Waarom gebruiken we nog steeds (gemakkelijke) wachtwoorden?

Naar aanleiding van het bericht eind juli dat de emailaccounts van Europees president Herman Van Rompuy en tien andere hooggeplaatste EU-officials werden gekraakt, kan men zich echt afvragen waarom we anno 2012 nog altijd met wachtwoorden werken om toegang te krijgen tot IT-systemen.

Naar aanleiding van het bericht eind juli dat de emailaccounts van Europees president Herman Van Rompuy en tien andere hooggeplaatste EU-officials werden gekraakt, kan men zich echt afvragen waarom we anno 2012 nog altijd met wachtwoorden werken om toegang te krijgen tot IT-systemen.

Vanaf de uitvinding van de computer is men uitgegaan van 3 gangbare methoden om de toegang te beveiligen, met name:

1. Iets dat je weet: wachtwoord, wachtzin of pincode
2. Iets dat je hebt: een token, USB stick, smart card of ander toestel
3. Iets dat je bent: biometrie (stem, vinger, oog, gezicht, hand, enz.)
Met de toename van mobiele toestellen is ook een vierde methode meer en meer gangbaar geworden, met name:
4. Iets dat jouw plaats bepaalt: geolocatie (fysieke locatie)

Het blijft ten zeerste merkwaardig dat de IT industrie tot op de dag van vandaag niet in staat is om komaf te maken met (simpele) wachtwoorden als toegangsbeveiliging tot digitale informatie. In april 1985 publiceerde het Amerikaanse Department of Defense (DoD) reeds een 31 bladzijden “password management guide” waarbij de vier basiscontroleconcepten rond wachtwoorden worden uitgelegd: persoonlijke identificatie van een gebruiker, authenticatie van de identiteit van een gebruiker, privacy van gevoelige informatie (jawel) en auditeerbaarheid bij incidenten.

Gene Spafford analyseerde in 1991-1992 met het OPUS project aan de Universiteit van Purdue welke wachtwoorden gebruikers aan de universiteit gebruikten. Uit zijn wetenschappelijk onderzoek van ruim 13.787 anoniem verzamelde maar reële wachtwoorden bleek toen de gemiddelde lengte 6,8 karakters te zijn, bijna 1 op de 3 uitsluitend te bestaan uit kleine letters en een ander derde uitsluitend uit cijfers te bestaan. Daarenboven waren ruim 20% van de wachtwoorden perfect terug te vinden in een toenmalig woordenboek. En dit in 1992! Klinkt herkenbaar? Blijkt dus dat we ruim 20 jaar later nog altijd met dezelfde problematiek zitten. Raar maar waar.

Is dit omdat er zo weinig aandacht rond is in de media? Volgens mij niet. Toen in oktober 1988 bekend geraakte dat de Bistel computer van de toenmalige premier Wilfried Martens gekraakt was, bleek dat zijn wachtwoord nog steeds “Tindemans1” was, naar zijn voorganger van bijna 10 jaar ervoren, Leo Tindemans. Algemene hilariteit, maar helaas zonder veel gevolgen.

Ook recenter in januari 2011 maakten de jongens van Neveneffecten een hilarische maar helaas zeer realistische reportage in hun TV-reeks BASTA over eenvoudige wachtwoorden met een test in de gebouwen van Woestijnvis waaruit bleek dat ook bekende Vlamingen anno 2011 een ietwat simpel wachtwoord gebruikten. Stijn Meuris en Steven Van Herreweghe hadden gekozen voor hun voornaam en Tom Van Dyck koos voor de naam van zijn bedrijf dat op Wikipedia terug te vinden was. De reportage is nog steeds terug te vinden op YouTube. Ik ben ervan overtuigd dat een dergelijke test gelijkaardige resultaten zal hebben in vele organisaties vandaag.

Bovendien bestaan er echt een massa films en TV-series waar te pas en te onpas wachtwoorden worden gekraakt dat het een lieve lust is. Ik heb in mijn collectie reeds meer dan 150 films waarin dergelijke scenes worden getoond. Het is uiteraard meestal fictie, maar in mijn collectie zitten ook al een aantal documentaires.

