schrikbarend slordig mee omspringen. Wat kan er allemaal misgaan met wachtwoorden en is er iets tegen te doen?
(dit artikel is eerder gepubliceerd op Netkwesties.nl)
Wie zich voor een webdienst wil registreren, dient een wachtwoord te verzinnen. En… wat heeft u gekozen? Een simpel wachtwoord als ‘geheim’? Is het wachtwoord misschien gelijk aan uw gebruikersnaam? Of is de keuze gevallen op de naam van uw vriend, vriendin, poes, oma of favoriete voetbalclub? Of is het iets degelijkers als:
24fxZE4h eF6p6R0S fOWvR5wd
Hoe het ook zij, Brits onderzoek doet niet veel goeds vermoeden. Vijftig procent van alle computergebruikers kiest voor de hand liggende wachtwoorden, zoals namen van familieleden, partners of huisdieren. En dertig procent kiest een popidool of sportheld.
Stel nu eens dat u een boef bent en zo’n wachtwoord wilt kraken. Hoe doet u dat? Het antwoord: huur geen hacker in, maar een psycholoog of een genealoog. Uit hetzelfde onderzoek blijkt namelijk dat de werkplek van computergebruikers veel aanknopingspunten oplevert voor wachtwoorden. Slingert er een pen rond met daarop de naam van de voetbalclub? Of staat naast de pc een lijstje met een foto van uw dochtertje?
Verder zijn ook genealogische websites heel bruikbaar om wachtwoorden te achterhalen. Hoeveel mensen kiezen niet hun geboortedatum, -plaats, of de naam van naaste familieleden als toegangscode? Gewoon even de stamboom checken, wat namen en datums uitproberen, en het wachtwoord rolt er zo uit.
Een té voor de hand liggend wachtwoord kan vergaande gevolgen hebben. Enkele maanden geleden was de proxyserver van de New York Times gekraakt. De hacker Adrian Lamo had slechts twee minuten nodig om de juiste toegangscode te raden.
vlierkuup zwik3ver gar$987
Maar soms ligt een wachtwoord ook iets minder voor de hand. Tien procent kiest een fantasie-wachtwoord, vaak met een seksueel tintje. En tien procent kiest cryptische combinaties. Die zijn het moeilijkst te raden.
Computergebruikers gaan dus schrikbarend slordig om met wachtwoorden. Valt er iets te doen aan deze mentaliteit? Dat wel. Veel computersystemen stellen hun gebruikers verplicht om regelmatig een nieuw wachtwoord te kiezen, bestaande uit minimaal zes tekens. En je mag niet iets opgeven wat je ooit al eens eerder hebt gebruikt en ook geen bestaande woorden uit het woordenboek kiezen.
Dergelijke beperkingen zijn een hele verbetering, maar zelfs dan spelen inventieve (of luie?) gebruikers het nog klaar om voor de hand liggende wachtwoorden te verzinnen. Een aardig voorbeeld geeft netwerkbeheerder Ari Ollikainen op een mailinglijst van de Amerikaanse computerprofessor David Farber. Hij had ooit geconstateerd dat veel wachtwoorden simpelweg bestonden uit een rijtje van zes naast elkaar gelegen tekens op het toetsenbord, bijvoorbeeld ‘qwerty’ of ‘345678’.
tyuiop xcvbnm fghjkl
Ook de bepaling dat je van tijd tot tijd een nieuw wachtwoord moet verzinnen, is niet helemaal onomstreden. Uit studies bij Bell Labs blijkt namelijk dat de veiligheid juist afneemt door regelmatig wisselende wachtwoorden.
De reden is eenvoudig: bijna iedere gebruiker baseert een wachtwoord op de wereld om hem heen, maar iedereen heeft maar een beperkt universum. Daardoor wordt het steeds lastiger om een wachtwoord te bedenken dat moeilijk te raden is én gemakkelijk te onthouden. Er is dus iets voor te zeggen om een ijzersterk wachtwoord tot in lengte van jaren te blijven gebruiken. Tenzij u zeker weet dat een boef al uw code heeft bemachtigd natuurlijk.
