Een boutade zegt dat het perfecte wachtwoord onmogelijk te onthouden is en uiteraard nooit opgeschreven mag worden. Maar wat is veilig en toch werkbaar en hoe pakt u een en ander het best aan?

Net zoals u uw huis beschermt met een slot zodat u als enige binnenkan met de juiste sleutel, zo beschermt u de toegang tot uw computer en uw bedrijfsnetwerk of tot websites met een persoonlijk slot: uw login. Deze login bestaat uit een gebruikersnaam en bijhorend wachtwoord.

Zwak en sterk

Mensen willen logischerwijze een gemakkelijk te onthouden wachtwoord, en dus werd er vanalles ingevuld: hun eigen voornaam of familienaam, die van vrouw of vriendin, beste vriend of vriendin, kinderen, hond of kat, favoriete auto, hobby, noem maar op. Alles wat maar persoonlijk was en dus makkelijk te onthouden. Helaas is dat niet echt veilig. Zodra een hacker enige persoonlijke informatie over u te weten komt, kan hij vrij vlug een persoonlijk getint wachtwoord aan de weet komen. Zo’n vlug te raden wachtwoord heet dan ook wel een zwak wachtwoord. Een sterk wachtwoord, daarentegen, is niet gemakkelijk te raden en kost ook bij bruut uitproberen veel tijd om het te vinden – meer tijd en pogingen dan een inlogprocedure zal toelaten. Vandaar dat bedrijven al vlug regels oplegden voor sterkere wachtwoorden: ze moesten een minimum aantal tekens lang zijn (meestal minstens zes) en bestaan uit letters en cijfers. Toen ook dat nog niet veilig genoeg bleek, werden de eisen strenger. Zo moesten er zowel hoofd- als kleine letters in voorkomen en naast cijfers ook minstens één leesteken. Dat helpt allemaal om te voorkomen dat een hacker uw wachtwoord zomaar kan raden. In sommige bedrijven probeerde men helemaal te voorkomen dat een wachtwoord zomaar geraden kon worden, door zelf sterke wachtwoorden te genereren en die dan uit te reiken aan het personeel, en dat bijvoorbeeld eens per week of zo te doen. Maar als zo’n personeelslid elke dag op zijn pc moet inloggen met een wachtwoord als ‘DeXGh8! eR-34@T5j’, dan is er uiteraard geen schijn van kans dat hij of zij dit kan onthouden – tenzij de gebruiker toevallig gezegend is met een fenomenaal geheugen. Ook voor gebruikers met een goed fotografisch geheugen is er geen voordeel, want je krijgt het wachtwoord immers nooit te zien: alleen maar sterretjes of puntjes op de plaats van ieder wachtwoordteken. U hoeft dus maar één tikfout te maken en de inlog lukt niet, terwijl u dan bovendien niet kunt zien wat u precies fout deed. Op papier mag dit veilig zijn, in de praktijk is het dat niet omdat de gebruiker zo’n moeilijk wachtwoord zal noteren en in de buurt van zijn pc bewaren. We hebben zelf al post-it-briefjes gezien met wachtwoorden tegen de rand van het scherm geplakt. Reikt uw bedrijf zelf sterke wachtwoorden uit? Kijk dan maar eens in de bureaulade, onder het toetsenbord of onder de muismat van uw gebruikers!

Wachtzin

Een sterk wachtwoord is dus bijna per definitie gebruiksonvriendelijk. Er bestaat echter een variant die gebruiksvriendelijker is en toch sterk kan zijn als wachtwoord: de wachtzin. De term zegt het al: in plaats van één woord gebruikt u meerdere woorden, een zin dus. De meeste authenticatie- of inlogprocedures staan geen al te lange wachtwoorden toe, dus is het mogelijk dat uw zin in lengte beperkt is. Maar zo’n 16 tot 20 en zelfs 32 tekens is vaak wel mogelijk. ‘Jantjes-5Pruimen’ is bijvoorbeeld een voorbeeld van iets dat 16 tekens lang is, hoofd- en kleine letters plus een cijfer en een leesteken bevat en voor de gebruiker erg gemakkelijk te onthouden is.