Met de opkomst van sociale media, cloud computing en het toenemend mobiel internet gebruik nemen ook de inbraken op (eenvoudige) wachtwoorden toe omdat het voor de buitenwereld gemakkelijker wordt om toegang te krijgen tot de virtuele toegangspoort van een organisatie waar het wachtwoord wordt gevraagd: Yahoo, Gmail, Linkedin, enz. halen de krantenkoppen van de dag, maar helaas gebeurt er weinig mee.

Dus, voorbeelden en gevalstudies met hopen, en toch nog steeds weinig veranderingen…

Wie heeft hier weinig aan gedaan? De eerste groep die weinig echte oplossingen hebben opgeleverd is de IT-industrie zelf. Begrijp me niet verkeerd. De IT-industrie zal zeker zwaaien met oplossingen zoals Identity & Access Management tools, Single Sign-On tools, One-Time Password systems, en access devices die hun eigen wachtwoorden genereren mits het invoeren van pincodes, enz. Alsof eindgebruikers en de directies daarop zitten te wachten: een massa geld investeren in dure software en hardware oplossingen met bijhorende consulting diensten en onderhoud in vergelijking tot de toegevoegde waarde en gebruiksgemak.

Even werd in België de eID naar voor geschoven als een oplossing, tot bleek dat dit een smartcardreader vergde op alle toegangspunten waar gebruikers werken (kost) en vele personen dit nog als een deel van hun privé-sfeer beschouwen (psychologie). Verder wordt vergeten dat in de praktijk sommige systemen moeten gedeeld worden door verschillende gebruikers. Bovendien laten sommige IT-systemen helemaal geen lange wachtzinnen toe die gebruikers zelf kunnen veranderen waar en wanneer ze dat willen (vergeten vragen bij de offerte). De toegevoegde waarde van dergelijke investeringen is moeilijk, zeker in vergelijking met de investering in andere activiteiten binnen de organisatie. Maar soms worden dergelijke tools alsnog gekozen als een zoethouder voor de regelgever of raad van bestuur om aan te tonen dat de organisatie wel degelijk “ermee bezig is”.

Dat leidt me tot de tweede categorie: directies in vele organisaties kennen uiteraard de problematiek aangezien ze zelf eindgebruiker zijn. Veelal is er echter grote druk om directieleden een flexibelere wachtwoordregeling te geven (lees: wachtwoord vervalt nooit of is niet complex), ofwel gaan directieleden eenvoudigweg hun wachtwoord geven aan hun directie-assistente die dan alle nodige handelingen doet in naam van de desbetreffende directeur. Dit druist in tegen het principe “tone at the top”, vrij vertaald als “de leidinggevende geeft het goede voorbeeld”. Pijnlijk, maar helaas herkenbaar. Als het dan fout gaat, tja,…

De derde categorie met weinig goede oplossingen zijn helaas de informatiebeveiligingsverantwoordelijken (ook wel CISO’s of Chief Information Security Officers genoemd) die eisen en/of zweren bij complexe wachtwoorden die om de 30-60-90 dagen moeten veranderd worden en liefst van al verschillend zijn voor elke toepassing. Gevolg is dat eindgebruikers allerlei alternatieven gaan uitdokteren om hun serie wachtwoorden te onthouden/gebruiken. De Post-its van 3M worden hiervoor gebruikt, maar ook de MS Excel-file en recentelijk ook de opslag van wachtwoorden in internet browsers. Uiteraard wordt hier superstreng tegen opgetreden door deze verantwoordelijken die het als hun kruisvaart beschouwen om iedereen in de pas te laten lopen. Gelukkig ken ik ook meer pragmatische informatiebeveiligingsverantwoordelijken.

Tenslotte bestaan er wel degelijk compliance regels die soms zeer ver gaan in het eisen van welbepaalde wachtwoord criteria, zoals PCI DSS (Payment Card Industry Data Security Standards), maar sommige worden ook uitgevonden door adviseurs zonder dat deze criteria echt bestaan. Ik nodig iedereen uit om met de gebruikers te praten die in organisaties werken waar dergelijke compliance regels tot op de letter worden uitgevoerd. Zeer leerrijk.