En zelfs gebruikers die een goed wachtwoord hebben gekozen, zijn maar al te graag bereid dat aan hun collega’s te geven, zo meldde The Register onlangs. Die collega’s kunnen dat wachtwoord nog minder gemakkelijk onthouden, want ze hebben het immers niet zelf bedacht.
Wat doen ze dan? Precies, ze schrijven het daarom maar op een memoblaadje, dat ze aan de rand van hun beeldscherm plakken. Lekker handig, altijd bij de hand. Lekker handig, denkt ook de schoonmaker die aan het eind van de dag het kantoor komt stofzuigen.
194enseztig m1n1muml00n stropwaaffel
Heeft u niet voldoende fantasie om een sterk wachtwoord te bedenken? Laat de software het dan voor u doen. Enkele gratis programmaatjes die het proberen waard zijn: Quicky Password Generator, Any Password en Secure Password Generator.
De opzet van dergelijke software is simpel: kies eerst de gewenste lengte van het wachtwoord en vervolgens wat voor tekens erin mogen voorkomen: kleine letters, hoofdletters, cijfers en/of leestekens. Eén druk op de knop en daar is uw wachtwoord. Maar let op, nu komt het moeilijkste: u moet dat wachtwoord op een of andere manier zien te onthouden.
Wl/6Xcg\wI4. Tz-iiRwQIS!y .TtGu+A/z5@_
Tot nu toe hebben we het gehad over het kiezen van één wachtwoord. Was de praktijk maar zo simpel. In het dagelijks leven worstelen we met een warboel van tientallen gebruikersnamen, wachtwoorden, toegangsnummers en PIN-codes. Schrijft u die allemaal op in uw agenda? Dat gaat goed totdat u het slachtoffer wordt van een zakkenroller. De kans is niet groot, maar áls het gebeurt heeft u een Groot Probleem.
Gelukkig schieten ook hier softwaremakers te hulp. Er zijn tientallen password managers verkrijgbaar, waarvan sommige zelfs gratis. Deze programma’s bewaren uw gebruikersnamen en wachtwoorden van alle computertoepassingen en webdiensten die u gebruikt. Bij sommige kunt u zelf PIN-codes en creditcardnummers opslaan.
Alle gegevens worden bewaard in een bestand op uw computer. Dat bestand is natuurlijk zelf ook weer beveiligd met een wachtwoord. U hoeft dus voortaan nog maar één digitale moedersleutel te onthouden.
De meeste programma’s hebben een ingebouwde wachtwoordengenerator en waarschuwen als het tijd wordt om een wachtwoord te vervangen. Vaak is maar één toetsaanslag nodig om de gebruikersnaam en wachtwoord uit uw kluisje over te hevelen naar het inlogscherm van uw computertoepassing of webdienst.
dqalnk spnoeo vpjuih
Hoe aantrekkelijk dergelijke kluisjes ook lijken, er zitten allerlei addertjes onder het gras. Sommige password managers zijn ronduit inferieur, bijvoorbeeld Password Manager 1.0. Dit programma slaat de digitale moedersleutel zonder enige vorm van versleuteling op in het wachtwoordenbestand. U hoeft slechts het bestand te openen met Kladblok of een tekstverwerker en het wachtwoord verschijnt op uw scherm.
Met andere woorden: het is alsof u de moedersleutel bovenop het kastje achterlaat in de hoop dat niemand op het idee komt om daar even te kijken. Het spreekt voor zich dat een kluis met een gemakkelijk te achterhalen moedersleutel een ideaal doelwit is voor hackers. In plaats van dat uw beveiliging beter op orde is, heeft u in feite alleen maar de deur opengezet voor de boze buitenwereld.
Enkele password managers die hun beveiliging beter op orde hebben zijn
Whisper, Aha Password & Info Manager, Oubliette, Access Manager en KeyWallet.
