Dit lijkt voor zich te spreken en afhankelijk van hoe jij beveiliging ziet, kan het antwoord ja of nee zijn. Het antwoord kan ook per situatie verschillen. Laten we dit eens bekijken vanuit het oogpunt van consumenten of gebruikers van softwaresystemen.
Wat zijn wachtwoorden?
Tegenwoordig, nu een groot deel van ons leven online is, gebruiken we meerdere systemen om aan onze verschillende behoeften en wensen te voldoen. Elk systeem heeft zijn eigen gebruikersnaam en wachtwoord. Bij bijna elke site of app die je gebruikt, moet je je aanmelden. Uit een onderzoek is gebleken dat de gemiddelde persoon meer dan 100 wachtwoorden heeft. Simpel gezegd creëren een gebruikersnaam en een wachtwoord een identiteit waarmee jij je kunt identificeren in de digitale wereld. Gebruikersnamen zijn op zich geen geheimen, maar uniek voor de site of app die je gebruikt. Dit kan bijvoorbeeld een e-mailadres of een naam zijn. Een wachtwoord daarentegen is strikt privé en mag niet gedeeld worden.
De combinatie van een gebruikersnaam en wachtwoord is voldoende om toegang te krijgen tot zaken die beveiligd zijn. Daarom is het een must om je wachtwoord te beveiligen om je belangrijke zaken tegen hackers te beschermen.
Uit het onderzoek van Yubico blijkt dat de meeste bedrijven, ongeveer 59%, gebruikersnamen en wachtwoorden nog steeds als enige inlogmogelijkheid gebruiken bij het inloggen op apps. Hoewel dit zorgelijk is, is het aan de andere kant ook begrijpelijk.
Het eerste probleem is het enorme aantal accounts dat we momenteel hebben. Door de coronapandemie is het aantal accounts met vijfentwintig procent toegenomen. Al deze accounts hebben een gebruikersnaam en wachtwoord. De gebruikers-ID is vaak hetzelfde, dat wil zeggen een e-mailadres of een combinatie van voor- of achternaam. Door datalekken zijn sommige wachtwoorden met de bijbehorende gebruikersnamen op straat komen te liggen. Dit zijn ware schatkamers voor hackers.
Er zijn meerdere gebruikersnamen en wachtwoorden die je moet onthouden, aangezien je mogelijk meerdere gebruikersaccounts hebt om toegang te krijgen tot verschillende services.
Hierdoor gebruiken mensen steeds hetzelfde wachtwoord voor meerdere accounts. Sommigen maken zelfs eenvoudige wachtwoorden die gemakkelijk te onthouden zijn op basis van hun verjaardag of de naam van hun favoriete persoon of huisdier.
Uit onderzoek is gebleken dat mensen de neiging hebben om een patroon te herhalen bij het instellen van nieuwe wachtwoorden. De meerderheid geeft er de voorkeur aan het oude wachtwoord te behouden zonder het te vernieuwen.
Een wachtwoordbeheerder kan je helpen bij het beheren en onderhouden van sterke wachtwoorden, maar het voegt een extra stap toe aan het inlogproces en brengt vaak extra kosten met zich mee.
Het andere probleem is dat ook hackers verschillende tools tot hun beschikking hebben:
- Lijsten met reeds bekendgemaakte wachtwoorden en gebruikersnamen
- Scripts en software voor het veroorzaken van brute-force- en woordenboekaanvallen
- AI-systemen die je wachtwoorden kunnen raden
- Methoden om browsers te hacken om je browsercookies en opslaginformatie te stelen
De browser is een kwetsbare plaats om wachtwoorden op te slaan voor de accounts die je dagelijks gebruikt.
Om nog maar te zwijgen over de kosten van het voortdurend resetten van wachtwoorden, die ook aanzienlijk zijn.
Vanwege al deze feiten moeten we opnieuw nadenken…. Zijn wachtwoorden veilig in het echte leven?
Waarom kunnen wachtwoorden gemakkelijk worden gehackt?
