World Password Day: hoe ziet het wachtwoord van de toekomst eruit?
Ook Google waarschuwt dat wachtwoorden eigenlijk gewoon de grootste bedreiging zijn voor onze online beveiliging. Het is en blijft een menselijke factor: vaak zijn paswoorden gemakkelijk te raden of komen ze via een datalek in slechte handen. De meeste consumenten denken dat een wachtwoord zo lang en complex mogelijk moet zijn, maar ook dat is achterhaald. Google beweert zelfs dat dit het beveiligingsrisico alleen maar vergroot. Het onbedoelde neveneffect is dat gebruikers dat ene ‘ingewikkelde’ wachtwoord op meer plaatsen gaan gebruiken. Daardoor worden alle betrokken accounts in één klap kwetsbaarder. In het kader van World Password Day verzamelden we alvast 8 tips voor een sterk wachtwoord.
Zorgen om beveiliging
Volgens Google liggen u en ik wel degelijk wakker van die persoonlijk beveiliging. De zoekreus liet ons weten dat de zoekterm “Hoe sterk is mijn wachtwoord?” in 2020 maar liefst drie keer vaker in de zoekmachine ingevoerd werd dan een jaar eerder. Google wil World Password Day aangrijpen om een inzicht te geven in hoe het bedrijf wachtwoordbeheer voor zijn gebruikers wil blijven verbeteren. Achter de schermen werken de ingenieurs van Google naar verluidt aan een hoogtechnologisch systeem, dat de traditionele wachtwoorden op termijn zelfs overbodig moet maken.
Google zette al een eerste stap in die richting met zijn Smart Lock-app voor iOS, waardoor gebruikers steeds een secundaire authenticatie bij zich dragen. De bij Android-toestellen ingebouwde beveiliging laat je zelfs weten wanneer een hacker je paswoord kent en ermee probeert in te loggen. Je krijgt dan een melding om te bevestigen of jij die actie uitvoerde. Dat soort tweestapsverificatie is een belangrijke evolutie naar een veiliger internetgebruik. Google is van plan om het systeem automatisch uit te rollen. Of je account daarvoor in aanmerking komt, kan je controleren via Password Check-up. Dat raden we ten zeerste aan.
Daarnaast is het altijd een goed idee om Googles Password Manager te gebruiken. Ook Apples Password-instellingen op je iPhone of iPad helpen je om kwetsbare wachtwoorden te detecteren. Wanneer de systemen aangeven dat je wachtwoord te eenvoudig is, het voor andere accounts geldt of opdook in een datalek, verander je het best zo snel mogelijk.
Hebben wachtwoorden nog nut?
Wanneer zoveel wachtwoorden plots kunnen opduiken in een datalek, kan je je afvragen of een traditioneel wachtwoord uiteindelijk nog wel veel zin heeft. Wij legden ons oor te luister bij beveiligingsexpert Salvatore Sinno van Unisys. “De vraag is niet of wachtwoorden nog veilig zijn of niet, maar wel of ze nog de juiste dosis geruststelling bieden in verhouding tot de gegevens die we willen afschermen”, steekt hij van wal. “Wanneer we moeten beslissen over de manier van authenticatie, moeten we vertrekken vanuit een risicoanalyse. Bovendien moeten zulke systemen niet alleen op zichzelf staan. Het is even belangrijk dat gebruikers ze oppikken en toegankelijk vinden”, legt hij de vinger op de wonde.
Daarnaast bevestigt hij de nood aan tweestapsverificatie. “Dat heeft de inherente zwaktes van wachtwoorden opgevangen en deels opgelost. Toch maakt het je accounts niet immuun voor hackers. Bevestiging via SMS is een oudere vorm van tweestapsverificatie die ondertussen al achterhaald is. Hacker kunnen tegenwoordig vrij makkelijk mobiele toestellen hacken om de bijhorende SMS-codes te ontvangen”, waarschuwt hij. “Smartphones en tablets kunnen geïnfecteerd raken met malware en criminelen kunnen e-mails onderscheppen. Dus zijn meerdere stappen van verificatie wel de oplossing?”, vraagt hij zich luidop af. “Hoe meer stappen je toevoegt, hoe stroever de gebruiker dat gaat ervaren. Op de duur gaat die minder moeite willen doen en dat is net het tegenovergestelde van waar we naartoe moeten.” Sinno ziet daarom meer heil in een oplossing waarbij men het gebruiksgemak en het beveiligingsrisico tegen elkaar afweegt.
Menselijk gedrag als sleutel
“Beveiligingssystemen baseren zich tegenwoordig steeds meer op het gedrag van mensen als een soort biometrische beveiliging. Dat is een goede aanvulling op fysieke biometrische beveiliging (zoals vingerafdrukscan of gezichtsherkenning, nvdr.) en traditionele tweestapsverificatie.” Sinno waarschuwt wel dat die beveiliging op basis van gebruikersgedrag op zichzelf geen vervanger mag zijn voor tweestapsverificatie, fysieke biometrische beveiliging en de oude paswoorden. “Die verschillende oplossingen hebben elk hun sterktes en zwaktes. Zelfs wanneer je meerdere beveiligingslagen gaat combineren, kan een oneerlijk persoon een goedgelovige gebruiker nog steeds om gegevens vragen”, merkt de beveiligingsexpert op.
Vals veiligheidsgevoel
Er valt dan meteen wat te zeggen voor biometrische gegevens die we niet zomaar kunnen uitlenen. Denk daarbij aan onze vingerafdruk (van die ene specifieke vinger of duim), de unieke geometrische vormen van ons gezicht of het patroon van onze iris. Waarom zouden we dan blijven sukkelen met kwetsbaar wachtwoorden in tekstvorm? “Met de huidige technologie kunnen biometrische gegevens op basis van ons gedrag of fysieke eigenschappen (nog) niet het beveiligingsniveau bieden van traditionele tweestapsverificatie”, antwoordt Sinno verrassend. Ook die ‘unieke’ gegevens kunnen hackers stelen of kopiëren, stelt hij. “Ze zijn niet immuun voor diefstal via phishing of transparante authenticatie.”
“Wanneer klanten tegenwoordig belangrijke diensten gebruiken, zoals onlinebankieren, is het vooral tweestapsverificatie die hen ‘gerust kan stellen’. Het antwoord is volgens mij dat je biometrische methoden aanvullend moet gebruiken of laten integreren. Die combinatie verkleint het risico door mogelijke toegangspaden tussen de eindgebruiker en de diensten te verminderen. Door wachtwoorden, tweestapsverificatie én biometrische gegevens te combineren, slaagt de beveiliging er beter in om de gebruiker met grote betrouwbaarheid te verifiëren. Door tijdens een sessie continu meerdere controles uit te voeren, wordt het risico dat iemand anders toegang krijgt tot een account wel heel klein”, aldus Sinno. Dat continue proces uit zich in een Identity Assurance Score (IAS). Die toepassing vinden we vooral terug bij grote bedrijven, om zeker te zijn over de identiteit van degene die toegang heeft tot de account in kwestie.
Een glimp van de toekomst
Tot slot geeft de beveiligingsexpert van Unisys zijn blik op de toekomst. Hij is ervan overtuigd dat nog meer biometrische scanners hun weg zullen vinden naar de smartphones die we dagelijks gebruiken. “De gyroscoop in je toestel kan bijvoorbeeld je unieke manier van wandelen en je looppas registreren. Ook de manier waarop je je toestel vasthoudt en andere, typische gedragingen zullen een biometrische aanvulling worden op vinger- en gezichtsscanners”, besluit Sinno.