Nieuw jaar, goede voornemens. En daar worden we aan alle kanten bij geholpen: we moeten veilige wachtwoorden gebruiken.
Ook deze week weer volop media-aandacht voor het fenomeen van de makkelijke wachtwoorden. Het meest gebruikte wachtwoord is ‘123456’ en ook ‘qwerty’ en ‘secure’. Schandalig dat mensen zo laks omgaan met hun eigen veiligheid. Ook de consumentenbond is in het geweer gekomen. Websites moeten moeilijker wachtwoorden afdwingen. Maar ook weer niet te moeilijk, want anders gaan mensen wachtwoorden toch maar vergeten…
Laat ik voorop stellen dat ik niet tegen het gebruik van goede wachtwoorden ben en dat ik een voorstander ben van het gebruik van andere oplossingen dan wachtwoorden. Maar ik zou het probleem van het gebruik van te makkelijke wachtwoorden graag een beetje relativeren.
Want hoe weten we eigenlijk dat mensen makkelijke wachtwoorden gebruiken? Dat weten we eigenlijk alleen doordat websites van bedrijven en organisaties de wachtwoordenbestanden laten uitlekken. Die websites zijn blijkbaar niet goed genoeg beveiligd om het lekken tegen te gaan. Dat kan zijn omdat de website of webapplicatie niet goed is ontwikkeld, of omdat de webserver of firewall niet goed wordt beheerd en niet goed is geconfigureerd, waardoor een aanvaller zonder veel moeite op de server kan rondstruinen en meenemen wat ie maar leuk vindt. En dat gebeurt nogal eens. Zo werd rond de feestdagen gemeld dat er op het darknet een bestand aanwezig was met 1.4 miljard accounts. En wel heel veel schandalig makkelijke wachtwoorden…
De wachtwoordenbestanden die uitlekken zijn dus niet de wachtwoordenbestanden van de IT afdelingen van bedrijven zelf. Wachtwoorden van een Active Directory of van een beetje beveiligde linux of LDAP-server lekken niet uit. Dat kan gewoonweg niet, want daar kun je niet bij. En voor die omgevingen is een geavanceerd wachtwoordenbeleid van kracht. Niet voor niets, want die wachtwoorden beschermen de kroonjuwelen van een organisatie. Dus als er al sprake is van het lekken van wachtwoorden, dan gaat het altijd om onvoldoende beveiligde websites!
Laat ik eens aangeven waarom ik makkelijke wachtwoorden niet het grootste probleem vind. Sterker, ik gebruik zelf makkelijke wachtwoorden. Niet overal, maar wel als mij dat handig lijkt. Maar het gebruik van makkelijke wachtwoorden vind ik niet handig als ik in moet loggen op een omgeving waar ik belangrijke transacties uitvoer of waar ik vertrouwelijke gegevens verwerk. Niet handig als ik zeker wil weten dat iemand niet zomaar mijn account kan overnemen. En natuurlijk kan zelfs niet als een website zelf al een wachtwoordenbeleid afdwingt.
Maar het gebruik van makkelijke wachtwoorden is wel handig als ik een niet belangrijke dienst ga gebruiken, of als ik een account op een site moet hebben waar ik alleen account moet hebben om een keer een white paper op te halen. Oftewel als het niet om mijn eigen identiteit gaat, maar alleen omdat die site nu eenmaal een e-mailadres wil hebben om mij te kunnen spammen. En het gebruik van een eenvoudig wachtwoord is zeker handig als ik niet weet of ik de beveiliging van die site wel kan vertrouwen.
Dus als de site relatief weinig waarde heeft, kan ik een relatief waardeloos wachtwoord gebruiken. Als een dergelijke site ook mijn gegevens laat uitlekken, dan is dat voor mij niet heel spannend. Als de site wel waardevol is, dan gebruik ik een waardevol wachtwoord. Of multi-factor authenticatie. In dat geval is een wachtwoord niet eens voldoende om er iets te kunnen doen…
Want wat is het risico van het gebruik van complexe wachtwoorden op onbetrouwbare sites? Wie omgaat met complexe wachtwoorden weet dat het onthouden vervelend is, dus wordt een dergelijk wachtwoord hergebruikt. De kans bestaat dat complexe wachtwoorden in uitgelekte wachtwoordbestanden ook hergebruikt worden op betrouwbare sites.
Ja, ik weet dat je complexe wachtwoorden kunt beheren in wachtwoordkluisjes, maar ik vind die zelf ook wel eens onhandig, zeker als ik niet verwacht een site ooit nog eens te gaan bezoeken.
Resumerend:
Laten we blij zijn dat mensen waardeloze wachtwoorden gebruiken voor waardeloze sites (en het bewijs dat sites waardeloos zijn is alleen het het feit dat die sites hun wachtwoordenbestanden laten uitlekken).
Bron: Blog André Koot