Dadada. Dat was naar verluidt het wachtwoord dat Facebook-baas Mark Zuckerberg gebruikte om in te loggen op Twitter, Pinterest en LinkedIn. Hoe we dat weten ? Omdat een hackerscollectief zijn wachtwoord plukte uit de lijst met 117 miljoen inloggegevens van LinkedIn die op straat liggen, en zo even de Twitter en Pinterest-account van Zuck kaapte. Allemaal vrij onschuldig, maar het had veel erger gekund. Door alle koppelingen tussen de sociale netwerken en internetdiensten, en omdat we dezelfde wachtwoorden voor meerdere diensten gebruiken, kan een ‘hacker’ – of eender welke handige Harry – een aanvalsplan uittekenen om je digitale leven over te nemen.
Het akkefietje met Mark toont nog maar eens aan hoe kwetsbaar onze digitale identiteit is. Is het de schuld van LinkedIn in dit geval ? Deels wel : dat bedrijf draagt de verantwoordelijkheid over het veilig bewaren van uw, mijn en Marks gegevens – inclusief de wachtwoorden.
Maar geef toe : het is toch ook een beetje de schuld van Mark zelf door zo’n eenvoudig wachtwoord op meerdere diensten te gebruiken. Mark is dus niet alleen ceo, maar ook een doorsneegebruiker. Wie van ons durft stellen dat hij voor élke internetdienst, e-mailbox, webshop of sociaal netwerk een ander paswoord gebruikt ? Wie durft zeggen dat hij altijd voor de veiligere maar omslachtigere two-factor authentication kiest ?
Laat ons eerlijk zijn : we verkiezen bijna altijd gebruiksgemak boven veiligheid. En dus blijft het paswoord zoals we het nu kennen een zwaktebod : het beschermt onze gegevens niet, en het is nog onze eigen schuld ook.
Journalist Mat Honan getuigde vier jaar geleden in Wired al hoe zijn digitaal leven uit zijn handen glipte door hackers. Omdat hij zelf te eenvoudige wachtwoorden gebruikte voor meerdere services die hij ook nog eens aan elkaar gelinkt had. De handige Harry’s zochten met creatief klikwerk op dingen als ‘paswoord vergeten’ naar de ontbrekende puzzelstukken om uiteindelijk zijn hele digitale hebben en houden over te nemen. Dat was vier jaar geleden. Hoeveel eindgebruikers zijn sindsdien voorzichtiger geworden ?
De 117 miljoen accounts van LinkedIn die vorige maand op straat belandden, dateren trouwens ook van een vier jaar oude hack. Dat LinkedIn vier jaar na datum moet toegeven dat er 117 miljoen accounts buitgemaakt zijn en niet 6,5 miljoen, is pas echt verontrustend. Wou LinkedIn in 2012 de zaak minimaliseren ? Of kon het bedrijf echt zelf de omvang niet inschatten ? En zo ja, wat is dan het ergste ?
Maar goed, vier jaar lang wisten 117 miljoen mensen dus niet dat hun toegangscodes tot het grootste zakelijke netwerk en wie weet welke andere netwerken in handen waren van een groepje hackers. Hoeveel paswoorden zijn in die vier jaar nooit veranderd ? Netflix spoort zelfs al proactief op hoeveel van die paswoorden ook op de streamingdienst gebruikt worden om ze vervolgens ongeldig te maken.
Laat ons een kat een kat noemen : in vier jaar tijd is er nauwelijks iets veranderd aan de manier waarop we inloggen, en in het ergste geval ook niets aan onze paswoorden. Tijd voor een brede tech-coalitie om dit probleem ten gronde op te lossen, want de gebruikers gaan het niet doen als ik lees dat de meest gebruikte paswoorden in 2015 ‘123456’, ‘password’ en ‘qwerty’ zijn.
In 2004 al stelde Bill Gates op de RSA-conferentie dat het paswoord op zijn laatste benen liep “omdat het er niet in slaagt om kritische informatie te beveiligen”. Twaalf jaar geleden dus. Facebook was toen welgeteld 21 dagen oud. LinkedIn keek nog uit naar de 500.000ste gebruiker. Laat ons hopen dat we niet nog eens vier of twaalf jaar moeten wachten op de begrafenis van het paswoord.
KRISTOF VAN DER STADT
Fout opgemerkt of meer nieuws? Meld het hier