Mijn wachtwoord is ‘geheim’. En het jouwe?

Ik had vroeger een collega, wiens wachtwoord geheim was. Letterlijk, zijn wachtwoord was “geheim”. Hij maakte er zelfs grapjes over: “mijn password is geheim”. Nu ging het niet om een wachtwoord voor het inloggen op het netwerk, maar om een directory waar de afdeling toegang tot had. Maar toch, je wachtwoord is toch geheim?Ja dat is het, of beter gezegd: dat zou het moeten zijn. Niemand loopt op straat zijn wachtwoord te schreeuwen, maar het is opvallend hoe makkelijk mensen hun wachtwoorden opschrijven of aan een ander geven of een dusdanig simpel password kiezen, dat het makkelijk te raden is. Een andere collega’s dochter heet Laura; drie maal raden wat zijn wachtwoord is.

Ik word gek van wachtwoorden en pincodes

Passwords en pincodes zijn onderdeel van ons leven geworden. In iedere portemonnee zitten bankpasjes, creditcards of tankpasjes, die een bepaalde pincode nodig hebben. Soms kan je een pincode aanpassen, maar overal dezelfde pincode voor gebruiken, is ook niet goed en dus proberen we maar al die codes te onthouden. Sommige mensen hebben er een systeem voor, ze schrijven bijvoorbeeld in de agenda Tante Annie 020-4561008 (Annie staat dan voor ABN AMRO) en de pincode zijn bijvoorbeeld de laatste vier cijfers. Maar dat zijn dan alleen nog maar de pincodes, met wachtwoorden is het nog veel erger.

Bijna iedere site wil jouw gegevens hebben of wil dat je een profiel aanmaakt: voor internetbankieren, om je mail te lezen, om iets te bestellen of om iets te verkopen. Overal heb je een gebruikersnaam en wachtwoord voor nodig. Onderzoek van Microsoft Research uit 2007 geeft aan dat de gemiddelde persoon 25 accounts heeft, die een password vragen en dat er gemiddeld 6,5 verschillende passwords gebruikt worden, met andere woorden: passwords worden voor meerdere sites gebruikt. De wachtwoorden bestaan dan ook vaak alleen uit lowercase letters (tenzij een bepaald type wachtwoord wordt afgedwongen, bijvoorbeeld het moet minimaal 6 karakters lang zijn, met minimaal een hoofdletter en een cijfer). In dat geval zijn de meeste mensen geneigd om bijvoorbeeld “Lente1” te kiezen (beginnen met een hoofdletter en het cijfer aan het einde).

Uit praktisch oogpunt kiezen mensen vaak voor simpele wachtwoorden, vaak met namen of woorden. Iedereen vergeet wel eens een password (zeker als je het niet vaak gebruikt), dus wat is makkelijker dan een wachtwoord of wachtwoordvariatie voor meerdere sites gebruiken? Helaas zitten daar grote risico’s aan. Wat kun je doen om veilig internet te gebruiken en tegelijkertijd te voorkomen dat je je wachtwoorden vergeet of moet resetten?

Wat is een goed wachtwoord?

Een goed wachtwoord is niet te raden en is voldoende lang. Het spreekt voor zich dat Poes1, qwerty of 12345 zwakke wachtwoorden zijn, met name omdat ze voor de hand liggen. Met een dergelijk simpel password en een ‘dictionary attack’ (het proberen van woorden of dit soort simpele passwords en mutaties daarvan) is het relatief eenvoudig om het password te achterhalen.

Het beste is, volgens experts, een lang en random wachtwoord, met zowel hoofd- als kleine letters, cijfers en andere tekens van een lengte van minimaal 8 tekens. H6f£t76lmO zou een goed password kunnen zijn. Deze tekens liggen niet voor de hand en om een dergelijk password te achterhalen is een brute force attack (uitproberen van alle mogelijke combinaties) de enige oplossing. Maar hoe snel gaat dat dan?

Kraken met brute kracht of woordenboek

In veel gevallen kun je niet onbeperkt je gang gaan met het uitproberen van pincodes en passwords. Bij de geldautomaat heb je meestal 3 pogingen om de pincode in te voeren, daarna wordt de pas geblokkeerd en ingenomen. Met name bij pincodes is het aantal mogelijkheden relatief klein, namelijk 10.000. Voor een mens een hoop werk om alle codes in te voeren, voor een computer een kwestie van enkele milliseconden.

