Een manager die je wachtwoord niet vergeet

Fabriceer je steeds opnieuw een sterk wachtwoord of besteed je het denkwerk uit aan een wachtwoordmanager? Soms is het te verdedigen om een zwak wachtwoord te hebben.

Illustratie Ady van de Plas

Als er weer eens een partij wachtwoorden van een internetbedrijf op straat komt te liggen, verschijnt steevast een overzicht van de slechtste wachtwoorden die de gebruikers hebben gekozen. Maar ook slechte wachtwoorden hebben een plaats in een verstandige beveiligingsstrategie, volgens recent onderzoek.

Slechte wachtwoorden zijn woorden uit het woordenboek, eigennamen en andere combinaties die makkelijk geraden worden, zeker door een malafide programma dat miljoenen mogelijkheden per seconde probeert. De beste wachtwoorden uit oogpunt van veiligheid zijn lange en willekeurige combinaties van letters (hoofd- en kleine letters!), cijfers en leestekens. Maar die zijn niet te onthouden. Opschrijven is verboden en overal hetzelfde wachtwoord gebruiken al helemáál.

Iedereen aan de password manager?

Daarom moet volgens de laatste inzichten iedereen aan de password manager: software die voor iedere site of dienst een ander, volmaakt willekeurig wachtwoord genereert en opslaat. Wil je een site bezoeken die een wachtwoord vereist en heeft de password manager daar eerder een wachtwoord voor gemaakt, dan gebeurt het inloggen veelal automatisch. Het enige wat de mens nog nodig heeft, is het wachtwoord van de password manager zelf. Dat moet natuurlijk zeer sterk zijn, maar een zelfbedacht motto (‘Noteer nooit ofte nimmer een wachtwoord op wc-papier’, bijvoorbeeld) voldoet daarvoor uitstekend.

„Ik gebruik al heel lang een password manager”, zegt Niels Huijbregts, woordvoerder van internetprovider XS4ALL. Hij kan het iedereen aanraden. „Het is een enorme opluchting als je weet dat al je wachtwoorden echt goed zijn, terwijl je niet allemaal verschillende ingewikkelde wachtwoorden hoeft te onthouden.”

Security consultant Joran Polak van beveiligingsbedrijf Certified Secure heeft een andere strategie: „Ik gebruik voor al mijn accounts aparte passphrases. Dat zijn zinnen die uit verschillende woorden bestaan. Die zijn makkelijk te onthouden, maar lastig te raden en te kraken. Ik onthoud al mijn passphrases en heb geen wachtwoordmanager nodig.”

Volgens een studie van Microsoft Research in samenwerking met de Carleton Universiteit in Ottawa kan het maken van zwakke wachtwoorden een legitieme plaats hebben in een slimme beveiligingsstrategie. Het onderzoek wordt eind augustus gepresenteerd op de conferentie Usenix in San Diego.

In het artikel, dat online staat op de site van Microsoft, komen password managers er niet goed vanaf. Alle eieren zitten in één mandje: als een virus alle toetsaanslagen van de gebruiker weet af te luisteren, zal daar vroeg of laat het wachtwoord van de password manager bij zijn en liggen alle wachtwoorden voor het oprapen.

De populairste wachtwoordbeheerders slaan hun wachtwoorden op in de cloud, zodat de gebruikers zowel vanaf hun laptop als via hun smartphone overal kunnen inloggen. Daarmee worden deze diensten zelf aantrekkelijk als doelwit van cybercriminelen: wie er een weet te kraken, beheerst alle accounts van iemand.

De onderzoekers gaan niet zover dat ze password managers te riskant noemen, maar ze vinden de waarde te onzeker en laten ze daarom buiten beschouwing. „Potentieel vergroten ze het risico”, zegt Paul van Oorschot, hoogleraar cryptografie en computerwetenschappen aan Carleton University, een van de auteurs. „Maar het is niet duidelijk of ze netto het risico verminderen of vergroten. Het zal er ook van afhangen hoe goed de password managers zijn en hoe de gebruikers zich gedragen.”

Het onderzoek gaat daarom uit van een strategie zonder manager. Daarin moet de moeite die het kost om een wachtwoord te onthouden worden afgewogen tegen het mogelijke verlies als dat wachtwoord niet sterk genoeg is. Internetbankieren, of diensten als iTunes en Amazon waar geld uitgegeven kan worden, rechtvaardigen sterke wachtwoorden. Voor diensten die een websurfer eventjes probeert, is een ijzersterk wachtwoord als schieten met een kanon op een mug. Een simpel wachtwoord is dan juist belangrijk. „De inspanning van de gebruiker komt uit een beperkt budget”, aldus Van Oorschot. „Als je te veel energie steekt in onbelangrijke accounts, wordt die energie gestolen van de belangrijke.”

De conclusies van Van Oorschot en zijn collega’s zijn helder: in een optimale wachtwoordenstrategie zijn zwakke wachtwoorden welkom. En het hergebruik van wachtwoorden op verschillende sites ook. Je zou eigenlijk je webdiensten in een aantal groepen moeten verdelen, zeggen ze, van onbelangrijk tot zeer belangrijk, en in elke groep wachtwoorden gebruiken van passende sterkte. Ze zeggen aanwijzingen te hebben dat veel gebruikers in de praktijk intuïtief deze strategie al toepassen.

Security-expert Joran Polak, aanhanger van simpele passphrases, moet daar niets van hebben: „Het lijkt me gevaarlijk om mensen om wat voor reden dan ook aan te raden om zwakke wachtwoorden te gebruiken.” Niels Huijbregts van internetprovider XS4ALL valt hem bij. „Ik heb dankzij mijn password manager ook voor de onbelangrijke sites een ingewikkeld wachtwoord. Er zijn allerlei voorbeelden van ‘onbelangrijke’ accounts waarvan de gegevens in handen van derden komen, die daar vervolgens een heleboel narigheid mee uithalen.”

    • Herbert Blankesteijn