Wachtwoorden en te snelle woorden

Hoi! Deze editie van Cybernieuwtjes is een paar dagen later dan verwacht, omdat er vandaag een artikel bij de NOS verscheen waar we nog wat dieper op wilden ingaan. Wachtwoorden: hoe komen we er in vredesnaam ooit van af?

Gebruik sterke wachtwoorden. En unieke. Het liefst met een wachtwoordmanager. En heb je al aan tweestapsauthenticatie gedacht?

Grote kans dat je vrienden, familie, collega’s, bazen en ondergeschikten dit soort advies hebt gegeven. En ook een grote kans dat ze dat advies niet of nauwelijks opvolgden.

Wachtwoordmanagers en tweestapsauthenticatie zijn een nicheproduct - hoewel steeds populairder. Wachtwoorden hergebruiken komt nog vaak voor: uit onderzoek van de overheid komt naar voren dat vier op de tien Nederlanders dat zegt te doen. (En daar kun je misschien nog wat bij optellen, gezien het effect van maatschappelijk gewenst antwoorden.)

Uit onderzoek van Alert Online blijkt dat mensen zelfs weinig maatregelen nemen als ze thuis of op werk zijn getroffen door cybercrime. Na te zijn getroffen op werk, gaat 8 procent complexere wachtwoorden gebruiken. Onder medewerkers in de vitale infrastructuur (telecom, banken, energie, water) is dat iets meer, maar nog steeds slechts 14 procent.

Het levert meer dan alleen theoretische risico’s op. Uitgelekte en geraden wachtwoorden zijn samen met phishing debet aan tal van succesvolle hacks. Van de buitgemaakte e-mails bij de Amerikaanse Democratische Partij tot gestolen naaktfoto’s van meisjes: zonder het wachtwoord was dat misschien wel nooit gebeurd.

Och, die domme gebruikers toch. Waarom gedragen ze zich niet wat beter?

Volgens Microsoft Research komt dat niet doordat ze allemaal lui en ongemotiveerd zijn, zoals vaak wordt gesuggereerd. Gebruikers zien simpelweg de meerwaarde niet: ze krijgen ingewikkelde adviezen met alle mogelijke gevaren die ze lopen, en ze kiezen er bewust voor om die te negeren.

Dat komt ook doordat cybermensen als jij en ik graag denken in termen van worst-case-scenario’s. Kijk uit dat je niet inlogt op openbare wifi-hotspots, want wie weet zit er wel iemand met een wifi-pineapple mee te lezen of te mitm'en! Dus gebruik een vpn, want voor je het weet komt al je verkeer in handen van een aanvaller!

Dat terwijl de kans dat dit een gemiddelde gebruiker overkomt en iemand daadwerkelijk gevoelige informatie buit weet te maken, inmiddels minimaal is. Maar de last voor gebruikers - het installeren en succesvol leren gebruiken van een vpn - is relatief zwaar. (Vijf jaar geleden, toen WhatsApp net zo veilig was als je wachtwoorden door rot13 halen, was dit uiteraard een ander verhaal.)

Hoe moet je als onwetende gebruiker het onderscheid maken tussen daadwerkelijk nuttige (gebruik een wachtwoordmanager, in hemelsnaam!) en ingewikkelde, onpraktische adviezen (spring door dertig hoepels voordat je op openbare wifi de Teletekst-app mag openen)?

Bovendien worden ict-problemen volledig bij de gebruiker neergelegd. Bedrijven slagen er niet in om hun databases fatsoenlijk te beveiligen, waardoor wachtwoorden uitlekken - oplossing: laat alle gebruikers unieke, complexe wachtwoorden bedenken, zodat de gevaren meevallen als er weer eens een database uitlekt.

Er moet iets fundamenteler veranderen: we moeten af van het wachtwoord. Het wachtwoord is misschien eenvoudig te implementeren (hoewel het nog moeilijk kan zijn om het veilig te doen), maar lastig in gebruik. Ze lekken uit, ze worden hergebruikt en ze zijn vatbaar voor phishing. Weg ermee.

Dat is al jaren geen controversiële gedachte meer. De branche-organisatie van ict-bedrijven, Nederland ICT, is er ook klaar mee. En het NCSC ziet ook de nadelen van wachtwoorden, hoewel die organisatie (nog?) niet wil pleiten voor het afschaffen ervan.