Zelfs als de gebruiker elke week een andere wachtzin moet kiezen, kan hij werken met variaties hierop. ‘Rood-kapjes-1Wolf’ en ‘G.S.M.-nr. #1860’ (kies voor de cijfers uw pincode) zijn slechts enkele voorbeelden van wachtzinnen die sterk zijn en toch makkelijk te onthouden. Nu bevatten deze voorbeelden wel herkenbare en in een woordenlijst voorkomende woorden en dat is dan weer een zwak punt. U kunt echter herkenbare woorden verminken zodat ze niet meer in woordenlijsten voorkomen, zoals jongeren wel eens doen bij het sms’en om woorden af te korten. Vervang bijvoorbeeld de letter ‘S’ door het cijfer ‘5’ of het dollarteken ‘$’, de ‘Z’ door ‘2’ of ‘3’, de ‘O’ door ‘0’, de ‘G’ door ‘6’, de ‘I’ door ‘!’, de ‘a’ door ‘@’, of lettercombinaties die samen klinken als een cijfer door dat cijfer. Zo kunt u ‘acht’ vervangen door ‘8’ en ‘vier’ of ‘ver’ door ‘4’. Spaties tussen woorden vervangt u al eens door koppeltekens of liggende streepjes, of u speelt wat met de asterisk of het ampersand-teken.

Met wat creativiteit kunt u op deze manier sterke wachtzinnen verzinnen die toch nog redelijk te onthouden zijn. Maar wat als u in plaats van één inlog er tientallen verschillende moet onthouden?

Online-identiteiten

Als u toegang wil tot informatie, dan moet u zich tegenwoordig vrijwel altijd registeren en dus een gebruikersaccount aanmaken. Om later opnieuw toegang tot die informatie te krijgen, moet u zich legitimeren en dat vereist dus het doorlopen van een inlogprocedure of ‘sign-on’. Dat begint bij uw netwerkinlog als u uw desktop-pc of notebook start, maar daar stopt het zeker niet. Uw e-mailclient vereist ook een inlog om aan uw elektronische post te kunnen en als u voor uw werk een of meerdere applicaties gebruikt die met centraal opgeslagen data moeten werken, vereisen die mees-tal ook een inlog. Als u gebruik maakt van informatie en nieuwsberichten op het internet, dan zult u vaak ook voor die informatie moeten inloggen op een website. Wellicht koopt u af en toe ook cd’s of dvd’s bij een webwinkel zoals Amazon? Ook een inlog. Of u gebruikt een webgebaseerde applicatie voor uw werk? Daar moet u ook op inloggen.

Op die manier komt u al vlug aan enkele tientallen gebruikersnamen met bijbehorende wachtwoorden. Het zou natuurlijk niet zo verstandig zijn om voor al die accounts dezelfde login te gebruiken. Iemand die uw logingegevens in handen krijgt, zou dan probleemloos aan al uw informatie kunnen. U moet dus voor elke individuele inlog of online-identiteit ook een individuele gebruikersnaam en een individueel wachtwoord voorzien. Bovendien vereisen veel van die accountsystemen een periodieke verversing om alles zo veilig mogelijk te houden. Als enkele tientallen accountsystemen periodieke verversingen eisen maar met verschillende vervaldagen, dan vereist dat al een hele administratie om alles bij en up-to-date te houden.

Te gebruiksvriendelijke browsers

Ook hier is het weer uit den boze om op uw pc een bestand met wachtwoorden en websites of locaties te bewaren. En dat geldt ook voor uw browser. Zowel Internet Explorer als Firefox en verschillende andere browsers bieden u zeer gebruiksvriendelijk aan om een inlog voor een website te onthouden, zodat ze de volgende keer die inlog volautomatisch voor u kunnen uitvoeren. Erg aardig, maar helaas absoluut onveilig. Wie toegang verwerft tot uw pc, zou immers via uw browser de inlog tot de verschillende websites niet eens hoeven te kennen of te raden: de browser vult immers bereidwillig alles zelf in voor de hacker! Uit veiligheidsoverwegingen stelt u dus uw browser best zo in, dat hij geen inlogs onthoudt voor websites.

