26.02.15 Essay 5-6 min

Zet je wachtwoord in een kluis en maak het internet veiliger

Correspondent Surveillance & Technologie

Illustraties door onze redactioneel vormgever, Leon Postma

De veiligheid op internet is grotendeels afhankelijk van wachtwoorden en dus van ons geheugen en onze verbeeldingskracht. Dat is problematisch. In deze aflevering van Red ‘t Web: drie manieren om betere wachtwoorden te kiezen.

Een jongen loopt in slobberbroek door een rommelige huiskamer, volgepropt met zware eikenhouten meubelen. Hij ploft neer op een enorme bank, trekt een zak chips open, zet de tv aan en zakt weg in een schijnbaar vegetatieve toestand. Iedere keer als ik de camerabeelden bekijk, ligt hij er nog steeds zo bij.

Op andere beelden gebeurt meer. Een man en vrouw lopen grappend door een gang in een uitgestorven kantoorgebouw. Zij legt haar hand een paar keer op zijn arm. Zouden ze een affaire hebben? Op een derde stream zie ik een lege kinderkamer. Nu, aan het begin van de middag, is het ledikant nog leeg. Over een paar uur zal er wel een kind in liggen.

De livebeelden zijn afkomstig van camera’s die mensen thuis of op kantoor hebben opgehangen. Het zijn zogenoemde ip-camera’s, die verbonden zijn met het internet. Twee maanden geleden kreeg ik een linkje toegestuurd naar insecam.org, een website die dit soort webcamstreams verzamelt. Toen werden ruim 70.000 streams aangeboden. Zo kunnen bijvoorbeeld de ouders van de jongen in slobberbroek vanaf hun werk zien wat zoonlief doet.

Het is natuurlijk helemaal niet de bedoeling dat iedereen deze beelden kan bekijken. De eigenaars zijn simpelweg vergeten om de fabrieksinstellingen van hun camera te veranderen. De standaard gebruikersnaam en wachtwoord staan nog steeds ingesteld. Als ze een nieuw wachtwoord hadden ingesteld, was hun privéleven waarschijnlijk privé gebleven.

Wachtwoorden zijn een vloek en een zegen.

Gebrekkig geheugen en verbeeldingskracht

Het eerste probleem met wachtwoorden is dat we er zoveel nodig hebben. Ga maar na hoe vaak je per dag een wachtwoord moet invullen of aanmaken. En hoe meer we online shoppen, muziek luisteren, films streamen, media lezen en kijken, hoe meer wachtwoorden we moeten verzinnen en op ieder moment moeten kunnen reproduceren.

Daar komt bij dat we ook vaak wachtwoorden delen met geliefden en collega’s. Mijn vrouw wil ook Spotify en Netflix gebruiken en op de redactie van De Correspondent hebben we drie routers, met drie verschillende wachtwoorden, die we delen.

Al die verschillende wachtwoorden vergen nogal wat van ons geheugen. Daarmee komen we op het tweede probleem: we zijn vaak niet zo creatief en kiezen voor wachtwoorden die we makkelijk kunnen onthouden. Dat zijn, op z’n zachtst gezegd, niet altijd de meest veilige. Ieder jaar verschijnen er weer lijstjes met de meest populaire codes die iedere sysadmin in woede doen ontsteken. Wachtwoorden als:

123456
password
12345
12345678
qwerty
123456789
1234
baseball
dragon
football

Beveiligingsconsultant en blogger Mark Burnett schrijft echter in een recent artikel dat dit soort idiote wachtwoorden minder vaak worden gebruikt dan het lijkt. Burnett heeft tientallen miljoenen gelekte wachtwoorden verzameld, waarvan 3,3 miljoen voor deze top tien. Het lijstje vertegenwoordigt 0,6 procent van alle aangetroffen wachtwoorden.

Dat neemt niet weg dat veel mensen nog steeds een te makkelijk wachtwoord gebruiken. Burnett heeft daarom zes regels opgesteld om te bepalen of je wachtwoord veilig is. Als je een van onderstaande vragen met ‘ja’ beantwoordt, moet je een ander wachtwoord nemen:

Staat je wachtwoord in het lijstje hierboven, of in deze woordenwolk?
Krijg je meer dan 10.000 resultaten als je wachtwoord googelt?
Is je wachtwoord minder dan negen tekens lang?
Gebruik je je wachtwoord op meer dan één site?
Is je wachtwoord ouder dan drie jaar?
Heb je je wachtwoord aan iemand anders verteld?

Wachtwoorden worden vaak niet veilig opgeslagen

Het derde probleem is dit: veel websites hebben hun beveiliging niet op orde en wachtwoorden, gebruikersnamen en hints komen geregeld op straat te liggen. Er is een levendige zwarte markt voor dit soort informatie. Het hackerscollectief Anonymous lekt al jaren grote en kleine databases, vaak uit politieke overwegingen.

