Een jongen loopt in slobberbroek door een rommelige huiskamer, volgepropt met zware eikenhouten meubelen. Hij ploft neer op een enorme bank, trekt een zak chips open, zet de tv aan en zakt weg in een schijnbaar vegetatieve toestand. Iedere keer als ik de camerabeelden bekijk, ligt hij er nog steeds zo bij.

Op andere beelden gebeurt meer. Een man en vrouw lopen grappend door een gang in een uitgestorven kantoorgebouw. Zij legt haar hand een paar keer op zijn arm. Zouden ze een affaire hebben? Op een derde stream zie ik een lege kinderkamer. Nu, aan het begin van de middag, is het ledikant nog leeg. Over een paar uur zal er wel een kind in liggen.

De livebeelden zijn afkomstig van camera’s die mensen thuis of op kantoor hebben opgehangen. Het zijn zogenoemde ip-camera’s, die verbonden zijn met het internet. Twee maanden geleden kreeg ik een linkje toegestuurd naar een website die dit soort webcamstreams verzamelt. Toen werden ruim aangeboden. Zo kunnen bijvoorbeeld de ouders van de jongen in slobberbroek vanaf hun werk zien wat zoonlief doet.

Het is natuurlijk helemaal niet de bedoeling dat iedereen De eigenaars zijn simpelweg vergeten om de fabrieksinstellingen van hun camera te veranderen. De standaard gebruikersnaam en wachtwoord staan nog steeds ingesteld. Als ze een nieuw wachtwoord hadden ingesteld, was hun privéleven waarschijnlijk privé gebleven.

Wachtwoorden zijn een vloek en een zegen.

Gebrekkig geheugen en verbeeldingskracht

Het eerste probleem met wachtwoorden is dat we er zoveel nodig hebben. Ga maar na hoe vaak je per dag een wachtwoord moet invullen of aanmaken. En hoe meer we online shoppen, muziek luisteren, films streamen, media lezen en kijken, hoe meer wachtwoorden we moeten verzinnen en op ieder moment moeten kunnen reproduceren.

Daar komt bij dat we ook vaak wachtwoorden delen met geliefden en collega’s. Mijn vrouw wil ook Spotify en Netflix gebruiken en op de redactie van De Correspondent hebben we drie routers, met drie verschillende wachtwoorden, die we delen.

Al die verschillende wachtwoorden vergen nogal wat van ons geheugen. Daarmee komen we op het tweede probleem: we zijn vaak niet zo creatief en kiezen voor wachtwoorden die we makkelijk Dat zijn, op z’n zachtst gezegd, niet altijd de meest veilige. Ieder jaar verschijnen er weer lijstjes met de meest populaire codes die iedere in woede doen ontsteken.

  1. 123456
  2. password
  3. 12345
  4. 12345678
  5. qwerty
  6. 123456789
  7. 1234
  8. baseball
  9. dragon
  10. football

Beveiligingsconsultant en blogger Mark Burnett dat dit soort idiote wachtwoorden minder vaak worden gebruikt dan het lijkt. Burnett heeft tientallen miljoenen gelekte wachtwoorden verzameld, waarvan 3,3 miljoen voor deze top tien. Het lijstje vertegenwoordigt 0,6 procent van

Dat neemt niet weg dat veel mensen nog steeds een te makkelijk wachtwoord gebruiken. Burnett heeft daarom zes regels opgesteld om te bepalen of je wachtwoord veilig is. Als je een van onderstaande vragen met ‘ja’ beantwoordt, moet je een ander wachtwoord nemen:

  • Staat je wachtwoord in het lijstje hierboven, of
  • Krijg je meer dan 10.000 resultaten als je wachtwoord googelt?
  • Is je wachtwoord minder dan negen tekens lang?
  • Gebruik je je wachtwoord op meer dan één site?
  • Is je wachtwoord ouder dan drie jaar?
  • Heb je je wachtwoord aan iemand anders verteld?

Wachtwoorden worden vaak niet veilig opgeslagen

Het derde probleem is dit: veel websites hebben hun beveiliging niet op orde en wachtwoorden, gebruikersnamen en hints komen geregeld op straat te liggen. Er is een levendige zwarte markt voor dit soort informatie. Het hackerscollectief Anonymous lekt al jaren grote en kleine databases, vaak uit politieke overwegingen.