Het Russische Elcomsoft heeft een aantal tools ontwikkeld om met passwords versleutelde bestanden, bijvoorbeeld zip-bestanden (maar ook Office bestanden) te openen. Om een beeld te krijgen van hoe snel of hoe langzaam een versleuteld bestand te ontsluiten is: mijn desktop PC haalt meer dan 22 miljoen passwords per seconde. Dit lijkt veel, maar vanwege het aantal mogelijkheden dat je hebt met bijvoorbeeld een wachtwoord van 6 karakters, is dat echt nodig.

Hoe meer, hoe beter!

Als we uitgaan van een voorbeeld met 62 mogelijke tekens (0-9, a-z en A-Z) en een password van 6 tekens, dan zijn er bijna 57 miljard mogelijke combinaties. Dat lijkt veel, maar met 22 miljoen passwords per seconde die worden gecontroleerd,  is binnen 43 minuten het ZIP archief geopend.

Een extra karakter toevoegen aan het wachtwoord verlengt het proces naar twee dagen, nog een extra teken en het duurt maximaal 115 dagen om het archief te openen. Met 12 karakters duurt het met brute force maximaal  4,5 miljoen jaar om alle combinaties te proberen. Het toevoegen van nog meer mogelijke tekens, bijvoorbeeld de !@#$%^&*()_+ vergroot de tijd die nodig is om alle mogelijkheden te doorlopen.

De genoemde tijden zijn trouwens de maximale tijden, als bijvoorbeeld jouw password 0000 is en de nummers worden oplopend afgewerkt is het gelijk raak. Ook hangt de snelheid af van diverse factoren zoals de snelheid van de PC en de grafische kaart, gebruikte encryptie en de kwaliteit van de encryptie (soms is het wachtwoord gewoon in het bestand opgeslagen).

Hoe heten je kinderen?

De meeste mensen kiezen logischerwijs makkelijk te onthouden passwords (namen, sportclubs of werk). In veel gevallen is het dan ook makkelijker om op basis van een ‘woordenboek’ te proberen het bestand te ontsluiten. De laksheid van de mens (na mijn password Laura1 komt Laura2) is dan ook de zwakte. Het aantal voornamen en ‘smart mutations’ (1Laura, Laura01 etc.) is vele malen kleiner dan het totaal aantal mogelijkheden van 8 karakters met cijfers, upper- en lowercase (namelijk 62^8 en dat is +/- 218 biljard).

Ook je WiFi-verbinding is niet veilig met een dergelijk simpel password. Met wat hardware en programma’s zoals Wireless Security Auditor kan een wireless lan worden getest op de veiligheid. Hetzelfde principe, onderschep het verkeer en probeer met bijvoorbeeld een dictionary attack de encryptie te breken. Dit is niet heel eenvoudig maar ook geen rocket science. Kies daarom je wireless wachtwoord zorgvuldig! Kies je een password van 12 cijfers met het maximum aantal mogelijke variaties, dan zal één enkele computer er miljoenen jaren over doen om alle mogelijkheden uit te testen en is het bestand voor een gewoon mens niet meer te benaderen als je het wachtwoord niet meer weet.

Natuurlijk is een brute force erg goed te verdelen over meerdere computers en is in principe op den duur alles te kraken, als er maar voldoende computers aan werken. Dit kan in een grid of cloudcomputingomgeving, maar ook door de taak eenvoudig te verdelen over een aantal normale desktoppc’s met bijvoorbeeld Elcomsofts Distributed Password Recovery. Het onderzoeksgebied van Quantum Computing zal mogelijk op den duur (>15 jr)  nog snellere computersystemen opleveren, die veel sneller dan de huidige generatie dit soort problemen kunnen oplossen. In veel online systemen heb je niet de mogelijkheid om veel of alle opties uit te proberen, juist vanwege deze zwaktes.