Niet alle wachtwoorden zijn even kwetsbaar. Een wachtwoord is een set tekens. Hoe meer tekens en meer opties (hoofdletters, kleine letters, cijfers, speciale tekens), hoe meer tijd het kost om met een zogeheten brute-force-aanval het wachtwoord te raden. Deze tabel van Hive Systems spreekt boekdelen:
Let wel, dit is wanneer onbeperkte pogingen zijn toegestaan en er gebruik gemaakt wordt van gespecialiseerde hardware. Maar toch zijn wachtwoorden niet zo veilig als je denkt.
Als het systeem geen toereikend beveiligingsbeleid heeft, zoals accountvergrendeling na 3 of 5 ongeldige inlogpogingen, re-captchas en standaard wachtwoordbeleid zoals het verplichten van hoofdletters, kleine letters, speciale tekens, een cijfer en minimaal 4 tot 8 tekens, dan is het, zoals je kunt zien, waarschijnlijk dat een hacker je wachtwoord in minder dan een uur kan achterhalen.
Sommige wachtwoorden zijn gemakkelijk te raden. Vanwege het slechte geheugen van mensen hebben mensen de neiging hetzelfde wachtwoord te herhalen of eenvoudige wachtwoorden te gebruiken voor al hun accounts. Qwerty is daar een mooi voorbeeld van, net als zaq1!QAZ, dat er veiliger uitziet maar dat niet is! (Kijk maar naar je toetsenbord.)
Ook niet al te veilig is één wachtwoord gebruiken voor meerdere accounts. Als één wachtwoord gehackt is, lopen alle accounts gevaar. Het is vrij eenvoudig om een script te maken dat de gebruikersnaam automatisch als wachtwoord probeert op verschillende bekende sites.
Zijn er betere opties dan wachtwoorden?
Vanwege alle redenen hierboven die te wijten zijn aan menselijke kwetsbaarheden, hebben veel systeemontwikkelaars tegenwoordig de neiging om af te stappen van wachtwoorden. In plaats daarvan zijn er veel nieuwe manieren geïntroduceerd om op een account in te loggen. Dit komt ook doordat niet elk apparaat een volwaardig toetsenbord heeft (zoals een tv of gameconsole). Hier zijn een paar van de andere mogelijkheden die je kunt hebben, in plaats van je gebruikelijke optie van een gebruikersnaam en wachtwoord.
Inloggen met eenmalig wachtwoord
Momenteel worden het e-mailadres en het mobiele nummer beschouwd als je unieke identiteit. Mensen veranderen niet meer zo vaak als vroeger van mobiel nummer. Daarom krijgt de gebruiker in deze situatie de gelegenheid om ofwel een vooraf geregistreerd e-mailadres ofwel een mobiel nummer in te voeren om in te loggen en zo een eenmalige code (ook wel OTP genoemd) te ontvangen op de gekozen manier van aanmelden. Zodra een geldige OTP ingevoerd is, zal het systeem de gebruiker automatisch loggen en is de verificatie gelukt. Dit is een werkwijze die ook voor tv’s en gameconsoles kan worden gebruikt. Maar als je je mobiele telefoon verliest, loop je minder gevaar dan wanneer je een wachtwoord verliest.
De gebruiker hoeft geen wachtwoord te onthouden. Het enige wat gebruikers moeten doen, is hun mobiele telefoon bij zich hebben. Zo hoeft de eindgebruiker zich nooit meer druk te maken over vergeten wachtwoorden.
Inloggen met een magische link
Bij deze optie stuurt het hostsysteem in plaats van een OTP een eenmalige link naar je e-mailadres. Wanneer je erop klikt, word je met succes geverifieerd door het systeem. Ook hier geldt dat als er ingebroken is op je e-mail of als je je mobiele telefoon kwijtraakt, daar een risico aan kleeft. Maar het is nog steeds beter dan je wachtwoord verliezen. Een mobiele telefoon heeft vaak ook een wachtwoord, pincode of gezichtsherkenning, waardoor het kwijraken van je telefoon niet automatisch betekent dat hackers toegang hebben.
