Dit is een artikel uit het NRC-archief
Bekijk hele krant

NRC Handelsblad

Cultuur

Telkens weer de naam van het huisdier

Waarom zijn er zo veel vervelende wachtwoorden nodig op internet? Expert Bill Cheswick zegt dat inlogmethodes hopeloos verouderd zijn. En onveilig.

Telkens weer de naam van het huisdier Internetter kiest te simpele wachtwoorden, omdat hij ze anders niet kan onthouden Illustratie Sebe Emmelot
Telkens weer de naam van het huisdier Internetter kiest te simpele wachtwoorden, omdat hij ze anders niet kan onthouden Illustratie Sebe Emmelot Emmelot, Sebe

De naam van je favoriete huisdier of de naam van je kind: de meeste mensen hebben verdacht weinig fantasie als ze een wachtwoord moeten verzinnen om in te loggen op een website. Wat er achter de asterisken – de *-tekens die het wachtwoord verbergen – verschijnt, is zo lek als een mandje, zegt Bill Cheswick. De Amerikaanse veiligheidsexpert van AT& T Labs was onlangs in Nederland om een lezing te geven over internetveiligheid. Cheswick heeft er een missie van gemaakt om de wereld te laten weten dat een nieuwe manier van inloggen nodig is. „Vergeleken met alle hackers- en phishing-ellende is dit een erg simpel probleem, dat we allang hadden moeten oplossen.”

Omdat veel websites registratiegegevens vragen, maken internetters het zichzelf gemakkelijk en hanteren één of een beperkt aantal passwords op internet. Die wachtwoorden zijn doorgaans simpel te raden, zegt Cheswick. „Bijna iedereen kiest een woord dat te maken heeft met zijn eigen omgeving. Dat betekent dat ze te raden zijn door bekenden, of mensen die toegang hebben tot persoonlijke gegevens.”

Pc’s zijn bovendien snel genoeg om met pure rekenkracht het wachtwoord te raden. Cheswick: „Er zijn echt nog websites die toestaan dat gebruikers vaker dan drie keer achter elkaar hun wachtwoord fout mogen hebben. De dictionary attacks kunnen dan rustig alle varianten proberen.”

Veel websites proberen hun gebruikers te dwingen om betere wachtwoorden te bedenken dan woorden uit het woordenboek. Daarbij gelden allerlei eisen: vaak is er een minimaal aantal tekens (5 of 6), moeten er cijfers en hoofdletters inzitten, maar zijn andere tekens juist verboden. „Je wordt gek van die regels”, zegt Cheswick. „Welke idioot heeft dat bedacht? Je mag wachtwoorden zogenaamd ook niet opschrijven. Onzin. Want sommige sites willen ook nog dat je het wachtwoord om de zoveel maanden verandert. Heb je dus eindelijk een moeilijk te raden letterreeks uit je hoofd geleerd, kun je weer opnieuw beginnen.”

De terreur van wachtwoorden, zoals Cheswick het uitdrukt, is gebaseerd op achterhaalde voorschriften uit 1985. „Toen was internet er nog niet en golden er andere regels.”

Een manier van veiliger inloggen is het gebruik van encryptie (versleuteld webverkeer), liefst in combinatie met een fysiek apparaatje dat elke keer een nieuwe inlogcode genereert. Die methode wordt vaak gebruikt op bedrijfsnetwerken en bankensites. Natuurlijk werkt dat alleen als het de echte site is en er geen nagemaakte phishing-site in het spel is, waarschuwt Cheswick.

Ook de telefoon – via sms – kan als legitimatiebewijs dienen. „Dat is ook een traceerbaar apparaat dat de gebruiker identificeert.” Cheswick vergelijkt webgebruik met de aanschaf van een auto. „Je nieuwe auto wordt geleverd met sleutels. Waarom zou je een pc waarmee je internet opgaat dan ook niet van sleutels voorzien?”

Naast wachtwoorden zijn er andere methodes om veilig in te loggen. Cheswick geeft in zijn presentatie voorbeelden van een rijtje gezichten, waarbij de gebruiker er een paar van moet herkennen. Die inlogmethode (‘passfaces’) zou handig zijn, omdat mensen beter zijn in het onthouden van een gezicht dan van een gecompliceerd wachtwoord als B@51uRl.

Nog een andere methode: het onthouden van een geheime plek op een foto. „In de praktijk bleek een punt op één foto te makkelijk te raden”, zegt Cheswick. Maar in Google Maps, dat veel meer bits heeft dan een enkel plaatje, werkt het wel. Zo zou je volgens hem een geheim punt op de globe – liefst niet de eigen woonplaats – kunnen aanwijzen als een inlogcode. Passmaps, noemt Cheswick dat: „Er zijn ontelbaar veel variaties mogelijk, en het is niet moeilijk te onthouden.”

Cheswick noemt het slechts een paar wacko (gekke) alternatieven die hij heeft verzameld. „Het gaat erom dat we iets beters verzinnen. De techniek schiet tekort als je ervan uitgaat dat iemand een wachtwoord onthoudt dat hij maar twee keer per jaar hoeft te gebruiken.”