toggle menu

Het is tijd om wachtwoorden af te schaffen

Het is tijd om wachtwoorden af te schaffen

Het traditionele wachtwoord is inmiddels te veel verouderd en gevoelig voor hackers. Hoog tijd om over te stappen naar iets anders dan een reeks letters en cijfers om ons online leven te beveiligen.

Onlangs werden zowel Facebook-CEO Mark Zuckerberg als voormalig Twitter-CEO Dick Costolo gehackt. Bij Zuckerberg werd er binnengedrongen op zijn Twitter- en Pinterest-accounts, terwijl Costolo's FourSquare- en Pinterest-accounts er aan moesten geloven.

Die hacks bleken achteraf kinderlijk eenvoudig: de aanvallers hadden een reeks wachtwoorden gekocht, die bij een datalek van LinkedIn waren bemachtigd. De twee techbazen bleken hun LinkedIn-wachtwoorden op andere websites ook te gebruiken, waardoor de hackers hiermee makkelijk konden inloggen.

Hun belangrijkste accounts werden niet gekraakt, maar dat hoefde ook niet. Bij Costolo konden de hackers alsnog een tweet plaatsen via de andere gehackte diensten, omdat alle accounts met elkaar verbonden waren.

Niemand gebruikt beveiligde wachtwoordapplicaties

Beveiligingsexperts pleiten ervoor dat je per online dienst een uniek wachtwoord moet hebben - dat je idealiter bewaart in een beveiligde wachtwoordapplicatie zoals 1Password of Lastpass. Wordt een grote online dienst gehackt, dan weet je tenminste zeker dat het wachtwoord daarvan niet bij andere websites gebruikt kan worden om binnen te dringen.

Een prima insteek, ware het niet dat niemand dit doet. Dat bewezen Costolo en Zuckerberg onlangs. Want als zelfs twee grote bazen uit Silicon Valley dit niet doen, hoe kun je dan verwachten dat Jan Modaal dit wel doet?

Het lijkt voor veel mensen simpelweg te veel gedoe om een wachtwoordapp te installeren en overal nieuwe inloginformatie in te stellen. Ergens ook logisch, want hackers breken niet iedere dag in op je account. Het gebeurt maar af en toe - maar zodra het zover is, ben je al te laat.

Tweestapsverificatie als hoofdmethode?

Sommige technologiebedrijven proberen de beveiliging te verbeteren met tweestapsverificatie. Je ontvangt dan een speciale code in een sms-bericht, die je moet invoeren om op een account in te loggen. Omdat alleen jij toegang hebt tot je smartphone, is het voor hackers verdraaid lastig om dan nog je account te kraken. Tweestapsverificatie is echter bijna altijd optioneel, waardoor slechts een kleine club mensen er gebruik van maakt.

Wellicht is het tijd om van die sms-codes de hoofdmethode voor inloggen te maken. Haal de wachtwoorden maar van websites en laat ons alleen maar de verificatiecode op onze telefoons invoeren. Dat zou iedereen dwingen om zijn of haar online accounts beter te beveiligen, waardoor iedereen hier ook echt gebruik van zou maken. Sommigen zullen het vast eventjes onhandig vinden - want waarom moeten ze ineens hun telefoon gebruiken, terwijl het briljante wachtwoord '12345678' ook werkte? Maar dat kleine beetje ongemak kan op termijn al onze levens een stuk gemakkelijker maken.

Slimmer inloggen met een knop op je smartphone

In de tussentijd kunnen technologiebedrijven mooi nadenken over hoe ze deze beveiliging makkelijker in gebruik kunnen maken. Dat deed Google deze week toevallig al met de introductie van Google Prompt.

Bij Google-diensten hoef je namelijk niet langer een speciale code in te voeren om in te loggen, maar druk je alleen nog maar op een knop op je smartphone. Logisch ook, want met die knopdruk bevestig je al dat jij probeert in te loggen. Alleen jij kan op die knop drukken, want alleen jij hebt jouw smartphone op zak. Het enige risico is dan nog dat je smartphone wordt gestolen. Maar die kan inmiddels steeds vaker met een vingerafdruk worden beveiligd, in plaats van een ouderwets wachtwoord.

Wearables (gadgets die je als kleding of accessoires die je op het lichaam draagt) kunnen accountbeveiliging op termijn nog een beetje slimmer gaan maken. Neem bijvoorbeeld de Apple Watch: deze smartwatch hoef je maar één keer met een code te ontgrendelen, omdat hij daarna met sensoren ziet dat hij om je pols blijft hangen. Wat als deze smartwatch als authenticatie voor onze online accounts kan dienen? Dan zou je bij bijvoorbeeld Google kunnen inloggen door simpelweg voor je computer te zitten terwijl je jouw specifieke horloge omhebt.

Bastiaan Vroegop

Ook interessant