Emmanuel David

Een wereld zonder wachtwoorden? Dat is nog niet voor morgen

Emmanuel David Emmanuel David is Technical Director bij Orange Cyberdefense.

Bill Gates kondigde al in 2004 het einde van het wachtwoord aan, maar vandaag gebruiken we ze nog steeds. Sterker nog, we hebben er allemaal meer dan ooit. De oplossing volgens Google? Een security key in de vorm van een usb-stick. Emmanuel David zich enkele vragen bij het veiligheidsgehalte van zo’n key en bij de haalbaarheid van een toekomst zonder wachtwoorden.

Wachtwoorden vormen op securityvlak een almaar groter probleem. Zelfs complexe combinaties van cijfers, letters en andere symbolen maken ons nog steeds erg kwetsbaar omdat ze uit een vast aantal tekens bestaan. Van zodra hackers een wachtwoord in handen krijgen, kunnen ze ongemerkt ergens inloggen en onze identiteit stelen.

Er bestaan intussen wel al een paar technologische oplossingen, zoals pushberichten en sms-code, maar Google is de eerste die een fysieke sleutel heeft voor het grote publiek. Op zich wel een beetje contradictorisch in een tijd waarin we alles digitaal doen, maar het authenticatiesysteem heeft ook als voordeel dat je als gebruiker normaal snel zou moeten beseffen dat een hacker er misbruik van maakt. Een sleutel kan je immers niet zomaar op een ander toestel gebruiken, tenzij er een nieuw device geregistreerd wordt. Net zoals bij een bankkaart kan je de sleutel dus meteen annuleren.

Zal de Security Key van Google uiteindelijk het doodsvonnis voor onze wachtwoorden betekenen? Wellicht niet.

Hoe werkt de Security Key van Google dan precies? Je kan het vergelijken met een badge die je langs een paslezer moet halen om bijvoorbeeld een deur te openen. Het verschil is dat alleen jij er gebruik van kunt maken, omdat de sleutel aan je account gekoppeld is. Je verbindt de USB-stick met je pc of je telefoon en wanneer je dan inlogt met je Google-account, krijg je een pushbericht op je smartphone om je identiteit te bevestigen. Dat Google een veilige authenticatieoplossing aanbiedt, is niet onbelangrijk als je beseft dat je met je account ook kunt inloggen bij apps die niet van Google afkomstig zijn. Dat zal in de toekomst bovendien alleen maar belangrijker worden. Denk maar aan de slimme thermostaat en andere IoT-toepassingen bij je thuis.

Niet honderd procent waterdicht

Klinkt heel mooi, maar hoe veilig is deze oplossing nu echt? In de eerste plaats moeten we opmerken dat geen enkele securityoplossing honderd procent waterdicht is. Ook bij dit systeem zijn er dus wel enkele kanttekeningen te plaatsen. Het grootste probleem zit wellicht al in het registratieproces dat even veilig moet zijn als de technologie zelf. De Security Key van Google kan pas werken wanneer die gelinkt is aan een persoon, maar dat moet dan wel de juiste persoon zijn.

De vraag is ook hoe Google de identiteit van mensen gaat checken wanneer ze de USB-stick verdelen. In België kennen we bijvoorbeeld de identificatie-app Itsme waarmee burgers kunnen inloggen bij de overheid, banken, verzekeraars en andere privébedrijven. Hiervoor zijn duidelijke afspraken gemaakt tussen de verschillende spelers en de overheid. Moet Google straks dan ook met overheden gaan samenwerken om z’n Security Key te gebruiken? Hoe gaan ze het vertrouwen winnen om dit systeem in de praktijk uit te rollen? Als ze niet ver genoeg durven gaan, dreigen ze een veilig systeem te geven aan een identiteit die ze niet kunnen valideren.

Daarnaast moeten we kijken naar hoe de technologie gebruikt wordt door apps en websites. De Security Key maakt uiteindelijk enkel het inlogproces een stuk veiliger. Ook toepassingen waarvoor je de USB-sleutel inschakelt, moeten dus goed in elkaar zitten. Een laatste probleem zit in het feit dat je een fysieke sleutel in principe kan verliezen of dat je het slachtoffer van diefstal kunt worden. Gelukkig kunnen cybercriminelen er normaal niet veel mee aanvangen aangezien de Security Key aan je telefoon gelinkt is. Hackers zouden de sleutel dus al moeten kunnen namaken om hem te misbruiken.

Wachtwoorden blijven noodzakelijk

De oplossing van Google is natuurlijk wel een stap in de goede richting. De technologie zal het hackers in elk geval een stuk moeilijker maken dan een standaard wachtwoord, maar we mogen niet blindelings geloven dat we daarmee helemaal safe zijn. Uiteindelijk geeft Google zelf ook toe dat de methode nooit onfeilbaar kan zijn. Zelfs in de bankwereld, die toch bekend staat om strenge beveiliging, zijn organisaties zich er maar al te goed van bewust dat er altijd een risico zal blijven bestaan. Vaak hebben ze dat risico zelfs letterlijk verwerkt in hun financiële risicoberekening. Behalve fraude is dus ook misbruik van authenticatie voor banken een risico waaraan een deel van de business verloren kan gaan.

Zal de Security Key van Google uiteindelijk het doodsvonnis voor onze wachtwoorden betekenen? Wellicht niet. Ooit komt er wel een dag waarop wachtwoorden tot het verleden zullen behoren, maar dat is nog niet voor morgen. Sommige mensen hebben nu eenmaal een wachtwoord nodig, omdat ze niet over andere technologische middelen beschikken of niet weten hoe ze de technologie moeten gebruiken. We kunnen opnieuw een vergelijking maken met de bankwereld: een groot deel van de bevolking doet z’n bankverrichtingen al een jaar of tien van thuis uit, maar toch bestaan er nog altijd bankgebouwen met loketten voor mensen die geen computer hebben of niets begrijpen van online bankieren.

Tot slot moeten we ons bewust blijven van het feit dat we altijd een risico nemen wanneer we iets aan een onlineservice toevertrouwen. Daarom blijft het noodzakelijk om bewustzijn te kweken en mensen goed te trainen, zodat ze minder snel in de val van bijvoorbeeld phishing zouden trappen. Hoe goed een technologische securityoplossing ook is of hoe sterk een klassiek wachtwoord ook in elkaar zit, uiteindelijk zal de mens altijd de zwakste schakel blijven.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content