Wist je dat de gemiddelde Nederlander 20 tot 25 verschillende accounts heeft? Dit maakt het haast onmogelijk om voor elk account een uniek wachtwoord te onthouden. We zien dan ook vaak dat mensen zwakke wachtwoorden (zoals "naam van het kind 123" of "favoriete sportclub") gebruiken. Deze wachtwoorden zijn makkelijker te onthouden dan lange, ingewikkelde reeksen van cijfers en tekens, maar ze zijn ook eenvoudiger te hacken. Daarnaast brengt het hergebruik van wachtwoorden ook de nodige risico's met zich mee. We vroegen onze security-expert Daan Keuper om op World Password Day meer te vertellen over de gevaren en de toekomst van wachtwoorden.
Wat je weet, wat je hebt en wat je bent: de 3 manieren om identiteit vast te stellen
Een wachtwoord is niet de enige manier om iemands identiteit vast te stellen, maar het is wel de meest gebruikte methode. Dat komt doordat het vaak de eenvoudigste en goedkoopste manier is. Laten we kijken welke manieren er allemaal zijn om iemands identiteit te bevestigen en hoe je deze methoden kunt combineren.
- Wat je weet: Een manier om identiteit vast te stellen is door het gebruik van een wachtwoord, pincode of antwoord op een geheime vraag. Alleen de juiste persoon heeft toegang tot deze informatie.
- Wat je hebt: Bij deze methode gebruikt iemand een fysiek object, zoals een pasje, mobiele telefoon of huissleutel, om zijn of haar identiteit te bewijzen. Alleen de eigenaar van het fysieke object kan dit gebruiken om zijn of haar identiteit te bevestigen.
- Wat je bent: Hierbij worden biometrische gegevens, zoals vingerafdrukken of een pasfoto in een paspoort, gebruikt om de identiteit van een persoon vast te stellen. Iedereen heeft unieke biometrische kenmerken die kunnen worden gebruikt om identiteit te verifiëren.
Door de verschillende manieren van identificatie te combineren, wordt de kans kleiner dat iemand met kwade bedoelingen kan inloggen met jouw gegevens. Sterk beveiligde objecten vereisen bijvoorbeeld de verificatie van een pas (wat je hebt), een code (wat je weet) en een vingerafdruk (wat je bent) om een persoon te identificeren. In de praktijk blijft het identificeren met 'wat je weet' echter de meest gebruikte methode.
De wachtwoordmanager: een oplossing voor de gevaren van wachtwoorden?
Wachtwoorden kennen een belangrijke zwakke schakel: de menselijke factor. Tegenwoordig hebben we voor allerlei zaken accounts nodig: streamingdiensten, webshops, e-mail, banken, zorginstellingen en nog veel meer. Het is dan ook begrijpelijk dat het ingewikkeld is om voor elk account een sterk wachtwoord te bedenken. Eenvoudig te raden wachtwoorden en het hergebruik van wachtwoorden liggen daardoor voor de hand. Vooral het laatste vormt een groot probleem: hoe vaker je een wachtwoord gebruikt, hoe minder geheim het blijft.
Wanneer jouw wachtwoord onbedoeld openbaar wordt - bijvoorbeeld door een datalek - en je hebt hetzelfde wachtwoord voor meerdere accounts gebruikt, vergemakkelijk je het werk van hackers. Gebruik je die wachtwoorden ook voor zakelijke accounts? Dan lopen ook deze accounts gevaar. Daarom is het belangrijk om unieke wachtwoorden voor elk account te gebruiken.
Maar hoe onthoud je al die wachtwoorden? Een wachtwoordmanager kan helpen. Dit is een digitale kluis waar je je wachtwoorden veilig kunt opslaan. Je hoeft slechts één sterk hoofdwachtwoord te onthouden om toegang te krijgen tot de kluis. Voor extra bescherming van de wachtwoordmanager kan een aanvullende beveiligingslaag worden toegevoegd, zoals tweestapsverificatie of een vingerafdrukscan. Hierdoor kan een hacker nog steeds niet bij jouw wachtwoorden, zelfs als het hoofdwachtwoord wordt gehackt. Een ander groot voordeel van een wachtwoordmanager is dat deze voor elk account sterke wachtwoorden kan genereren die moeilijker te kraken zijn. Jij onthoudt je hoofdwachtwoord en het programma regelt de rest.
Dubbele controle: tweestapsverificatie
We noemden hem net al, de tweestapsverificatie. Bedrijven, banken, zorginstellingen en overheden verplichten gebruikers vaak om tweestapsverificatie in te stellen. Naast hun wachtwoord (wat je weet) moeten zij een tweede vorm van identificatie gebruiken. Dit kan bijvoorbeeld een code zijn die een authenticator app genereert of gezichtsherkenning.
Tweestapsverificatie maakt het voor hackers lastiger om toegang te krijgen tot jouw account, zelfs als ze jouw wachtwoord hebben gekraakt. Ze hebben namelijk ook de tweede factor nodig.
Toch kan een cyberaanval nog steeds succesvol zijn, zelfs als tweestapsverificatie is ingeschakeld. Bijvoorbeeld bij een phishing-aanval, waarbij een aanvaller een valse website maakt die lijkt op de echte. Als de gebruiker zijn of haar inloggegevens invoert op de phishing-site en de tweede factor bevestigt, kan de aanvaller toegang krijgen tot het account.
Veel organisaties bieden tweestapsverificatie aan via een app op de telefoon, wat gebruiksvriendelijker is dan een sms-code. In de praktijk klikken mensen echter vaak te snel op 'accepteren', wat een zwakke schakel kan zijn in de beveiliging. Bovendien gebeurt er weinig om de hacker tegen te gaan als iemand op 'annuleren' klikt. Daarom is tweestapsverificatie geen waterdichte oplossing.
Een toekomst zonder wachtwoorden
Zoals hierboven beschreven zijn er manier om jouw accounts een stuk veiliger te maken. Hoe meer identificatiemethoden je toepast, hoe lastiger je het hackers maakt. Maar blijft deze beveiligingsmethode ook bestaan in de toekomst? In de beveiligingswereld wordt hard gewerkt aan nieuwe identificatiemethoden. We lichten één van de meest veelbelovende methoden uit: Passkey.
Passkey maakt het traditionele systeem van gebruikersnamen en wachtwoorden overbodig. Met Passkey fungeert een apparaat als digitale sleutel voor alle accounts en websites. Gebruikers loggen in op verschillende websites met het apparaat en kunnen een tweede factor toevoegen, zoals biometrie met behulp van de vingerafdrukscanner op een iPhone.
Passkey is veiliger dan de manier hoe we nu vaak omgaan met onze wachtwoorden. Het apparaat controleert of de website betrouwbaar is en weigert de inlogpoging als deze niet overeenkomt met de echte website. Phishing krijgt hierdoor bijna geen kans meer.
De toekomst voor Passkey ziet er veelbelovend uit, maar het is belangrijk dat meer websites deze identificatiemethode ondersteunen. Bekende diensten zoals PayPal, eBay en WordPress ondersteunen Passkey al. Deze nieuwe methode maakt de weg vrij voor een wachtwoordloze én bovenal veiligere toekomst.