Maar de beveiliging van veel websites is vaak zo beroerd, dat je helemaal geen doorgewinterde hacker hoeft te zijn om wachtwoorden te ontfutselen. Op YouTube zijn bijvoorbeeld kant-en-klare handleidingen te vinden voor zogenoemde een methode waarmee je op websites kunt inbreken. In onderstaand filmpje laat technologieblogger Troy Hunt letterlijk zien hoe kinderlijk eenvoudig het hacken van wachtwoorden is.

YouTube
Techjournalist Troy Hunt hackt met zijn driejarige zoontje een website.

Hoe kan dit beter?

1. De biometrische oplossing

Daarover verschillen de meningen. Eén groep technologen zoekt de oplossing van deze wachtwoordproblemen in Nieuwe iPhones hebben een scanner die vingerafdrukken leest. Er wordt ook gewerkt aan systemen die je iris kunnen scannen (bijvoorbeeld via de webcam in je laptop). En onlangs is de gelanceerd. Die meet je hartritme, dat blijkbaar uniek is. Deze armband fungeert als een sleutel.

YouTube
Een promotiefilmpje van de Nymi-armband.

Biometrie heeft een aantal belangrijke voordelen. Je hoeft niets te onthouden, in tegenstelling tot sleutels heb je je lichaam altijd bij je en een aantal lichaamskenmerken zijn simpelweg uniek. Toch heeft biometrie ook Niet iedereen beschikt over een goed vingerafdrukpatroon, bijvoorbeeld door een handicap, of door slijtage. Voor deze mensen is het een stuk moeilijker om op de scanner op de iPhone te gebruiken.

Vingeradrukken zijn uniek, maar je laat ze ook de hele dag overal achter. En ze zijn makkelijk wat de techniek al een stuk minder veilig maakt dan het vaak wordt voorgespiegeld. Daarnaast is het implementeren van biometrische controle meestal niet goedkoop: Apple kan zoiets makkelijk ontwikkelen, maar voor de gemiddelde website ligt dit soort biometrische toegangscontrole buiten bereik.

2. Twee keer inloggen

Een andere oplossing is veiligheid in twee stappen: een combinatie van iets wat je weet (een wachtwoord) met iets wat je bent of hebt. Dit wordt ook wel two-factor authentication genoemd. Je kunt dit bijvoorbeeld bij Gmail instellen. Je moet dan een wachtwoord geven, maar voordat je kunt inloggen, word je ook om een eenmalige, tijdelijke code gevraagd. Die code kun je genereren met een app op je smartphone: Authenticator.

YouTube
Google legt uit hoe two-factor authentication werkt.

Two-factor authentication is een goede manier om je informatie te beveiligen. Het is echter ook omslachtig. Ik ben ervanaf gestapt. Iedere keer als ik mijn smartphone gebruik, en dat is vaak, moet ik tussen apps en de authenticator wisselen. Dat is best een gehannes.

3. Of we besteden ons geheugen uit

De laatste oplossing is misschien wel de meest werkbare: ons geheugen uitbesteden aan een wachtwoordkluis. Met zo’n kluis is het mogelijk om voor iedere website een afzonderlijk en zeer sterk wachtwoord aan te maken, iets als 2Qbe1VT9Lpe0. En je hoeft dit gedrocht niet te onthouden. Het enige wat je hoeft te doen, is één heel goed wachtwoord instellen voor je kluis, de moedersleutel die toegang geeft tot alle andere sleutels (zorg er wel voor dat dat een heel sterk wachtwoord is).

Er zijn inmiddels tientallen kluizen beschikbaar, maar twee zijn populair, want uitvoerig getest: LastPass en KeePass. Ik gebruik zelf al een jaar of twee en die bevalt prima. Je kunt LastPass installeren als app en browserplugin. Zo kun je je wachtwoorden uitwisselen tussen verschillende browsers en apparaten. Alle wachtwoorden worden versleuteld en lokaal bewaard, zodat ze niet makkelijk te hacken zijn. Hoewel je het nooit zeker weet, geldt LastPass over het algemeen Je kunt wachtwoorden aanmaken en bestaande testen op veiligheid.

