Wachtwoordwaan
"Als beveiliging van belang is, vertrouw je niet op een wachtwoord."
Recentelijk hadden ze weer wat nieuws bedacht: mijn nieuwe wachtwoord moest bestaan uit een combinatie van cijfers en letters met een minimale lengte van 8 tekens. En voor het gemak mochten de cijfers niet aan het begin of einde van het wachtwoord staan, zodat ik ze niet een volgnummer kon geven (wachtwoord1, wachtwoord2). Mijn oplossing: een afkorting, gevolgd door mijn postcode. Maar is dit nu een sterk wachtwoord?
Hoe meer je met computers te maken hebt, hoe meer wachtwoorden je moet genereren. Inmiddels is het al zo uit de klauwen gegiert dat ik mijn toevlucht heb moeten zoeken tot een hulpprogramma, die met één wachtwoord een hele verzameling beheert. Hiermee creëer ik dus een ketenafhankelijkheid: Met het goed raden van mijn hoofdwachtwoord komt ineens enorme verzameling aan wachtwoorden te voorschijn. Ik kan echter niet anders.
Bedenkers van password policies zitten vast in een raamwerk en het wordt tijd dat ze eens gaan nadenken over het doel, in plaats van het middel: Als beveiliging van belang is, vertrouw je niet op een wachtwoord. Als ik inlog met een userID en wachtwoord (soms nog steeds verkeerd vertaald als 'paswoord'; volgens mij een anglicisme), dan is dat een beperkte vorm van beveiliging. Je ziet dan ook dat mensen bijvoorbeeld geneigd zijn om onder elkaars account in te loggen. Naïeve systeembeheerders proberen dit tegen te gaan met 'zachte' beveiliging, door dit te verbieden (goed idee!) of een ingewikkelde wachtwoordbeveiligingsbeleid te verzinnen (elke dertig dagen aanpassen, steeds nieuw combinatie, minimaal acht karakters, twee alfa-numerieke karakters). Het probleem is dat mensen zich in allerlei bochten moeten wringen om nog een goed wachtwoord te verzinnen. Bovendien helpt het niet tegen een nieuwe aanval.
Laat ik duidelijk zijn: het is goed om tegen 'zwakke wachtwoorden' zoals data, woorden uit een woordenboek of telefoonnummers op te treden. Het verplichten van heel ingewikkelde wachtwoorden zorgt er echter alleen maar voor dat mensen hun moeilijk verzonnen wachtwoord gaan opschrijven.
Typische voorbeelden van sterke wachtwoorden zijn bijvoorbeeld 'de eerste letter van een makkelijk te onthouden zin' zoals 'FmttmAlmpats' ("Fly me to the moon. And let me play among the stars", bekend van Frank Sinatra). Als je dan ook nog 'fonetische substitutie' gebruikt heb je een bijna niet te kraken wachtwoord, dat makkelijk te onthouden is: verander de 'to' in '2' (van two, zelfde uitspraak) en de 'and' in een ampersand (&), verander 'stars' in twee sterretjes (**) en je krijgt dan 'Fm2tm&lmpat**'. Geloof mij, hier is iedere passwordpolicy blij mee, als hij natuurlijk past...
Nog enkele voorbeelden, met ideeën die als basis kunnen dienen: n8w8 (nachwacht), tuin# (tuinhekje), H2O-stof (water-stof), 4beeld (het Engelse vier -four- spreek je uit als 'voor').
Het doel van een wachtwoord, want daar ging het over, is om te zorgen dat de gebruiker geauthenticeerd wordt en daarmee geautoriseerd. Met andere woorden: Hoe weet het systeem wie er aan het toetsenbord zit(authenticatie) en als dit zeker is kan hem of haar bepaalde taken worden toestaan (autorisatie), zoals geld overmaken van een bankrekening.
Als deze authenticatie zo van belang is (zoals bij je bankrekening!) moet je dus zorgen dat je het systeem niet of nauwelijks voor de gek kunt houden. Hiervoor is gewoon een oplossing, die in jargon tokens heten: smartcards, badges, vaak gecombineerd met een PIN-code: een wachtwoord van slechts 4 (soms 5) cijfers! Blijkbaar is de token zo sterk dat je er nog een relatief zwak wachtwoord voor nodig hebt om hem te beveiligen. Sommige tokens zijn zelfs zo sterk dat ze op zichzelf staan: biometrische tokens, zoals bijvoorbeeld vingerafdrukken (hierbij is de zwakste schakel de biometrische leesapparatuur, zoals we uit films wel kennen, waarbij ogen of vingers vervangen of afgehakt worden).
Mensen met ingewikkelde password-policies moesten maar eens gaan nadenken over tokens: Met dezelfde badge waarmee je toegang krijgt tot het gebouw, moet je ook inloggen. En als je mensen dwingt deze badge altijd bij zich te hebben, kunnen ze hem ook niet laten zitten als ze naar het toilet gaan ofzo. Daarom moet je met dezelfde kaart koffie halen, in de kantine je lunch betalen en inloggen op je werkstation.
Onze moderne besturingssystemen zijn allemaal in staat om de hoogste vorm van protectie te ondersteunen. En als de buitenrand (het werkstation) voldoende sterk beveiligd is, kun je intern met 'normale' wachtwoorden toe, zoals eerder getoond.
Beveiliging is een kostenafweging. En als het afbreukrisico aanzienlijk is moet je dit dus niet overlaten aan het toeval, zoals een opgeschreven wachtwoord in een agenda. De zwakste schakel in de IT is wederom de mens, of zoals ik ooit eens las: Het grootste beveiligingslek is een open mond. Zorg dus dat je daar niet afhankelijk van bent.