En er wordt ondertussen druk aan gewerkt: zo moet Fido2 ervoor zorgen dat je kunt inloggen zonder gebruikersnaam en wachtwoord, bijvoorbeeld door een security-key te gebruiken. En bij DigiD kun je inloggen met een qr-code, die je scant met een gekoppelde smartphone-app (hoewel je daarbij wel je gebruikersnaam moet invullen).

Maar hoe ga je gebruikers ooit aan een alternatief voor het wachtwoord krijgen? Een security-key kost geld, en je wil er waarschijnlijk nog een tweede factor naast. Een qr-code scannen kost moeite. Gaat dat echt mainstream worden?

Op smartphones is het probleem redelijk weggeïnnoveerd, dankzij vingerafdrukscanners en gezichtsherkenning - dat voor bepaalde doelgroepen beveiligingsrisico’s vormt, maar voor de gemiddelde gebruiker een verbetering is.

Maar daarbij gaat het om lokale authenticatie, waarbij de biometrische data lokaal en versleuteld zijn opgeslagen. Dat is nog geen oplossing voor online-authenticatie, waarbij data heen en weer moet worden verstuurd.

De oplossing is dus lastiger vast te stellen dan het probleem. Welke lezer van Cybernieuwtjes weet de oplossing voor het wachtwoordprobleem? We horen het graag.

Met dank aan Jelle Niemantsverdriet voor input en een fact-check. Zie ook zijn Black Hat-talk over gebruikersvriendelijke security.

Weet u nog toen Ronald Plasterk bijna moest opstappen vanwege een foutje rond de Snowden-onthullingen? Iets meer dan vijf jaar geleden, op 21 oktober 2013, publiceerde Tweakers-redacteur Arnoud Wokke een verhaal dat nog maandenlang impact zou hebben.

De NSA zou 1,8 miljoen telefoontjes in Nederland hebben onderschept, ontdekte Wokke. Hij combineerde heel slim twee feitjes uit openbare bronnen. Een aantal maanden eerder was het cijfer van 1,8 miljoen al opgedoken, maar zonder verdere context. Uit een verhaal van Le Monde kon die grafiek echter in de context van afgetapte telefoontjes worden geplaatst.

Plasterk, toen nog minister van Binnenlandse Zaken en daarmee verantwoordelijk voor de AIVD, zei daarop in Nieuwsuur dat de NSA het tappen zou hebben bevestigd. Maar de Nederlandse regering was er niet van op de hoogte, stelde hij, en onze geheime diensten hadden niet meegewerkt aan het overhandigen van de data. Oftewel: de NSA tapte op eigen houtje mensen af in Nederland.

Opvallend: dat zei hij nadat Amerikaanse overheidsfunctionarissen al hadden aangegeven dat die data in het geval van Frankrijk en Spanje door die landen zelf waren overhandigd.

Achteraf bleek exact hetzelfde in Nederland aan de hand; Plasterks analyse, die hij in Nieuwsuur presenteerde als een vaststaand feit, bleek slechts een hypothese. Het ging in de praktijk om gesprekken via satelliettelefoons en radio die door Nederlandse spionage-installaties waren onderschept en door Nederland zélf met de NSA waren gedeeld.

En dus geen binnenlandse gesprekken via het telefoonnetwerk - wat wel werd gesuggereerd door media die samenwerkten met Glenn Greenwald. “France in the NSA’s crosshair: phone networks under surveillance”, kopte bijvoorbeeld Le Monde.

Plasterk wist eind november 2013 al wat er aan de hand was, maar deelde die informatie niet met de Tweede Kamer en de media. Dat werd hem niet in dank afgenomen: uiteindelijk overleefde hij een motie van wantrouwen die door vrijwel de gehele oppositie werd gesteund.

Dank aan Peter Koop, die ons aan de verjaardag van 1,8 miljoen-gate herinnerde!

Vernieuwt op uw tijd uw aller certificaten! Vooral als je website ‘veiliginternetten.nl’ heet.

Wat vond je ervan dat-ie op een andere dag kwam? We broeden nog op de perfecte vorm voor Cybernieuwtjes: niet te dicht bij het nieuws, maar ook niet te ver weg. Wat wil jij het liefst?