Zwakke wachtwoorden: technisch probleem of personeelsprobleem?

We hebben al decennialang een haat/haat-verhouding met wachtwoorden. Dat geldt niet alleen voor de privé-situatie, maar vooral ook op het werk. Moeilijke wachtwoorden worden vergeten en dan moet de IT-afdeling inspringen en allerlei toeren uithalen om accounts toch nog te behouden. Maar simpele wachtwoorden creëren een zwakke schakel in de beveiligingsketen die de IT-afdeling heeft aangelegd.

Dat zwakke wachtwoorden nog altijd een groot probleem zijn, is sinds januari weer even pijnlijk duidelijk. Op 12 januari was het groots nieuws: RTL Nieuws-redacteuren hackten social media accounts van politici. Nou ja, hacken is misschien een groot woord. De redacteuren hebben de inloggegevens die eerder zijn gestolen bij de grote hacks van bijvoorbeeld LinkedIn, Dropbox en Adobe, en die nu gemakkelijk te vinden en te achterhalen zijn, ingevoerd bij verschillende andere sociale media-platformen. Bij meerdere Nederlandse politici was het prijs: niet alleen gebruiken deze politici klaarblijkelijk voor meerdere accounts exact dezelfde inloggegevens, ook nog eens hadden zij deze gegevens, zelfs na de dringende waarschuwingen van LinkedIn na zijn hack in 2012, en opnieuw in mei 2016, nooit aangepast. Wat kunnen we hier nu precies uit afleiden?

Nou, eigenlijk dat de situatie van wachtwoordgebruik sinds 1998 niet echt is veranderd. Ondanks de inmiddels miljoenen adviezen en waarschuwingen die zijn verspreid. Mensen gebruiken nog steeds zwakke wachtwoorden, die gemakkelijk door een pc te kraken zijn. Deze wachtwoorden gebruiken zij bovendien voor meerdere (online) accounts. Met een beetje pech zowel voor hun eigen privé-accounts als ook voor accounts die zakelijk worden gebruikt. En ze wijzigen de wachtwoorden nagenoeg nooit, zelfs niet nadat een service waarvoor deze wachtwoorden gebruikt zijn, blijkt te zijn gehackt.

Het geval van de politici drukt ons met ons neus op de feiten. Zelfs hoogopgeleide mensen, die de vele waarschuwingen toch moeten hebben kunnen begrijpen, houden er het slechtst denkbare wachtwoordbeleid op na. Dat zij daarin niet alleen staan moge duidelijk zijn. Een paar dagen na het nieuws over de gehackte politici werd het nieuws bekend dat in 2016 het populairste wachtwoord nog altijd het zeer eenvoudig te raden of te kraken ‘123456’ is (een interessant overzicht van de tijd die nodig is om zwakke wachtwoorden te kraken, vind je hier).

Dat dit het geval is, is niet onbegrijpelijk. Al jarenlang vragen wij (security-experts) gebruikers om lange wachtwoorden te verzinnen, het liefst met gebruik van zowel hoofdletters als kleine letters en speciale tekens. En dan voor elk account een andere. Oftewel: moeilijk om te verzinnen, onmogelijk om te onthouden. Wiskundige berekeningen laten zien dat de lengte van een wachtwoord overigens belangrijker is dan het gebruik van speciale tekens. Hoewel dat wachtwoorden (of liever: wachtzinnen) makkelijker maakt om te onthouden, is dat een schrale troost als je er – zoals de gemiddelde internetter en werknemer in 2016 – tientallen moet onthouden.

Veel mensen maken om die reden een lijstje aan met alle inloggegevens die zij hebben. Vaak gebeurt dat in een simpel Word-bestand. Dat is ten zeerste af te raden. Bijna alle malware scant documenten op de pc die zij net hebben weten te infecteren op interessante gegevens, en inloggegevens zijn dan absoluut niet veilig. En denk aan het risico van ransomware: als je document met al je wachtwoorden wordt versleuteld, kun je helemaal nergens meer bij.

Een iets beter idee is het bijhouden van een fysiek lijstje. Maar hier zitten ook grote nadelen en gevaren aan. Het meest voor de hand liggende is een inbreker, die de lijst naast de computer aantreft en die dus niet alleen je huis, maar ook je bankrekening met behulp van online bankieren kan plunderen of je identiteit kan stelen. Op kantoren hangen vaak post-its aan beeldschermen met daarop de inloggegevens van de betreffende pc. Superhandig voor de inbreker die de pc meeneemt: nu kan hij hem na de roof direct gaan gebruiken!

Een praktischere oplossing is een Password Manager. Dat is een programma dat sterke wachtwoorden voor je accounts kan verzinnen, en de inloggegevens sterk versleuteld in een digitale kluis bewaart. Die kluis kan zich in de cloud bevinden (bijvoorbeeld LastPass). Voordeel hiervan is, dat je de inloggegevens altijd en overal kunt oproepen. Nadeel is dat je volkomen afhankelijk bent van de bertouwbaarheid van de service, die eigenlijk een soort zwarte doos is. Zo heeft LastPass in het verleden al een last gehad van een ernstig beveiligingslek (Heartbleed).

Er zijn ook Password Managers die de kluis met wachtwoorden opslaan op de eigen pc. Het voordeel hiervan is dat de gegevens lokaal opgeslagen staan en daarmee veel minder makkelijk zijn aan te vallen. De kluis is ook niet zomaar zichtbaar voor malware, en door de sterke AES-versleuteling is kraken uitgesloten. De wachtwoordkluis is alleen wel gebonden aan je eigen pc, dus even inloggen op de pc van een collega is niet zomaar mogelijk.

Voor alle Password Managers geldt overigens wel één groot nadeel: je moet er een heel lang en sterk wachtwoord voor verzinnen, dat je absoluut nooit mag vergeten. En dat is dan weer een zeer grote uitdaging voor IT-afdelingen, waarvoor een goede oplossing moet worden bedacht.

Deze blog is ingezonden door Eddy Willems, Security Evangelist bij G DATA.