Omdat het interdaad echt niet te doen is om van tientallen websites de inloggegevens te onthouden, hebt u geen andere keuze dan die gegevens ergens te bewaren. Vermits er tegenwoordig usb-geheugensticks met encryptie te koop zijn (zoals de onlangs door ons in dit blad geteste SafeBoot for USB), stellen wij voor dat u zo’n encryptiestick gebruikt om uw inlogdata op te bewaren. Die mag u uiteraard nooit in uw pc laten zitten maar alleen insteken op het moment dat u de data nodig hebt en weer verwijderen zodra uw inlog rond is. En zelfs als u de encryptiestick verliest of als hij gestolen wordt, kan de dief niet aan de gegevens. Het zal duidelijk zijn dat u best twee of meer van deze encryptiesticks hebt, zodat u een back-up hebt van belangrijke persoonlijke data zoals inloggegevens. Die sticks bewaart u dan telkens op andere plaatsen: bijvoorbeeld een die u bij zich draagt en een tweede in een kluis of bij u thuis (als dat tenminste mag van uw bedrijf, anders in een veilige opslagruimte of kluis van uw bedrijf).

Single Sign-On

Het beheer van tientallen van deze online-identiteiten is dus zeker niet eenvoudig, althans niet als u dat veilig wil doen. Daarom zijn er ondertussen systemen op de markt die ook dat proberen te vereenvoudigen. Zo’n systeem heet een ‘Single Sign-On’ (kortweg SSO) of enkelvoudige inlog. Het idee achter een SSO is dat u maar één keer hoeft in te loggen op uw pc en dat het systeem dan “weet” wie u bent voor alle toepassingen die u gebruikt en alle inlogprocedures die u zou moeten doorlopen. Het SSO-systeem houdt alle individuele gebruikersnamen en wachtwoorden bij en vult de juiste accountgegevens in bij de juiste inlogprocedure. Bovendien houdt het SSO-systeem ook bij welke accountgegevens periodiek vervallen en kan dan zorgdragen voor verversing (dat kan manueel en dan moet u zelf een nieuw wachtwoord opgeven of automatisch en dan genereert het SSO-systeem zelf een nieuw sterk wachtwoord).

Zo’n SSO-systeem moet dan natuurlijk wel zorgen voor een veel veiliger hoofdlogin en bovendien zal het moeten proberen te garanderen dat de ingelogde gebruiker de juiste is. Het is dus niet de bedoeling dat iemand anders achter uw pc kan gaan zitten als u uw rug even draait en dan probleemloos met uw inlog aan alle informatie kan. Het spreekt vanzelf dat de wachtzin voor deze hoofdlogin of ‘meesteridentiteit’ dus van cruciaal belang is. Het minpunt voor de hacker is wel, dat een SSO meestal vereist dat hij toegang moet hebben tot de bedrijfspc’s. Anderzijds komen meer dan 80 procent van alle beveiligingsinbreuken van binnen het eigen bedrijf, dus spreekt het vanzelf dat een SSO op zichzelf al een veiligheidsrisico vertegenwoordigt. Vandaar dat het SSO-authenticatiesysteem met zorg gekozen moet worden, alsook de meesteridentiteit voor elke gebruiker.

Tokens

Nogal wat gebruikers beschikken echter niet over de nodige fantasie om elke week of elke maand een nieuwe spitsvondige sterke wachtzin te verzinnen en zeker niet als dat moet voor tientallen online-identiteiten. Dan bestaan er nog andere methodes voor authenticatie. De meest succesvolle van tegenwoordig is het authenticatiesysteem met tokens. Een token is een soort van veilige computersleutel, die u gebruikt als inlog in plaats van of in combinatie met het traditionele gebruikersnaam en wachtwoord/wachtzin. Zo’n token werkt door bij iedere inlog een unieke en nieuwe inlogcode te genereren, die u dan gewoonlijk moet combineren met een door uzelf eerder verzonnen viercijferige pincode om samen een geldige en sterke inlogauthenticatie te vormen. Het DigiPass-systeem van Vasco dat door veel banken gebruikt wordt als authenticatie bij online transacties, is een voorbeeld van een tokeninlogsysteem.

