Verander je wachtwoord-dag zorgt voor vals gevoel van veiligheid

24 november is ‘Verander je wachtwoord’-dag. Bijna dagelijks lezen we berichten over hackers, phishing of datalekken waarbij wachtwoorden voor shopping-websites, sociale media of mediaplatformen in verkeerde handen vallen. Toch is het veranderen van wachtwoord wellicht niet de juiste strategie, zegt David Jennes, Digital Security expert bij Wisemen. ‘Ik geloof niet in ‘Verander je wachtwoord’-dag, er is wel nood aan betere wachtwoordhygiëne. Tot er oplossingen komen die 100% veilig zijn.’

We kennen het allemaal: we doen onze inbox open en er zit een mailtje in van de IT-dienst die ons opdraagt om ons wachtwoord te veranderen. Of we loggen (per ongeluk) uit bij ons favoriete streamingplatform en weten met de beste wil niet meer wat ons wachtwoord ook weer was. Resultaat: we moeten op zoek naar een nieuw wachtwoord.

Het klinkt wellicht vreemd, maar ik ben geen fan van initiatieven als ‘Verander je wachtwoord’-dag. Goed bedoeld, maar het geeft mensen een vals gevoel van veiligheid.

Passkeys dé oplossing

In de nabije toekomst moeten deze problemen met wachtwoorden tot het verleden horen. De sector werkt immers aan een sluitende oplossing om veilig en zonder wachtwoorden in te loggen: de passkeys.

Passkeys zijn 2-delige sleutels die geëncrypteerd op je persoonlijk toestel staan. Enkel het publieke deel – een soort ‘naam’ van de sleutel – wordt gedeeld met de website of service. Het zijn geen bestanden, die je niet zomaar kan kopiëren of delen. Met die sleutel wordt een eenmalig virtueel wachtwoord aangemaakt dat toegang geeft tot de website of de app. Die koppeling is alleen maar mogelijk aan de hand van biometrie, zoals de gezichtsherkenning op je smartphone. Het virtuele wachtwoord staat ook nergens neergeschreven, of je moet het nergens invoeren. Dat maakt hacking of phishing onmogelijk. Een eenvoudige technologie, en 100% veilig.

Voorlopig wordt deze technologie nog maar op beperkte schaal toegepast, maar daar komt in de komende maanden verandering in. Hoewel bijvoorbeeld iPhones al passkeys aanbieden, worden ze in de praktijk vandaag nog maar zeer beperkt gebruikt. Wellicht zullen technologie- en financiële apps en sites de early adopters zijn. Ik verwacht dat we in de loop van volgend jaar al met passkeys kunnen werken bij de grote digitale spelers zoals Microsoft, Facebook, WordPress, Google of Twitter. En dan zijn wachtwoorden als ‘Sloeber82’ of ‘Ob1W4nK3n0b1’ verleden tijd.

Wachtwoordmanagers zijnthe next best thing

Maar tot dan zijn we aangewezen op tools die wel al breed worden toegepast. Zoals wachtwoordmanagers.

Mensen zijn gewend om alles zoveel mogelijk zelf proberen te onthouden. De website of het platform legt criteria op waar het nieuwe wachtwoord moet aan beantwoorden. Dus kiezen ze een combinatie die makkelijk te onthouden is, of ze pakken het oude wachtwoord en zetten er een 1 achter. Eenvoudige variaties die uiteindelijk zorgen voor zwakke wachtwoorden. Dat maakt het er allemaal niet veiliger op.

Hoe kan het dan wel veilig? De technologie is voortdurend in evolutie. Websites en apps stellen nieuwe gebruikers zelf een wachtwoord voor. Deze automatisch gegenereerde wachtwoorden met combinaties van tekens die niemand kan onthouden, zijn een goede eerste stap. Maar de wachtwoordmanager die je browser of smartphone standaard aanbiedt, doet dat voor jou. Hij slaat de wachtwoorden op in een kluis en biedt ze vanzelf aan wanneer dat nodig is. Zo’n wachtwoordmanager gebruiken zoals het hoort, maakt je gegevens veiliger.

In afwachting van de passkeys-technologie, blijft dit the next best thing. Toch gebruikt minder dan een op de tien Belgen een wachtwoordmanager. Wellicht is het verstandiger om mensen aan te sporen om deze tools meer en beter te gebruiken, in plaats van hen op te roepen om een (onveiliger) nieuw wachtwoord aan te maken.