Weg met wachtwoorden

En alweer een paar acties om ons te helpen om van wachtwoorden af te komen: Obama wil ervan af en Microsoft zegt dat Windows 10 overweg kan met andere manieren van aanmelden. Dat is niet voor het eerst en met een goede reden. We willen af van wachtwoorden. Want wachtwoorden zijn ondingen. Om meer dan één reden. De belangrijkste is dat wachtwoorden zelden geheim blijven. En dat is eigenlijk de bedoeling: een wachtwoord is het geheim dat je deelt met iets of iemand om te bewijzen dat jij rechtmatig toegang mag hebben tot eigendommen van die ander. Een wachtwoord krijg je van die ander die je daarmee een stuk vertrouwen schenkt, dat je op een later moment mag gebruiken. Je identiteit en je wachtwoord zorgen ervoor dat je iets kunt doen. En zolang je dat vertrouwen niet misbruikt, is er niets aan de hand.

Maar heel vaak is dat vertrouwen misplaatst, omdat je het wachtwoord wel eens aan iemand anders geeft. Of omdat je het wachtwoord ergens noteert en je die notitie laat slingeren. Het is dan niet eens zeker dat iemand anders je wachtwoord gebruikt, maar het vertrouwen is wel een stuk lager.

En natuurlijk worden wachtwoorden ook wel eens aan iemand ontfutseld, door een leidinggevende, of door iemand die je misleidt, maar dat zijn maar bijkomstigheden. Die geven alleen maar aan dat het te makkelijk is om je wachtwoord te laten uitlekken.

Worden wachtwoorden gekraakt? Nauwelijks. In theorie gebeurt dat wel, maar in de praktijk? Nee hoor, dat is de minste zorg. Daar zal ik in een volgende blog iets verder op ingaan. Feit is wel dat een wachtwoord geen degelijke manier is om vertrouwen aan te ontlenen. De rechtmatige gebruiker is op dit punt onvoldoende betrouwbaar.

Zijn die nieuwe initiatieven dan de oplossing? O, vast wel. Maar nieuw zijn die initiatieven allang niet meer. Ooit riep Microsoft al dat Windows Vista af zou rekenen met wachtwoorden en er zijn inmiddels legio oplossingen om zonder wachtwoorden in te loggen op sites en in applicaties. Maar voor al die oplossingen hebben we wel te maken met een fundamenteel probleem. Wie geeft nu die wachtwoorden uit? Dat is de kern van de zaak, iemand die nu wachtwoorden verstrekt, zal die rol moeten overgeven aan een andere partij. Want je kunt wel zeggen dat je voortaan iets anders dan een wachtwoord wilt laten gebruiken, maar dan moet daar wel de mogelijkheid voor bestaan. En dan moeten de gebruikers van die dienst wel met die oplossing uit de voeten willen en niet voor elke applicatie een andere oplossing nodig hebben. En dat vergt vertrouwen van de leverancier van die oplossing en vertrouwen op het feit dat de betreffende methode ook op de juiste manier wordt uitgevoerd.

Zolang iemand er niet op vertrouwt dat een ander misschien wel beter is in het verstrekken van wachtwoordvervangers, dan zullen we niet snel van wachtwoorden afkomen. Maar naar onze mening kunnen we daar wel iets aan doen. Ook wij willen af van wachtwoorden en er zijn inderdaad al heel veel mogelijkheden om daar werk van te maken. Moderne federatieve protocollen op internet, slimme apps en tokens. Wij zullen in ieder geval proberen om de Weg met Wachtwoorden boodschap niet alleen te verkondigen, maar ook toe te passen.

André Koot, a.koot@strict.nl

Links: 

Obama wil oplossing voor wachtwoorden

Microsoft voorziet Windows 10 van FIDO ondersteuning