Ook hier hoeft de gebruiker geen wachtwoord te onthouden. Toegang tot je e-mail is het enige wat nodig is. Gebruikers hoeven zich geen zorgen meer te maken over vergeten wachtwoorden.
Inloggen met pushmelding
Veel systemen hebben tegenwoordig hun eigen mobiele apps voor bijvoorbeeld financiële oplossingen en overheidsoplossingen. Hoe gevoeliger de gegevens, hoe waarschijnlijker het is dat zoiets in gebruik is. Ze zullen deze app gebruiken om een pushmelding te verzenden die door de gebruiker moet worden geaccepteerd. Na acceptatie door de gebruiker wordt de gebruiker geverifieerd. Dit is veel veiliger dan wachtwoorden. De mobiele app zelf wordt beveiligd door de biometrie van je mobiele apparaat. Er is dan dus een dubbele bescherming vergeleken met wachtwoorden bijv. verificatie-apps van Microsoft of Google).
De gebruiker hoeft geen wachtwoord te onthouden. Je mobiele telefoon bij je hebben en de mobiele app geïnstalleerd houden, zijn de enige vereisten. Gebruikers hoeven zich geen zorgen meer te maken over vergeten wachtwoorden.
Als we naar al deze opties kijken, zijn eigen wachtwoorden niet langer de beste optie om belangrijke zaken te beveiligen. Je kunt het beste andere alternatieven bedenken om je informatie te beschermen.
Hoe kun je wachtwoorden veiliger maken?
Als je niet tevreden bent met andere verificatieopties en toch wachtwoorden wil blijven gebruiken, MOET je beveiligingsmaatregelen in je systeem inschakelen, zoals:
- Accountvergrendeling na 3 mislukte inlogpogingen Als het systeem financieel gerelateerd is, zou de vergrendelde account alleen ontgrendeld mogen worden door de BEHEERDER
- Re-captcha inschakelen na een tweede mislukte inlogpoging
- Pas de instellingen van de wachtwoordgeschiedenis aan om te voorkomen dat wachtwoorden hergebruikt worden of om gebruikers vaker van wachtwoorden te laten wisselen
- Geavanceerd wachtwoordbeleid inschakelen bij het aanmaken van wachtwoorden, bijv de maximale tekenlengte verhogen van 8 naar 12
Deze voorzorgsmaatregelen helpen het leed van de gebruiker als wachtwoorden uitlekken tot een minimum te beperken.
In de volgende twee blogs kijken we naar veiligere vormen van verificatie die bovenop wachtwoorden kunnen worden gebruikt.
Meervoudige verificatie (MFA, Multiple Factor Authentication) gebruiken met gebruikersnaam- en wachtwoordverificatie
Hiermee wordt een tweede stap doorlopen waarbij een eenmalig wachtwoord via sms of pushmeldingen wordt verstuurd, of wordt gebruikgemaakt van apparaatverificatie, om te controleren of de gebruiker die het wachtwoord invoert ook de oorspronkelijke eigenaar van het apparaat is. Zo kan je systeem geen gevaar lopen door een wachtwoord en worden je gegevens beschermd tegen kwaadwillenden. In ons tweede blog kun je meer lezen over meervoudige verificatie.
Adaptieve verificatie met MFA inschakelen om een betere gebruikerservaring te bieden
Als je instelt dat meervoudige verificatie altijd nodig is, heeft dat invloed op de gebruikservaring van de eindgebruikers. Om de balans tussen goede beveiliging en een fijne gebruikerservaring te behouden, is adaptieve verificatie een goed idee. Meer informatie over adaptieve verificatie lees je in ons derde blog.
Conclusie – Zijn wachtwoorden veilig?
Alleen een gebruikersnaam en wachtwoord gebruiken voor verificatie is absoluut GEEN veilige methode meer als we kijken naar de wereld van vandaag. Vanwege menselijke kwetsbaarheden wordt het aanbevolen om andere alternatieven voor wachtwoorden te kiezen, zoals OTP, Magic-links en pushmeldingen. U kunt ook meerdere factoren in de authenticatiestroom samen met wachtwoordauthenticatie gebruiken om de beveiliging van uw gebruikersaccount te versterken.