Als je liever een opensource-oplossing gebruikt, is er De basisversie is voor Windows ontwikkeld, maar er is ook software beschikbaar waarmee je KeePass op andere besturingssystemen en apparaten kunt gebruiken. Het ziet er allemaal net even wat minder gelikt uit dan bij LastPass en je moet soms even zoeken voordat je de juiste software hebt gevonden. Het voordeel is echter dat KeePass open source is en een grote en actieve gebruikersgemeenschap heeft. Er worden continu nieuwe features ontwikkeld.

Al met al kan ik het gebruik van een kluis aanraden. Het blijft altijd spannend om gevoelige informatie aan een partij te geven waarvan je nooit zeker kunt weten of die te vertrouwen is. Maar dat risico is volgens mij kleiner dan overal hetzelfde zwakke wachtwoord te gebruiken, want dan is ieder lek meteen een dijkdoorbraak.

Zo kies je een veilig wachtwoord Het liefst gebruiken wij voor onze e-mailaccounts en digitale profielen gemakkelijk te onthouden wachtwoorden als '123456' of de naam van onze poes. Niet doen. Want dat brengt nogal wat risico's met zich mee. Stagiaire Mayke Blok zocht uit hoe je wél een veilig wachtwoord kunt kiezen. Lees verder

Lees hier meer verhalen over (online) innovatie

Deze app laat je bellen zonder luistervinken op de lijn Bellen is een van de onveiligste manier van communiceren. Alles gaat via een centrale waar inlichtingendiensten en criminelen eenvoudig alle telefoontjes af kunnen tappen. Maar nu is er Redphone: een veilige, goedkope en gebruiksvriendelijke app om versleuteld te bellen. Lees verder

Zo bouw je je eigen internet (en hou je gluurders buiten de deur) Het is een van de radicaalste oplossingen voor een vrij en open web: je eigen internet beginnen. Vandaag in de serie Red ’t Web: Superglue, een minicomputer waarmee je helemaal zelf een website in de lucht kan houden. Gastcorrespondent Douwe Schmidt legt uit hoe het werkt. Lees het stuk hier terug Al je gegevens zijn van Facebook (maar er is een alternatief) Er komen steeds meer alternatieven voor Facebook. Niet gek, nu het sociale netwerk de algemene voorwaarden zo wijzigt, dat bijna al je gegevens automatisch van Facebook zijn. In deze aflevering van de serie Red 't Web het privacyvriendelijkste alternatief: diaspora*. Lees het stuk hier terug Dit is de beste en gebruikvriendelijkste manier om online anoniem te blijven Anonimiseringssoftware Tor is nauwelijks door inlichtingen- en veiligheidsdiensten te kraken. En het is ook nog eens heel gebruiksvriendelijk. Lees verder Wil je controle over je cloud? Bekijk dan ook deze zeven diensten Vorige week schreef Correspondent Dmitri Tokmetzis over ownCloud, een softwarepakket waarmee je je eigen clouddienst kunt opzetten. Lezers tipten een aantal alternatieven. Hij zet er zeven op een rij. Lees hier het stuk terug Houd de Amerikanen uit je data met je eigen cloud Onze documenten, foto’s en video’s bewaren we niet alleen op onze computers, maar ook in de cloud. Maar je hoeft deze persoonlijke bezittingen niet toe te vertrouwen aan bedrijven als Dropbox en Google. Vandaag in Red ’t Web: zet je eigen cloudservice op. Lees verder Vergeet Skype of WhatsApp, met Off-the-Record kun je echt veilig chatten. Met het softwareprotocol Off-the-Record (OTR) kun je iets doen wat met Skype of WhatsApp niet kan: echt veilig chatten. Douwe Schmidt beschrijft in deze afleveringen van Red ’t Web zijn ervaringen met OTR. Lees verder Met dit programma word je weer baas over je eigen smartphone Het eerste deel van de serie Red ’t Web gaat over een alternatief besturingssysteem voor Android: CyanogenMod. Lees verder Wie het internet wil redden, kan niet om deze voorwaarden heen We schrijven regelmatig over privacy en surveillance. Dit zijn niet altijd de meest opwekkende verhalen. Daarom begonnen we onlangs een zoektocht naar oplossingen: hoe redden we het web? Vandaag zet gastcorrespondent Douwe Schmidt de voorwaarden op een rij waaraan een oplossing moet voldoen. Lees verder