211service.com
Meer wachtwoorden, meer problemen
Het is gemakkelijk om één gebruikersnaam en wachtwoord te onthouden. Vijf of tien recht houden is veel moeilijker. Overbelasting van wachtwoorden heeft techneuten al lang geteisterd, maar omdat we allemaal meer tijd besteden aan alles, van winkelen tot bankieren tot het spelen van games op het web, is het een meer wijdverbreid probleem geworden.
Een aantal bedrijven probeert het probleem aan te pakken. De benaderingen variëren van wachtwoordmanagers die uw inloggegevens beveiligen met één hoofdwachtwoord tot methoden die de noodzaak van meerdere wachtwoorden in de eerste plaats elimineren.
tot 2007 studie door Microsoft Research onderzocht de sterkte, frequentie en gebruik van wachtwoorden van 500.000 computergebruikers. Uit het onderzoek bleek dat elke persoon gemiddeld 6,5 wachtwoorden had die ze gebruikten voor 25 verschillende online accounts, wat betekent dat elk wachtwoord ongeveer vier keer werd hergebruikt.
Vijf jaar later hebben de meesten van ons veel meer accounts waartoe we toegang hebben op desktopcomputers, smartphones en tabletcomputers. Maar we zijn waarschijnlijk niet beter in het bedenken van veilige wachtwoorden - die niet gemakkelijk kunnen worden geraden of gekraakt met een computer - en, zoals spraakmakende beveiligingsinbreuken op websites zoals LinkedIn en eHarmony laten zien, zetten zwakke wachtwoorden onze online identiteiten in op risico.
De meest gebruikelijke tool voor het ordenen van een overvloed aan wachtwoorden is de wachtwoordmanager, maar weinig mensen gebruiken ze, zegt Cormac Herley , een auteur van de Microsoft Research-studie uit 2007. Een startup genaamd Dashlane hoopt hier verandering in te brengen, met een eenvoudig wachtwoordbeheer en een geautomatiseerde tool voor het invullen van formulieren, die het volgens hem gemakkelijker kan maken om online te winkelen. Dashlane versleutelt en bewaart wachtwoorden op de computer of smartphone van een gebruiker. Dan kan alleen het hoofdwachtwoord - dat niet is opgeslagen op de servers van Dashlane - worden gebruikt om toegang te krijgen tot de informatie.
Het bedrijf kwam in april voort uit een privé-bètatest en Daniela Perdomo, directeur gebruikersgroei bij Dashlane, zegt dat het momenteel honderdduizenden gebruikers heeft die gezamenlijk 1,5 miljoen wachtwoorden hebben opgeslagen bij de desktop- en smartphonesoftware (de meeste gebruiken een gratis versie van de dienst). Ze beweert dat de automatische formuliervultechnologie van Dashlane ongeveer 90 tot 95 procent van de tijd nauwkeurig is.
De zwakke plek hier is natuurlijk het vergeten van je hoofdwachtwoord. Maar de aanpak maakt het ook moeilijker voor anderen om toegang te krijgen tot uw gegevens door simpelweg uw apparaat te stelen. En het instellen van een wachtwoordbeheerder kan u inspireren om uw individuele wachtwoorden veiliger te maken, wetende dat u nu alleen dat ene hoofdwachtwoord hoeft te onthouden om toegang te krijgen tot al uw accounts op uw computer. Perdomo erkent dat de meeste mensen niet klaar zijn om proactief te zijn over zwakke of identieke wachtwoorden. De gemiddelde persoon geeft er niets om totdat ze worden gehackt, zegt ze, in navolging van de mening van verschillende beveiligingsexperts.
Een ander belangrijk nadeel van wachtwoordmanagers is dat ze vaak moeten worden geïnstalleerd en gesynchroniseerd op elk apparaat dat u gebruikt om toegang te krijgen tot uw accounts. Dit kan handig zijn als u op uw thuis- of werkcomputer zit, maar minder als u bij een vriend thuis bent.
De kans is echter groot dat je je smartphone bij je hebt. Het speelt ook een rol als een manier om inlogbeveiliging en gemak in evenwicht te brengen. Dat is het idee erachter Telefoon-ID , die software-ingenieurs Mike Thomas en Vahur Roosimaa begin september creëerden tijdens een hackathon - een marathoncoderingsevenement waar programmeurs met nieuwe ideeën komen - georganiseerd door techblog TechCrunch. Met PhoneID, dat momenteel een prototype is, kun je met je desktopcomputer inloggen op websites door met je smartphone een QR-code op het scherm te scannen, zegt Thomas. Op deze manier hoeft u nooit een gebruikersnaam en wachtwoord in te voeren.
