Dit is het eerste deel in een drieluik over credentials. Deze zijn bedoeld om een claim te bevestigen of tenminste aannemelijker te maken. In de informatiebeveiliging worden credentials vaak gebruikt om een identiteit vast te stellen voordat toegang tot bepaalde informatie of tot een bepaald systeem wordt gegeven. Credentials worden vaak in drie groepen geclassificeerd: iets dat je weet, iets dat je hebt en iets dat je bent. Dit eerste deel gaat in op de eerste groep: die van iets dat je weet.
Internetbankieren, verzekeringen, webwinkels: je moet je steeds vaker identificeren op het web. Je logt in op de website van een organisatie voor dat je persoonsgebonden handelingen kunt uitvoeren. Jij bent blij dat mensen zich niet als jou voordoen maar als er kosten aan een actie verbonden zijn, wil het betreffende bedrijf graag weten wie jij bent. Vanuit het oogpunt van beveiliging is deze veelgebruikte handeling al buitengewoon interessant: het inloggen.
Door het invullen van een naam en wachtwoord maak je gebruik van iets dat je weet, om een systeem ervan te overtuigen dat jij inderdaad bent wie je zegt. Het succes van deze aanpak hangt af van het geheim houden van je wachtwoord. Je loginnaam moet uniek zijn en je wachtwoord mag alleen bij jou bekend zijn. Een wachtwoord moet ook niet makkelijk kunnen worden geraden. Geboortedata, adressen of namen van familie en vrienden zijn voorbeelden van wachtwoorden die een ander makkelijk zou kunnen raden. Computers, met steeds meer rekenkracht, zijn ook steeds beter geworden in het raden van wachtwoorden. Het is dus belangrijk dat een wachtwoord een bepaalde complexiteit kent. Minimaal acht tekens en er moeten hoofdletters, kleine letters en cijfers in voorkomen. Soms worden er nog hogere eisen gesteld. Bij een of twee wachtwoorden is dit misschien nog te doen voor de meeste mensen maar als er meerdere onthouden moeten worden gaat het mis. Wachtwoorden worden opgeschreven of hetzelfde wachtwoord wordt gerecycled.
Het nadeel van opschrijven ligt voor de hand. Jij bent niet meer de enige die het weet. Het staat op papier en een belangrijk fundament van wachtwoorden – alleen jij weet het – is verdwenen. Het valt collega’s op dat je bij het inloggen een papiertje uit je ladenkast of portemonnee haalt. Het hergebruiken van een wachtwoord lijkt minder ernstig. Het probleem bij hergebruiken ligt dan ook op een ander vlak: hoe netjes gaat een systeem om met je wachtwoord? Een bank zal erg haar best doen maar bij een magazine of sociaal netwerk liggen de prioriteiten heel ergens anders. Als het één keer mis gaat, lopen alle accounts bij alle weborganisaties gevaar. Het regelmatig veranderen van een wachtwoord vermindert dit risico, maar helpt weer niet bij het onthouden.
Het gebruiken van zinnen kan een oplossing bieden. In tegenstelling tot ‘password’ wordt er dan gesproken van een ‘passphrase’. Een zin is krachtiger dan een wachtwoord omdat deze langer is en in veel gevallen lastiger om te raden. “Liesje leerde Lotje lopen langs de lange Lindenlaan.” is voor een Nederlander misschien een tongbreker maar zal zeker voorkomen op een lijst met veel gebruikte passphrases. Ook bij een passphrase moet dus gekozen worden voor een tekst die lastig kan worden geraden. Het gebruiken van afkortingen en nummers maakt dit mogelijk.
Ook wordt er gebruik gemaakt van andere technieken dan wachtwoorden. De bekendste zijn de visuele en auditieve aanpak maar ook wordt steeds vaker gebruik gemaakt van patronen. Het selecteren van plaatjes in plaats van letters is een voorbeeld van de visuele insteek. Daarnaast kennen we de ‘swipe’-achtige technieken van de mobiele platformen: door op een touch-screen een bepaald patroon te tekenen wordt je mobiel of tablet geopend.
In volgende artikelen zal worden in gegaan op de technische aspecten van het wachtwoord. Hoe worden wachtwoorden bedreigd en wat kan er aan gedaan worden? Onderwerpen als CAPTCHA, Hash functies, cryptografie, etc., zullen dan de revue passeren.