Ook de internationaal vermaarde beveiligingsdeskundige Bruce Schneier heeft een wachtwoordenkluis gemaakt: Password Safe. Voor encryptie van de moedersleutel gebruikt hij zijn eigen Blowfish-algoritme, dat in wetenschappelijke kringen een goede naam heeft. Schneier heeft afgelopen najaar aangekondigd dat hij van Password Safe open-source software wil maken.
6713503328 2624983980 5815287412
Maar zelfs het nut van een goede password manager is te betwisten. Elke keer als u ergens inlogt, moet u immers uw digitale sleutelkluisje activeren en het juiste wachtwoord opzoeken. Dat vergt altijd nog een paar extra handelingen en als dat vaak gebeurt, kan dat behoorlijk gaan vervelen. Aan steeds weer opnieuw inloggen hebben gebruikers een bloedhekel, zo bleek twee jaar geleden uit onderzoek van Jakob Nielsen, expert op het gebied van webinterfaces.
Er bestaan ook kluisjes die permanent op de achtergrond draaien en automatisch actief worden zodra ze ergens op het scherm een inlogscherm detecteren. Het wachtwoord vullen ze zelf in. Dat lijkt een grote vooruitgang, maar het is absoluut onveilig. Als u even naar het toilet bent, kunnen uw kinderen of uw collega’s op uw pc overal onder uw naam inloggen.
Er is nog een ander bezwaar van password managers: u heeft slechts op één computer toegang tot al uw wachtwoorden. Mobiele werkers moeten de gegevens dus steeds op diskette meenemen. En in sommige gevallen is het kluisje helemaal onbruikbaar, bijvoorbeeld als u voor een geldautomaat staat en u uw pincode vergeten bent. Of bent u bereid altijd uw laptop mee te nemen als u gaat pinnen?
De ideale oplossing is dus nog niet gevonden. Bruce Schneier adviseert zelf als alternatief voor zijn digitale kluis: bedenk een krankzinnig ingewikkeld wachtwoord, schrijf het op een blaadje en stop het in je portemonnee. Met andere woorden: liever het risico van zakkenrollers dan van hackers.
Sesam open u
Verreweg de meeste vormen van beveiliging werken met wachtwoorden en toegangscodes. Uit onderzoek blijkt dat computergebruikers daar schrikbarend slordig mee omspringen. Wat kan er allemaal misgaan met wachtwoorden en is er iets tegen te doen?
(dit artikel is eerder gepubliceerd op Netkwesties.nl)
Wie zich voor een webdienst wil registreren, dient een wachtwoord te verzinnen. En… wat heeft u gekozen? Een simpel wachtwoord als ‘geheim’? Is het wachtwoord misschien gelijk aan uw gebruikersnaam? Of is de keuze gevallen op de naam van uw vriend, vriendin, poes, oma of favoriete voetbalclub? Of is het iets degelijkers als:
24fxZE4h eF6p6R0S fOWvR5wd
Hoe het ook zij, Brits onderzoek doet niet veel goeds vermoeden. Vijftig procent van alle computergebruikers kiest voor de hand liggende wachtwoorden, zoals namen van familieleden, partners of huisdieren. En dertig procent kiest een popidool of sportheld.
Stel nu eens dat u een boef bent en zo’n wachtwoord wilt kraken. Hoe doet u dat? Het antwoord: huur geen hacker in, maar een psycholoog of een genealoog. Uit hetzelfde onderzoek blijkt namelijk dat de werkplek van computergebruikers veel aanknopingspunten oplevert voor wachtwoorden. Slingert er een pen rond met daarop de naam van de voetbalclub? Of staat naast de pc een lijstje met een foto van uw dochtertje?
Verder zijn ook genealogische websites heel bruikbaar om wachtwoorden te achterhalen. Hoeveel mensen kiezen niet hun geboortedatum, -plaats, of de naam van naaste familieleden als toegangscode? Gewoon even de stamboom checken, wat namen en datums uitproberen, en het wachtwoord rolt er zo uit.