Alleen een wachtwoord is niet genoeg

De partij die om het password vraagt (het bedrijf waarvoor je werkt, jouw bank of de website waar je iets wilt bestellen) bepaalt waar het password waarmee je inlogt aan moet voldoen, hoe lang het geldig is en na hoeveel keer fout invoeren je geblokkeerd wordt. Het is dan ook van belang om deze keuzes met zorg te maken, omdat je risico’s, veiligheid en gebruiksgemak met elkaar in balans moet brengen. Dit is echt werk voor specialisten op het gebied van informatiebeveiliging.

Soms is een wachtwoord alleen ook niet voldoende. ABN AMRO maakt gebruik van bijvoorbeeld een e-dentifier die in combinatie met bankpas en pincode toegang geeft tot internet bankieren, om dat het heel makkelijk is om een wachtwoord (bewust of onbewust) te delen. In dit geval praat je dan over een two factor authentication, iets wat je in je bezit hebt (de bankpas) en iets wat je weet (de pincode). ING klanten (Postbank) kunnen wel inloggen met gebruikersnaam en wachtwoord, maar hebben een z.g. TAN code (op papier of op mobiele telefoon) nodig om transacties uit te voeren. De reden dat banken dit doen, is dat een password alleen niet veilig genoeg is, omdat het ‘makkelijk’ te achterhalen is. Een pincode van 4 cijfers kent 10.000 mogelijkheden. Zoals eerder in dit artikel aangegeven, heeft een snelle computer dit zo gekraakt.

Oeps, vergeten!

Het vergeten van wachtwoorden is volgens Forrester verantwoordelijk voor tussen de 20-40% van alle telefoontjes met de helpdesk. Maar vergeten wachtwoorden leveren meer problemen op, een vergeten wachtwoord is ook een goede reden om een bepaalde transactie in bijvoorbeeld een webshop af te breken (dit geldt voor 45% van Amerikanen volgens onderzoek).

Om er voor te zorgen dat klanten niet weglopen naar een andere site, maar ook niet het callcenter gaan bellen voor een password reset, is het noodzakelijk dat klanten zelf in staat zijn om zo’n reset uit te voeren. Ook hierbij is het van belang om een juiste balans te vinden tussen veiligheid en het gebruiksgemak. Een mooi voorbeeld is de website van Ann Taylor, waarbij een password reset tegelijktijd ook de creditcardgegevens verwijdert (kaartnummer, exp. datum).

Biometrie dan?

Een wachtwoord is iets wat je weet en kunt doorvertellen. Biometrie, bijvoorbeeld een vingerafdruk, is iets wat je hebt en niet kan worden doorgegeven (in theorie natuurlijk, er zijn behoorlijk veel verhalen over het kopiëren van iemands afdruk en daarmee toegang krijgen). Biometrie is er in diverse soorten; de irisscan (voor grensbewaking), stemverificatie, handgeometrie, de vingerafdruk, om maar een paar van de meest voorkomende te noemen. Als je er vanuit gaat dat een biometrisch kenmerk op zijn minst moeilijker is te kopiëren, is dit een betere beveiliging dan een wachtwoord (mijn voorbehoud ligt er in dat dit soort beslissingen genuanceerder liggen, dan ik hier beschrijf).

Er zijn in het verleden toetsenborden (o.a. van Microsoft) en muizen geweest met een ingebouwde fingerprint scanner, waarmee je op basis van jouw persoonlijke vingerafdruk in kon loggen op websites. Het is opvallend dat op het toetsenbord van Microsoft een disclaimer staat, dat het niet bedoeld is om beveiligde websites te benaderen.

Keyboard biometrics

Een heel innovatieve oplossing is die van Biochec, van de amerikaan John Checco. Met zijn oplossing maakt het niet uit of iemand je password weet, omdat de sleutel zit in hoe je het intikt. Hij heeft patent op het gebied van keyboard biometrics, met andere woorden, de manier waarop jij typt. Het principe is eigenlijk heel eenvoudig, hij meet de flight time (de tijd die verstrijkt tussen het van de ene naar de andere toets gaan) en dwell time (hoe lang blijf je een bepaalde toets ingedrukt houden). Hieruit kan volgens hem een biometrisch patroon worden gedestilleerd, dat jou kan authenticeren. Acht karakters is voldoende om bij tien samples een patroon uit te destilleren. Hij noemt dit behavioral biometrics.

