Gebruik sterke wachtwoorden. En unieke. Het liefst met een wachtwoordmanager. En heb je al aan tweestapsauthenticatie gedacht?
Grote kans dat je vrienden, familie, collega’s, bazen en ondergeschikten dit soort advies hebt gegeven. En ook een grote kans dat ze dat advies niet of nauwelijks opvolgden.
Wachtwoordmanagers en tweestapsauthenticatie zijn een nicheproduct - hoewel steeds populairder. Wachtwoorden hergebruiken komt nog vaak voor: uit
onderzoek van de overheid komt naar voren dat vier op de tien Nederlanders dat zegt te doen. (En daar kun je misschien nog wat bij optellen, gezien het effect van maatschappelijk gewenst antwoorden.)
Uit
onderzoek van Alert Online blijkt dat mensen zelfs weinig maatregelen nemen als ze thuis of op werk zijn getroffen door cybercrime. Na te zijn getroffen op werk, gaat 8 procent complexere wachtwoorden gebruiken. Onder medewerkers in de vitale infrastructuur (telecom, banken, energie, water) is dat iets meer, maar nog steeds slechts 14 procent.
Het levert meer dan alleen theoretische risico’s op. Uitgelekte en geraden wachtwoorden zijn samen met phishing debet aan tal van succesvolle hacks. Van de buitgemaakte e-mails bij de Amerikaanse Democratische Partij tot gestolen naaktfoto’s van meisjes: zonder het wachtwoord was dat misschien wel nooit gebeurd.
Och, die domme gebruikers toch. Waarom gedragen ze zich niet wat beter?
Volgens Microsoft Research komt dat niet doordat ze allemaal lui en ongemotiveerd zijn, zoals vaak wordt gesuggereerd. Gebruikers zien simpelweg de meerwaarde niet: ze krijgen ingewikkelde adviezen met alle mogelijke gevaren die ze lopen, en ze kiezen er bewust voor om die te negeren.
Dat komt ook doordat cybermensen als jij en ik graag denken in termen van worst-case-scenario’s. Kijk uit dat je niet inlogt op openbare wifi-hotspots, want wie weet zit er wel iemand met een wifi-pineapple mee te lezen of te mitm'en! Dus gebruik een vpn, want voor je het weet komt al je verkeer in handen van een aanvaller!
Dat terwijl de kans dat dit een gemiddelde gebruiker overkomt en iemand daadwerkelijk gevoelige informatie buit weet te maken, inmiddels minimaal is. Maar de last voor gebruikers - het installeren en succesvol leren gebruiken van een vpn - is relatief zwaar. (Vijf jaar geleden, toen WhatsApp net zo veilig was als je wachtwoorden door rot13 halen, was dit uiteraard een ander verhaal.)
Hoe moet je als onwetende gebruiker het onderscheid maken tussen daadwerkelijk nuttige (gebruik een wachtwoordmanager, in hemelsnaam!) en ingewikkelde, onpraktische adviezen (spring door dertig hoepels voordat je op openbare wifi de Teletekst-app mag openen)?
Bovendien worden ict-problemen volledig bij de gebruiker neergelegd. Bedrijven slagen er niet in om hun databases fatsoenlijk te beveiligen, waardoor wachtwoorden uitlekken - oplossing: laat alle gebruikers unieke, complexe wachtwoorden bedenken, zodat de gevaren meevallen als er weer eens een database uitlekt.
Er moet iets fundamenteler veranderen: we moeten af van het wachtwoord. Het wachtwoord is misschien eenvoudig te implementeren (hoewel het nog moeilijk kan zijn om het veilig te doen), maar lastig in gebruik. Ze lekken uit, ze worden hergebruikt en ze zijn vatbaar voor phishing. Weg ermee.