Een té voor de hand liggend wachtwoord kan vergaande gevolgen hebben. Enkele maanden geleden was de proxyserver van de New York Times gekraakt. De hacker Adrian Lamo had slechts twee minuten nodig om de juiste toegangscode te raden.
vlierkuup zwik3ver gar$987
Maar soms ligt een wachtwoord ook iets minder voor de hand. Tien procent kiest een fantasie-wachtwoord, vaak met een seksueel tintje. En tien procent kiest cryptische combinaties. Die zijn het moeilijkst te raden.
Computergebruikers gaan dus schrikbarend slordig om met wachtwoorden. Valt er iets te doen aan deze mentaliteit? Dat wel. Veel computersystemen stellen hun gebruikers verplicht om regelmatig een nieuw wachtwoord te kiezen, bestaande uit minimaal zes tekens. En je mag niet iets opgeven wat je ooit al eens eerder hebt gebruikt en ook geen bestaande woorden uit het woordenboek kiezen.
Dergelijke beperkingen zijn een hele verbetering, maar zelfs dan spelen inventieve (of luie?) gebruikers het nog klaar om voor de hand liggende wachtwoorden te verzinnen. Een aardig voorbeeld geeft netwerkbeheerder Ari Ollikainen op een mailinglijst van de Amerikaanse computerprofessor David Farber. Hij had ooit geconstateerd dat veel wachtwoorden simpelweg bestonden uit een rijtje van zes naast elkaar gelegen tekens op het toetsenbord, bijvoorbeeld ‘qwerty’ of ‘345678’.
tyuiop xcvbnm fghjkl
Ook de bepaling dat je van tijd tot tijd een nieuw wachtwoord moet verzinnen, is niet helemaal onomstreden. Uit studies bij Bell Labs blijkt namelijk dat de veiligheid juist afneemt door regelmatig wisselende wachtwoorden.
De reden is eenvoudig: bijna iedere gebruiker baseert een wachtwoord op de wereld om hem heen, maar iedereen heeft maar een beperkt universum. Daardoor wordt het steeds lastiger om een wachtwoord te bedenken dat moeilijk te raden is én gemakkelijk te onthouden. Er is dus iets voor te zeggen om een ijzersterk wachtwoord tot in lengte van jaren te blijven gebruiken. Tenzij u zeker weet dat een boef al uw code heeft bemachtigd natuurlijk.
En zelfs gebruikers die een goed wachtwoord hebben gekozen, zijn maar al te graag bereid dat aan hun collega’s te geven, zo meldde The Register onlangs. Die collega’s kunnen dat wachtwoord nog minder gemakkelijk onthouden, want ze hebben het immers niet zelf bedacht.
Wat doen ze dan? Precies, ze schrijven het daarom maar op een memoblaadje, dat ze aan de rand van hun beeldscherm plakken. Lekker handig, altijd bij de hand. Lekker handig, denkt ook de schoonmaker die aan het eind van de dag het kantoor komt stofzuigen.
194enseztig m1n1muml00n stropwaaffel
Heeft u niet voldoende fantasie om een sterk wachtwoord te bedenken? Laat de software het dan voor u doen. Enkele gratis programmaatjes die het proberen waard zijn: Quicky Password Generator, Any Password en Secure Password Generator.
De opzet van dergelijke software is simpel: kies eerst de gewenste lengte van het wachtwoord en vervolgens wat voor tekens erin mogen voorkomen: kleine letters, hoofdletters, cijfers en/of leestekens. Eén druk op de knop en daar is uw wachtwoord. Maar let op, nu komt het moeilijkste: u moet dat wachtwoord op een of andere manier zien te onthouden.
Wl/6Xcg\wI4. Tz-iiRwQIS!y .TtGu+A/z5@_
Tot nu toe hebben we het gehad over het kiezen van één wachtwoord. Was de praktijk maar zo simpel. In het dagelijks leven worstelen we met een warboel van tientallen gebruikersnamen, wachtwoorden, toegangsnummers en PIN-codes. Schrijft u die allemaal op in uw agenda? Dat gaat goed totdat u het slachtoffer wordt van een zakkenroller. De kans is niet groot, maar áls het gebeurt heeft u een Groot Probleem.