Wat zijn momenteel de meest gangbare en realistisch haalbare oplossingen rond wachtwoorden? Vooreerst dient een helder wachtwoordbeleid te bestaan dat wordt goedgekeurd door de directie en die van toepassing is voor iedereen in de organisatie. Hierin kan bijvoorbeeld gemeld worden dat na een welbepaald aantal verkeerde pogingen, de gebruiker een afgesproken tijd moet wachten waarna hij/zij opnieuw kan proberen. Bovendien dient dit beleid aandacht te schenken aan voldoende en regelmatige voorlichting aan alle gebruikers (en specifieke voorlichting voor groepen die met meer dan gevoelige informatie omgaan) omtrent het belang van goede wachtwoorden/wachtzinnen te kiezen. FEDICT deed in 2005 een zeer verdienstelijke poging om computergebruikers in België te sensibiliseren met de PeeCeeFobie campagne, maar helaas is het bij die ene steekvlam-campagne gebleven.

Ik weet uit praktijkervaring hoe moeilijk het is om een degelijke voorlichtingscampagne rond wachtwoordgebruik in elkaar te steken en praktisch / regelmatig te brengen naar de doelgroep(en). De doelstelling zou moeten zijn om alle gebruikers minstens 2x per jaar te bereiken (naast de traditionele beginners in de organisatie en de ad hoc herinneringsberichten bij incidenten). Het beste advies is om dergelijke campagne op te zetten in de cultuur en aangepast aan de leefwereld van de organisatie. Dus geen atletiekbeelden maar wel transportbeelden gebruiken in een transportfirma, winkelbeelden gebruiken in een warenhuisketen, IT-beelden gebruiken in een IT-dienstenorganisatie, enz.

Ten tweede moeten gebruikers aangeleerd worden hoe ze op een eenvoudige manier slimme wachtzinnen kunnen maken. De vuistregel is om mensen woorden te laten combineren in een wachtzin tesamen met hun eigen unieke begin of eindcombinatie die ze telkens kunnen herhalen bij hernieuwing van hun wachtzin. Uiteraard dient dit mogelijk te zijn. Dus een extra criterium dat van naderbij moet bekeken worden bij de ontwikkeling of aanschaf van software/hardware oplossingen.

Ten derde moeten eindgebruikers keuzes krijgen in praktische oplossingen om verschillende wachtwoorden eenvoudig maar effectief te kunnen installeren, te gebruiken en te veranderen. Indien nodig mogen gebruikers een deel van hun wachtwoord op een Post-it schrijven zolang ze maar slechts een deel noteren in plaats van het geheel. En waarom zouden gebruikers geen gebruik mogen maken van een door de organisatie gekozen virtuele wachtwoord-kluis zoals KeePass, Password Vault Manager, S10 Password Vault, 1Password, enz. Deze oplossingen worden door sommige informatieveiligheidsverantwoordelijken geweerd als des duivels, maar zonder noemenswaardige alternatieven aan te reiken, tenzij MS Excel natuurlijk.

Tenslotte zou ik willen pleiten voor echte innovatie in dit specifieke gebied van IT. Er zijn inderdaad al pogingen geweest in het verleden rond single sign-on en dergelijke, maar in de meeste organisaties vandaag werkt men nog steeds met wachtwoorden als basis authenticatie techniek en dit omwille van de veelheid van systemen en toepassingen en omwille van de kost. Persoonlijk denk ik dat de evolutie naar virtualisatie, cloud computing en centralisatie van informatie en toepassingen een positieve invloed kan hebben op eenvoudige maar effectieve toegangsmethoden voor gebruikers. Het lijkt niet meteen het meest sexy thema in IT, maar ik denk dat elke eindgebruiker het basisrecht heeft om zijn/haar informatie te beschermen via een eenvoudige gebruiksvriendelijke authenticatie manier. Intussen moeten we het doen met wachtzinnen.

Marc Vael President, ISACA BELGIUM