Hé psst, wil je mijn wachtwoord weten?

Marc Hijink

Het slechtst bewaarde geheim op internet: mensen delen op grote schaal wachtwoorden van persoonlijke accounts. Volgens schattingen zou een derde van ruim tweehonderd miljoen Netflix-gebruikers zijn inloggegevens doorfluisteren aan ‘familieleden’ – zelfs al zijn ze geen familie.

Door wachtwoorden te delen met anderen, deel je de abonnementskosten van het groeiend aantal videodiensten. Hoe meer zielen, hoe lager de prijs. In goed Nederlands: password sharing is het nieuwe file sharing. En hoewel het gebruik van gezinsabonnementen buiten het gezin oogluikend wordt toegestaan, lopen Netflix, Disney+ en Spotify zo miljarden aan omzet mis.

Afgezien van de economische impact is het niet zonder risico om wachtwoorden te delen. Je weet niet of anderen wel voorzichtig zijn met je gegevens. Wachtwoorden zijn an sich al zwak – makkelijk te raden, makkelijk te stelen en te misbruiken. Wachtwoorden die je deelt, zullen waarschijnlijk niet erg complex zijn. Probeer maar eens twintig leestekens met hoofdletters en exotische symbolen foutloos over te typen.

In het ergste geval gebruik je het gedeelde wachtwoord ook nog voor andere diensten. Zo’n slordigheid is voer voor hackers – niet alleen bij consumenten. Veel organisaties hebben er een handje van om eenvoudige wachtwoorden te blijven gebruiken voor diensten waarop meerdere medewerkers inloggen.

Dat kan beter, vonden ze bij 1Password. Deze wachtwoordmanager bedacht een hulpje voor het ‘veilig’ delen van wachtwoorden met anderen. De afkorting verdient een standbeeld: PSST!, dat staat voor password secure sharing tool.

Het werkt zo: je deelt een tijdelijke link naar je inloggegevens. De andere persoon hoeft daarvoor geen 1Password (een betaalde app) te gebruiken. Je kunt die gedeelde link elk gewenst moment intrekken. Dat zou je meer controle moeten geven over wie wanneer je wachtwoord gebruikt.

PSST! lijkt niet te voorkomen dat de ontvanger je logingegevens kopieert. Wil je echt stoppen met delen, dan moet je het wachtwoord vernieuwen. Mits je daaraan denkt, natuurlijk.

Niemand vindt het leuk om wachtwoorden te vervangen of inloggegevens tegen het licht te houden. Het is een van die klusjes voor een regenachtige middag, die je prompt nog neerslachtiger maken.

Maar de noodzaak om actief je wachtwoorden te beheren, wordt er niet minder om. Wachtwoordmanagers slaan daarom alarm als je inloggegevens zijn buitgemaakt bij een datalek. Je kunt dat zelf controleren op websites als haveibeenpwned.com die miljarden gestolen wachtwoorden en mailadressen doorspitten. Ook mijn accounts staan ertussen, helaas.

De wereld is veranderd in een inlogmaatschappij die vraagt om ijzersterke wachtwoorden, extra verificatie, een telefoon met DigiD en biometrische beveiliging. Voor veel gebruikers – niet alleen ouderen – is dat een hoge drempel.

Veilig online verkeren vergt nieuwe vaardigheden, en het is een gat in de markt. Het Canadese 1Password kreeg net een kapitaalinjectie van 100 miljoen dollar en wordt op een waarde van 2 miljard dollar geschat. Onder meer de Nederlandse ondernemer Robert Vis (oprichter Messagebird) stak er geld in.

De zelfstandige wachtwoord-apps ondervinden concurrentie van de webbrowsers. Chrome, Safari, Edge en Firefox werpen zich allemaal op als geheugensteun en helpen gebruikers bij het verzinnen van complexe wachtwoorden.

Je weg vinden tussen die verschillende wachtwoordkluizen en authenticatiegereedschap is niet eenvoudig. Ik ben inmiddels gepromoveerd tot wandelende wachtwoordmanager voor een paar familieleden die er zelf niet meer uit kwamen. Het is dankbaar en verantwoordelijk werk, zo’n bijbaan als digitale kluis. Maar het blijft een rotklus.

Marc Hijink schrijft wekelijks op deze plek over technologie. Twitter: @MarcHijinkNRC

Reageren

Reageren op dit artikel kan alleen met een abonnement. Heeft u al een abonnement, log dan hieronder in.