Hoewel er geen extra hardware nodig is (alleen een keyboard) en het systeem redelijk transparant is, is zijn concept niet echt aangeslagen. Daar zijn volgens John een aantal redenen voor: voor een gedeelte was hij te vroeg met de technologie van keyboard dynamics. Het is een van de meest onbekende (en ook onbeminde biometrische technologieën), die ook misschien door de eenvoud niet begrepen werd. De andere reden is de komst van tablets en touchscreens, hiermee zijn ook de on screen toetsenborden gekomen, die zorgen dat gebruikers voor ieder type toetsenbord opnieuw een ‘toets’ moeten doen, om hun biometrische patroon te destilleren.

Inloggen via social media of centrale inlog

Een groeiend aantal websites gebruikt de mogelijkheid om in te loggen met een profiel op social media, bijvoorbeeld de Facebook inlog API. Daar zitten voordelen aan, maar ook nadelen.

1. Niet iedereen zit op Facebook.
2. Als je Facebook account opzegt, kan je ook niet meer inloggen
3. Je creëert een single point of failure (als Facebook eruit ligt, kun je op andere sites ook niet meer inloggen).

En dan heb ik het nog maar niet over Facebook zelf. Wat wordt wel en niet gedeeld en wat voor profiel wordt van mij opgebouwd?

In het verleden heeft Microsoft met Microsoft Passport (tegenwoordig Windows Live ID) ook geprobeerd een centrale login functie te ontwikkelen. Dit leverde veel kritiek op, wat begrijpelijk is als een grote dominante marktpartij een dergelijke dienst gaat ontwikkelen, of het nu Google, Facebook of Microsoft is. Vreemd genoeg heeft Apple daar minder last van.

Roboform

Dan zijn er nog een hoop websites en apps als Roboform, die passwords voor je kunnen opslaan en iedere keer voor je in kunnen loggen, je hoeft alleen het master password te weten. Zij kunnen zelfs een willekeurig password genereren (erg veilig). Ik heb een tijdje met Roboform (de gratis versie) gewerkt, maar ik moet zeggen dat het toch niet helemaal lekker werkt. Regelmatig ben ik al ingelogd en dat komt Roboform nog met een window met de melding dat ik het masterpassword moet invoeren. Mosterd na de maaltijd.

H3lp, 33n b3t3R pA$$word!

Er is geen ontkomen aan passwords en pincodes. Je hebt ze (vaak) nodig als je dingen online wilt kopen, je bankzaken wilt regelen of je belastingaangifte wilt doen. Wachtwoorden zijn in principe een goede beveiliging, mits aan twee zaken is voldaan:

1. Je password is voldoende sterk
2. De beveiliging is goed ontworpen

Om met het laatste te beginnen, dit is een kwestie van goede encryptie, maar ook van het algemene ontwerp van het systeem. Een voorbeeld: als je onbeperkt zou kunnen proberen in te loggen, is het een kwestie van tijd voordat je er in bent. Door de keuze van een password heb je zelf controle hoe sterk het is. Belangrijk zijn: meer dan 8 karakters, geen namen of woorden, combinatie van karakters (aA9&^) en voor iedere site een ander wachtwoord.

Gemak vs. veiligheid

Maar dit levert wel wat uitdagingen op. Hoe onthoud je al deze passwords? Roboform en andere programma’s kunnen je wachtwoorden managen, maar je wordt er wel afhankelijk van (als je wilt inloggen en je weet ze niet meer, dan moet je Roboform gebruiken). Een andere mogelijkheid is een bestand maken met passwords en pincodes, hierin kan je de combinatie van gebruikersnaam en wachtwoord opslaan. Dit bestand sla je lokaal op (beveiligd en wederom met een sterk wachtwoord) en als je ergens wil inloggen, waar je het password niet meer van weet, kun je het opzoeken.

Een sterk wachtwoord kiezen klinkt heel eenvoudig, maar in heel veel gevallen wint het gemak van het voornemen. Ik moet me er zelf echt toe zetten om al die passwords te veranderen in heel sterke passwords, maar ik doe het toch maar. Veiligheid is immers best wat inspanning waard.

Word jij ook zo gek van al die wachtwoorden? Heb je slimme tips om ze sterker te maken of beter te onthouden? Deel dat dan zeker even hieronder in een reactie!