Maar de beveiliging van veel websites is vaak zo beroerd, dat je helemaal geen doorgewinterde hacker hoeft te zijn om wachtwoorden te ontfutselen. Op YouTube zijn bijvoorbeeld kant-en-klare handleidingen te vinden voor zogenoemde SQL-injections, een methode waarmee je op websites kunt inbreken. In onderstaand filmpje laat technologieblogger Troy Hunt letterlijk zien hoe kinderlijk eenvoudig het hacken van wachtwoorden is.

*Techjournalist Troy Hunt hackt met zijn driejarige zoontje een website.*

Hoe kan dit beter?

1. De biometrische oplossing

Daarover verschillen de meningen. Eén groep technologen zoekt de oplossing van deze wachtwoordproblemen in biometrie. Nieuwe iPhones hebben een scanner die vingerafdrukken leest. Er wordt ook gewerkt aan systemen die je iris kunnen scannen (bijvoorbeeld via de webcam in je laptop). En onlangs is de Nymi-armband gelanceerd. Die meet je hartritme, dat blijkbaar uniek is. Deze armband fungeert als een sleutel.

*Een promotiefilmpje van de Nymi-armband.*

Biometrie heeft een aantal belangrijke voordelen. Je hoeft niets te onthouden, in tegenstelling tot sleutels heb je je lichaam altijd bij je en een aantal lichaamskenmerken zijn simpelweg uniek. Toch heeft biometrie ook nadelen. Niet iedereen beschikt over een goed vingerafdrukpatroon, bijvoorbeeld door een handicap, of door slijtage. Voor deze mensen is het een stuk moeilijker om op de scanner op de iPhone te gebruiken.

Vingeradrukken zijn uniek, maar je laat ze ook de hele dag overal achter. En ze zijn makkelijk na te maken, wat de techniek al een stuk minder veilig maakt dan het vaak wordt voorgespiegeld. Daarnaast is het implementeren van biometrische controle meestal niet goedkoop: Apple kan zoiets makkelijk ontwikkelen, maar voor de gemiddelde website ligt dit soort biometrische toegangscontrole buiten bereik.

2. Twee keer inloggen

Een andere oplossing is veiligheid in twee stappen: een combinatie van iets wat je weet (een wachtwoord) met iets wat je bent of hebt. Dit wordt ook wel two-factor authentication genoemd. Je kunt dit bijvoorbeeld bij Gmail instellen. Je moet dan een wachtwoord geven, maar voordat je kunt inloggen, word je ook om een eenmalige, tijdelijke code gevraagd. Die code kun je genereren met een app op je smartphone: Authenticator.

*Google legt uit hoe two-factor authentication werkt.*

Two-factor authentication is een goede manier om je informatie te beveiligen. Het is echter ook omslachtig. Ik ben ervanaf gestapt. Iedere keer als ik mijn smartphone gebruik, en dat is vaak, moet ik tussen apps en de authenticator wisselen. Dat is best een gehannes.

3. Of we besteden ons geheugen uit

De laatste oplossing is misschien wel de meest werkbare: ons geheugen uitbesteden aan een wachtwoordkluis. Met zo’n kluis is het mogelijk om voor iedere website een afzonderlijk en zeer sterk wachtwoord aan te maken, iets als 2Qbe1VT9Lpe0. En je hoeft dit gedrocht niet te onthouden. Het enige wat je hoeft te doen, is één heel goed wachtwoord instellen voor je kluis, de moedersleutel die toegang geeft tot alle andere sleutels (zorg er wel voor dat dat een heel sterk wachtwoord is).

Er zijn inmiddels tientallen kluizen beschikbaar, maar twee zijn populair, want uitvoerig getest: LastPass en KeePass. Ik gebruik zelf al een jaar of twee LastPass en die bevalt prima. Je kunt LastPass installeren als app en browserplugin. Zo kun je je wachtwoorden uitwisselen tussen verschillende browsers en apparaten. Alle wachtwoorden worden versleuteld en lokaal bewaard, zodat ze niet makkelijk te hacken zijn. Hoewel je het nooit zeker weet, geldt LastPass over het algemeen als veilig. Je kunt wachtwoorden aanmaken en bestaande testen op veiligheid.

Als je liever een opensource-oplossing gebruikt, is er KeePass. De basisversie is voor Windows ontwikkeld, maar er is ook software beschikbaar waarmee je KeePass op andere besturingssystemen en apparaten kunt gebruiken. Het ziet er allemaal net even wat minder gelikt uit dan bij LastPass en je moet soms even zoeken voordat je de juiste software hebt gevonden. Het voordeel is echter dat KeePass open source is en een grote en actieve gebruikersgemeenschap heeft. Er worden continu nieuwe features ontwikkeld.

Al met al kan ik het gebruik van een kluis aanraden. Het blijft altijd spannend om gevoelige informatie aan een partij te geven waarvan je nooit zeker kunt weten of die te vertrouwen is. Maar dat risico is volgens mij kleiner dan overal hetzelfde zwakke wachtwoord te gebruiken, want dan is ieder lek meteen een dijkdoorbraak.

Lees hier meer verhalen over (online) innovatie

Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.

Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.

Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!