Gelukkig schieten ook hier softwaremakers te hulp. Er zijn tientallen password managers verkrijgbaar, waarvan sommige zelfs gratis. Deze programma’s bewaren uw gebruikersnamen en wachtwoorden van alle computertoepassingen en webdiensten die u gebruikt. Bij sommige kunt u zelf PIN-codes en creditcardnummers opslaan.
Alle gegevens worden bewaard in een bestand op uw computer. Dat bestand is natuurlijk zelf ook weer beveiligd met een wachtwoord. U hoeft dus voortaan nog maar één digitale moedersleutel te onthouden.
De meeste programma’s hebben een ingebouwde wachtwoordengenerator en waarschuwen als het tijd wordt om een wachtwoord te vervangen. Vaak is maar één toetsaanslag nodig om de gebruikersnaam en wachtwoord uit uw kluisje over te hevelen naar het inlogscherm van uw computertoepassing of webdienst.
dqalnk spnoeo vpjuih
Hoe aantrekkelijk dergelijke kluisjes ook lijken, er zitten allerlei addertjes onder het gras. Sommige password managers zijn ronduit inferieur, bijvoorbeeld Password Manager 1.0. Dit programma slaat de digitale moedersleutel zonder enige vorm van versleuteling op in het wachtwoordenbestand. U hoeft slechts het bestand te openen met Kladblok of een tekstverwerker en het wachtwoord verschijnt op uw scherm.
Met andere woorden: het is alsof u de moedersleutel bovenop het kastje achterlaat in de hoop dat niemand op het idee komt om daar even te kijken. Het spreekt voor zich dat een kluis met een gemakkelijk te achterhalen moedersleutel een ideaal doelwit is voor hackers. In plaats van dat uw beveiliging beter op orde is, heeft u in feite alleen maar de deur opengezet voor de boze buitenwereld.
Enkele password managers die hun beveiliging beter op orde hebben zijn
Whisper, Aha Password & Info Manager, Oubliette, Access Manager en KeyWallet.
Ook de internationaal vermaarde beveiligingsdeskundige Bruce Schneier heeft een wachtwoordenkluis gemaakt: Password Safe. Voor encryptie van de moedersleutel gebruikt hij zijn eigen Blowfish-algoritme, dat in wetenschappelijke kringen een goede naam heeft. Schneier heeft afgelopen najaar aangekondigd dat hij van Password Safe open-source software wil maken.
6713503328 2624983980 5815287412
Maar zelfs het nut van een goede password manager is te betwisten. Elke keer als u ergens inlogt, moet u immers uw digitale sleutelkluisje activeren en het juiste wachtwoord opzoeken. Dat vergt altijd nog een paar extra handelingen en als dat vaak gebeurt, kan dat behoorlijk gaan vervelen. Aan steeds weer opnieuw inloggen hebben gebruikers een bloedhekel, zo bleek twee jaar geleden uit onderzoek van Jakob Nielsen, expert op het gebied van webinterfaces.
Er bestaan ook kluisjes die permanent op de achtergrond draaien en automatisch actief worden zodra ze ergens op het scherm een inlogscherm detecteren. Het wachtwoord vullen ze zelf in. Dat lijkt een grote vooruitgang, maar het is absoluut onveilig. Als u even naar het toilet bent, kunnen uw kinderen of uw collega’s op uw pc overal onder uw naam inloggen.
Er is nog een ander bezwaar van password managers: u heeft slechts op één computer toegang tot al uw wachtwoorden. Mobiele werkers moeten de gegevens dus steeds op diskette meenemen. En in sommige gevallen is het kluisje helemaal onbruikbaar, bijvoorbeeld als u voor een geldautomaat staat en u uw pincode vergeten bent. Of bent u bereid altijd uw laptop mee te nemen als u gaat pinnen?
De ideale oplossing is dus nog niet gevonden. Bruce Schneier adviseert zelf als alternatief voor zijn digitale kluis: bedenk een krankzinnig ingewikkeld wachtwoord, schrijf het op een blaadje en stop het in je portemonnee. Met andere woorden: liever het risico van zakkenrollers dan van hackers.
Lees ook: