Het wachtwoord is Fayleyure

Onder Review: Wachtwoordselectie voor Yahoo! Post enz.





PokeKey1...ou812$...twasbri11ig!. Het waren allemaal lang geleden mijn favoriete wachtwoorden. De eerste is de naam van de puppy die ik als kind kort had. De tweede werd schaamteloos van een albumhoes van Van Halen getild. De derde, zoals je je herinnert, opent Jabberwock j. Ik moet ze allemaal honderden keren hebben getypt.

Volg het geld

Dit verhaal maakte deel uit van ons nummer van maart 2005

  • Zie de rest van het nummer
  • Abonneren

Als ik erop terugkijk, voel ik me een idioot omdat ik geloofde dat mijn geestig onraadbare wachtwoorden mijn veiligheid op een zinvolle manier verbeterden. Wachtwoordbeveiliging is alomtegenwoordig, vervelend, onhandig en schrikt niemand af die kwaad wil doen. Maar u kunt zonder deze geen legitieme toegang krijgen tot veel services.



Yahoo Mail-registratie is bijvoorbeeld een lange weg afgegaan van een open uitnodiging voor spammers en spoofers. Wie zou beweren dat de geautomatiseerde ID-/wachtwoordherinneringen geen zegen zijn voor de luie en afasische onder ons? Maar Yahoo's niet aflatende afhankelijkheid van wachtwoordbeveiliging is een beveiligingspatch die meer als een uitdaging voor boosdoeners aanvoelt dan als een serieus afschrikmiddel. En Yahoo Mail is een van de betere in een behoorlijk slechte partij.

De huidige wachtwoordauthenticatieschema's zijn weinig meer dan beveiligingsplacebo's. Ze inspireren op perverse wijze misbruik, misbruik en crimineel onheil door gebruikers opzettelijk de zwakste schakel in de beveiligingsketen te maken. Grotere televerwerkingskracht heeft het stelen of kraken van wachtwoordreeksen steeds sneller, beter en goedkoper gemaakt. Beveiligingsgoeroe Mark Seiden merkt op dat veel hackaanvallen niets te maken hebben met hoe sterk een doelwachtwoord is, omdat deze aanvallen afhankelijk zijn van brute-force-detectie van alfanumerieke reeksen. De slechteriken vallen echt je toetsenbord aan, zegt hij. Dat beveiligingssysteembeheerders gebruikers herhaaldelijk door digitale hoepels laten springen om de integriteit van onze reeksen van vier tot twaalf tekens te verdedigen, valt ergens tussen belediging en grap.

Als een bedrijf een beveiligingssysteem zou willen ontwerpen dat de spot drijft met alles wat we weten over menselijk gedrag, cognitieve psychologie en cryptografische analyse, zou het komen met onze hedendaagse bit-gebaseerde reeks wachtwoorden. Zoals authenticatie-expert Richard E. Smith heeft opgemerkt, is de logische conclusie van het meeste sterke wachtwoordbeleid: gebruik geen namen van familieleden of huisdieren; gebruik geen verjaardagen of kalenderdata; gebruik gerandomiseerde reeksen speciale tekens; gebruik uw wachtwoord niet voor meer dan een of twee sites; verander uw wachtwoorden meerdere keren per jaar; zet uw wachtwoord(en) niet in uw PDA of mobiele telefoon - is dat wachtwoorden onmogelijk te onthouden zouden moeten zijn en nooit mogen worden opgeschreven.



Op de een of andere manier zijn 's werelds ATM-banksystemen erin geslaagd om gedurende meer dan 20 jaar rond te komen met een absoluut minimum aan fraude door te vertrouwen op slechts viercijferige codes. Dus wat begrijpen de banknerds van wachtwoordbeheer?

Het voor de hand liggende antwoord: hoe sterker en complexer het wachtwoordschema, hoe luier en technisch incompetent de beheerder van het beveiligingssysteem. Zoals Smith in een reeks scherpe analyses aantoont, maakt de opkomst van sniffertechnologie voor platte tekst in combinatie met rekenkracht verbeterde verwerkingskracht traditionele wachtwoordbeveiliging steeds zwakker en kwetsbaarder.

Dus waarom eisen we dat miljoenen mensen steeds meer tijd en geheugen besteden aan een beveiligingsprocedure die steeds minder bescherming oplevert? De wereld heeft geen betere of veiligere wachtwoorden nodig; het moet zichzelf ontdoen van wachtwoorden en pincodes als authenticatiemiddel. We zouden veel veiliger zijn met meer gelaagde benaderingen van authenticatie – verdenkingsmachines die op zoek zijn naar afwijkend gedrag – en subtielere maar hardnekkige manieren om online identiteiten te volgen en uit te dagen.



De wereldwijde dwaasheid van de wachtwoordmentaliteit werd prachtig benadrukt in een vorig jaar uitgevoerd onderzoek waaruit bleek dat 70 procent van de ondervraagden zei dat ze hun computerwachtwoord zouden onthullen voor een reep chocola. Lief hoor. Een derde van de ondervraagden gaf hun wachtwoord vrijwillig aan de interviewers zonder smeergeld te krijgen. Nog een ander onderzoek ontdekte dat maar liefst 79 procent van de ondervraagden in de straten van Londen zulke wenselijke veiligheidsgevoelige gegevens onthulde als de meisjesnaam en geboortedatum van de moeder. We zijn verbaasd over het niveau van onwetendheid van consumenten over de noodzaak om hun online identiteit te beschermen, snoof een woordvoerder van RSA, het baanbrekende encryptiebedrijf dat het onderzoek sponsorde.

Eigenlijk sta ik versteld van de luiheid van wereldwijde ondernemingen die hun gebruikers primair verantwoordelijk maken voor de beveiliging en integriteit van complexe systemen. Als wachtwoorden over tien jaar bijna net zo belangrijk zijn voor online authenticatie, identiteit en veiligheid als nu, zal dit het duidelijkst mogelijke signaal zijn dat de virtuele wereld een nog gevaarlijker en vluchtiger plaats is geworden voor zowel transacties als interacties.

Michael Schrage is een onderzoeker en adviseur op het gebied van innovatie-economie en de auteur van: Serieus spelen (2000).



zich verstoppen