Een ander voorbeeld is het tijdsgesynchroniseerde token. Dat token zelf dient niet fysiek voor de authenticatie, maar toont op een lcd-schermpje een zescijferige code en die verandert om de minuut. Het idee is dat een gebruiker een pincode plus die zescijferige tokencode gebruikt om in te loggen. De zescijferige tokencode is veilig omdat die om de minuut verandert en dus niet nagemaakt kan worden en de bijkomende pincode garandeert dat de gebruiker is wie hij moet zijn. Een pincode is voor de meeste gebruikers vrij gemakkelijk te onthouden, waardoor ze minder vlug in de verleiding zullen komen die te noteren. Dat is althans wat ons gezond verstand ons vertelt, al hebben wij al genoeg mensen gezien die de viercijferige pincode van hun betaalkaart op een papiertje in hun portefeuille bewaren!

Een hacker zou dus al het unieke token moeten stelen samen met de pincode van die gebruiker én diens gebruikersnaam in het systeem om met succes te kunnen inloggen. Omdat dit type token niet in een pc gestoken hoeft maar wel bekeken moet worden, is de ideale plek voor veel gebruikers voor dat token de sleutelbos. Zoiets zou al moeten garanderen dat gebruikers er zorgvuldiger mee zullen omgaan: verlies van het token betekent immers ook het verlies van hun hele sleutelbos. Vandaar dat we geneigd zijn dit systeem van authenticatie een van de veiligste en gebruiksvriendelijkste te vinden die we tot dusver gezien hebben. Het feit dat de tokencodes elke minuut veranderen, brengt ons tot dat ‘tijdgesynchroniseerde’ aspect van het token. De tokens gebruiken een speciaal ontworpen algoritme om elke minuut een nieuwe zescijferige code te berekenen, die uniek is voor elk token. De bijbehorende beveiligingsappliance heeft datzelfde algoritme aan boord en kan dus aan de hand van het identificatienummer van een token berekenen welke cijfercode momenteel zichtbaar is op het lcd-paneeltje van dat token.

Andere sterke inlogmethodes

Een ander systeem voor sterke inlog is dat van de biometrische verificatie of inlog. Hierbij logt u in via een vingerafdrukscanner of een irisscanner. U hebt tegenwoordig ook een chipgebaseerde elektronische identiteitskaart of eID en ook die kan dienen voor een sterke inlog met behulp van een kaartlezer. Een bedrijf kan ook eigen chipkaarten uitreiken. Ook hier moet de inlogprocedure zeker zijn dat de bezitter van een chipkaart ook de juiste geautoriseerde persoon is. Vandaar dat de inlog via een chipkaart vaak toch nog het intikken van een pincode of wachtwoord vereist.

Een variant hiervan is de nabijheidsdetector in combinatie met een ‘clip-on badge’ (een vastknijpbare kaart ter grootte van een kredietkaart) die een klein batterijgevoed zendertje aan boord heeft. Als u die kaart bij zich draagt en u komt in de buurt van een pc met een nabijheidsdetectiestick in zijn usb-poort, herkent het systeem u en logt u volautomatisch in. Loopt u weg van die pc, dan logt het systeem u weer automatisch uit. De nabijheidsdetectiekaart heeft een drukknop om de kaart uit te schakelen als u niet ingelogd wenst te worden bij het naderen van een pc en met een tweede knop kunt u die functie ook weer inschakelen. Er bestaat ook een passieve versie die u langs een vaste detector moet vegen om gedetecteerd en ingelogd te worden. In ziekenhuizen is deze inlogmethode erg populair omdat dokters en verplegend personeel gewoonlijk sowieso rondlopen met een identificatiekaart opgespeld of vastgeknepen.

Johan Zwiekhorst

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content