De eerste keer dat u een deelnemende website op uw desktopcomputer bezoekt, verschijnt er een QR-code op het scherm. Als u het met uw telefoon scant, wordt uw computer gevraagd om uw telefoonnummer te vragen, en PhoneID stuurt uw mobiele telefoon een sms waarop kan worden geklikt om u aan te melden bij de site en u te authenticeren. Bij volgende bezoeken zou u zich onmiddellijk aanmelden door een QR-code op het scherm te scannen.
PhoneID vereist dat een website meerdere regels code toevoegt. En hoewel het kan worden ingesteld om te werken met sites waar u al een account en wachtwoord hebt, is het momenteel gericht op het opzetten van een nieuw account op een site. Thomas zegt dat de aanpak ervoor kan zorgen dat websites geen wachtwoordinformatie hoeven op te slaan en te bewaken, en dat consumenten hun inloggegevens niet meer hoeven te onthouden. Zelfs voor iemand die technisch onderlegd is, is het moeilijk om al je wachtwoorden bij te houden, zegt hij.
Gartner-analist Gregg Kreizman denkt dat oplossingen zoals PhoneID steeds gebruikelijker zullen worden naarmate bedrijven profiteren van de camera's, sensoren en geolocatiemogelijkheden van smartphones. Deze functies kunnen helpen door andere manieren te bieden om gebruikers te authenticeren, zegt hij.
Maar wat als we gewoon helemaal zouden kunnen bezuinigen op wachtwoorden? De meest populaire bestaande voorbeelden van deze aanpak zijn Facebook Connect and Sign in with Twitter, twee services waarmee u zich kunt aanmelden bij websites met uw Facebook- of Twitter-inloggegevens. Dit maakt dingen handig voor gebruikers, terwijl sites ook toegang krijgen tot sommige van uw persoonlijke gegevens. Het is echter niet zo veilig. Een andere benadering kwam onlangs van Intel, dat op het Intel Developer Forum een futuristisch klinkend plan aankondigde om mensen te authenticeren door aderpatronen te lezen.
Een startup genaamd OneID heeft een ander idee. Het vereist dat websites hun inlogmethode gebruiken, die cryptografie met openbare sleutels gebruikt - beveiligingstechnologie die gegevens codeert en decodeert met behulp van twee soorten sleutels die aan elke partij toebehoren, de ene geheim gehouden en de andere openlijk gepubliceerd - en kennis van de apparaten die u gebruikt om veilig meld je aan met een enkele klik.
OneID-oprichter Steve Kirsch, die ook de zoekmachine Infoseek heeft opgericht, zegt dat wanneer een gebruiker op een OneID-knop op een website drukt, de site zijn of haar openbare sleutel naar de computer van de gebruiker stuurt. Die sleutel wordt vervolgens doorgestuurd naar een OneID-server, die op basis van de specificaties van de website en de voorkeuren van de gebruiker snel kan bepalen wat er vervolgens moet gebeuren - of aanvullende authenticatie vereist is, of als de gebruiker eenvoudig toegang tot de site kan krijgen.
OneID-gebruikers hoeven geen wachtwoord in te stellen. Een smartphone-app die activiteiten met een hoger risico goedkeurt, zoals online aankopen doen, vereist echter een pincode. Hoewel iemand uw computer nog steeds kan stelen en vervolgens toegang kan krijgen tot sommige websites met een lage beveiliging die geen tweefactorauthenticatie vereisen, kunt u de OneID-toegang van dat apparaat op afstand uitschakelen om de inbreuk te stoppen.
OneID is bezig zijn technologie uit te rollen, hoewel het bedrijf geen sites kan noemen die het gebruiken. Kirsch zegt dat het bedrijf op zoek gaat naar sites, zoals e-commercebedrijven en banken, die een hoge mate van beveiliging vereisen. Als ze het proberen en mensen de resultaten zien, zullen steeds meer mensen het proberen, zegt Kirsch.
Moxie Marlinspike , een in San Francisco gevestigde computerbeveiligingsonderzoeker, zegt dat eenmalige aanmeldingen die gericht zijn op beveiliging moeilijk te verkopen zijn. De meeste van die sites zien het gemak van het niet hoeven beheren van een gebruikersnaam en wachtwoord niet als een echt voordeel, zegt hij, en als ze ervoor kiezen om er een in te schakelen, zullen ze meestal de Facebook- of Twitter-opties gebruiken, omdat dat hen zal geven toegang tot een deel van de sociale informatie van een gebruiker.
Marlinspike denkt dat om gebruikers hun gedrag te laten veranderen, ontwikkelaars moeten blijven werken om beveiliging zo onzichtbaar mogelijk te maken. Maar, zegt hij, wachtwoorden zullen waarschijnlijk een tijdje bij ons blijven.