De laatste dagen van gebruikersnaam en wachtwoorden
Deze week kondigde de online password manager LastPass aan dat het gehackt was. Dit bericht deed me beseffen dat de term ‘beveiligen met een wachtwoord’ het grootste oxymoron van de 21ste eeuw is. De kwestie van het onveilige wachtwoord duikt weer op. Het herinnert ons opnieuw aan de nood voor sterke, eenmalige wachtwoorden.
De dagelijkse internetgebruiker beheert gemiddeld 25 accounts, die worden beschermd met gemiddeld zes verschillende statische wachtwoorden. Gebruikers lijken echter een voorkeur te hebben voor een bepaald soort wachtwoord: bijnamen, geboortedata, namen van huisdieren of kinderen, en zelfs het woord ‘password’ zijn erg geliefd.
Toch zijn de meeste surfers er zich van bewust dat wachtwoorden van groot belang zijn. Zij vormen tenslotte de eerste, laatste en vaak de enige bescherming tegen inbreuken op een account. Lange lijstjes met tips en tricks zijn overal te vinden: gebruik geen bestaande woorden, mix letters met speciale karakters en cijfers, gebruik andere wachtwoorden voor verschillende accounts, verander je wachtwoord regelmatig… Als de gebruiker ook nog om de 90 dagen verplicht wordt om zijn wachtwoord te veranderen, wordt het een onmogelijke opdracht om die allemaal te onthouden.
Online password managers lijken dus een goede oplossing om dit probleem aan te pakken. Alle verschillende, moeilijke en regelmatig aangepaste wachtwoorden kunnen gemakkelijk worden opgeslagen in een online kluis. Alleen schuilt er een grote ironie in het beschermen van statische wachtwoorden met… een statisch wachtwoord.
Wij zijn ervan overtuigd dat de laatste dagen van gebruikersnamen en wachtwoorden zijn aangebroken. Hackers drijven ons immers naar veiligere authenticatiemethodes. Eenmalige wachtwoorden spelen daarbij een sleutelrol. Ze blijven slechts geldig voor een beperkt aantal seconden en worden daarna onbruikbaar. Telkens als een gebruiker wil aanloggen, krijgt hij een nieuw wachtwoord. In 90 dagen kunnen er dus 250.000 verschillende wachtwoorden gecreëerd worden. Het staat buiten kijf dat dit veel veiliger is dan een statisch wachtwoord elke 90 dagen veranderen. Niet alleen de veiligheid, maar ook het gebruiksgemak wordt verhoogd, omdat de gebruiker niet meer hoeft te onthouden welk ingewikkeld wachtwoord hij ook alweer moest gebruiken.
De sectoren die vroeger het geliefkoosde doelwit waren van hackers – zoals de banksector – hebben de statische wachtwoorden al afgezworen en gebruiken nu eenmalige wachtwoorden. Hackers realiseerden zich dat ze nieuwe inkomstenbronnen moesten aanboren. Ze kozen andere sectoren en zochten naar nieuwe manieren waarmee ze geld konden verdienen, met bijvoorbeeld vertrouwelijke of business-kritische informatie. Bedrijven, ziekenhuizen en zorgverleners, overheden, onderwijsinstellingen en vele andere organisaties vielen allemaal al ten prooi aan hackaanvallen. Het wordt hoog tijd dat we eenmalige wachtwoorden ook in deze sectoren in het leven roepen. Niet alleen zullen de accounts beter beschermd zijn tegen cyberaanvallen, ook de gebruikers zijn dan verlost van de last om de vele wachtwoorden te onthouden.
Jan Valcke, President & COO VASCO Data Security BV