Gebruik wachtwoord als beveiliging nog van deze tijd? - KPMG Nederland
close
Share with your friends

Is het gebruiken van een wachtwoord als beveiliging nog van deze tijd?

Gebruik wachtwoord als beveiliging nog van deze tijd?

We gebruiken allemaal wachtwoorden als beveiliging voor onze accounts, maar hoe veilig is het gebruiken van een wachtwoord eigenlijk?

Gerelateerde content

Programmer working at his computer with computer graphics

Twee weken geleden las ik een nieuwsbericht op nu.nl over een database met 773 miljoen mailadressen en 21 miljoen wachtwoorden die online heeft gestaan[1]. Dit heeft mij aan het denken gezet over de kwetsbaarheid van mijn digitale leven.

Accounts, we hebben ze allemaal en er komen er steeds meer bij

Of het nu een account is bij de Hema of bij Google, overal moet je een wachtwoord voor aanmaken. En, hierbij dient gemak de mens, want het hergebruiken van dezelfde wachtwoorden die makkelijk te onthouden zijn is nog steeds de huidige praktijk voor velen. 

Stel jezelf eens de volgende vragen:

  1. Hoeveel accounts heb ik ongeveer?
  2. Hoeveel verschillende wachtwoorden gebruik ik voor die accounts? 

Het is heel waarschijnlijk dat de antwoorden op deze vragen ver uit elkaar liggen. 

Datalekken, waarom is dit een probleem?

Datalekken waarbij wachtwoorden op straat komen te liggen zijn steeds vaker in het nieuws. Twee van de bekendere datalekken zijn die van Yahoo[2] en Facebook[3]. Miljoenen wachtwoorden van gebruikers zijn hierbij gelekt. Deze wachtwoorden worden in sommige gevallen online verhandeld. Er zijn verschillende partijen die helpen om inzichtelijk te maken welke wachtwoorden, gekoppeld aan een mailadres, zijn uitgelekt. Als je dit voor je eigen account(s) wilt controleren kun je bijvoorbeeld kijken op haveibeenpwnd.com[4]

Als er een datalek is geweest bestaat het risico op wachtwoordfraude. Hierbij wordt geprobeerd om met de gegevens uit het datalek in te loggen op websites als die van Wehkamp of bol.com. Als hetzelfde mailadres en wachtwoord worden gebruikt bij deze websites kunnen er bestellingen worden gedaan met dit account. Vervolgens kan aangegeven worden dat de bestelde goederen op een ander adres afgeleverd worden.

Indien jouw account dus is uitgelekt, staat niet alleen dat specifieke account op het spel, maar ook al jouw andere accounts waar jij hetzelfde wachtwoord gebruikt. Internetfraudeurs zijn namelijk slim genoeg om jouw accounts bij andere websites te achterhalen en kunnen de uitgelekte wachtwoorden gebruiken om in te breken. Het is dus raadzaam om niet alleen je wachtwoord te wijzigen bij een website waar een lek heeft plaatsgevonden, maar ook bij alle andere websites waar je hetzelfde wachtwoord gebruikt. 

Wat zijn de alternatieven voor het gebruiken van een wachtwoord?

De mogelijkheden om een smartphone te beveiligen hebben bijvoorbeeld de afgelopen jaren al een enorme vlucht genomen. Ongeveer 5 jaar geleden voerden wij bijna allemaal nog braaf een toegangscode in om onze smartphone te ontgrendelen of hadden we helemaal geen versleuteling, omdat dat makkelijker was. De eerste iPhone met vingerafdrukscanner kwam in september 2013 op de markt. Dit was het begin van een nieuwe standaard. Op de huidige smartphonemarkt is het lastig een smartphone te vinden die geen vingerafdrukscanner heeft. De meest recente iPhones gooien de vingerafdrukscanner echter alweer overboord en gebruiken gezichtsherkenning.

Dit zijn beide voorbeelden van biometrische ontgrendeling. Bij biometrische ontgrendeling is er echter nog steeds sprake van éénfactorauthenticatie. Er bestaan echter al veiligere manieren om je accounts te beschermen. Wellicht dat je deze methode ook al gebruikt voor bijvoorbeeld je Google account. Google faciliteert namelijk tweefactorauthenticatie. Hierbij wordt bij het inloggen niet alleen om een wachtwoord gevraagd, maar ook een tweede verificatie uitgevoerd. Een ander voorbeeld is de Yubikey[5]. Dit is een sleutelhanger met een unieke key. Deze kan worden gebruikt om te verifiëren dat jij degene bent die het wachtwoord heeft ingevuld. Dit is een van de nieuwere manieren van tweefactorauthenticatie. Een manier die je wellicht bekender voorkomt is het versturen van een sms met een code die moet worden ingevoerd na het wachtwoord. Door het gebruik van tweefactorauthenticatie ben je dus beter beveiligd wanneer je wachtwoord is uitgelekt en iemand anders probeert in te loggen. 

Kijk kritisch naar je wachtwoorden

Om je accounts toch zo veilig mogelijk te houden is het raadzaam om eens kritisch naar je wachtwoorden te kijken. Gebruik je bijvoorbeeld één wachtwoord voor meerdere accounts, overweeg dan om hier verandering in te gaan brengen. Dit hoeft niet allemaal tegelijk, maar kan ook in stappen door bijvoorbeeld elke keer dat je een wachtwoord wijzigt een nieuw wachtwoord te kiezen. Als je bang bent om je wachtwoorden te vergeten kun je ervoor kiezen deze op te slaan in een passwordmanager zoals een iCloud-sleutelhanger[6] of 1Password[7]. Een passwordmanager kun je zien als een digitale kluis waarin je al je wachtwoorden op kunt slaan. Zorg er hierbij wel voor dat het wachtwoord dat je kiest voor je passwordmanager een wachtwoord is dat je nergens anders gebruikt. Als de optie er is om tweefactorauthenticatie te gebruiken is dit aan te bevelen. En mogelijk dat we ons ooit nog gaan autoriseren met twee factoren waar geen wachtwoorden meer bij nodig zijn, bijvoorbeeld door gebruik te maken van een iris scan in combinatie met een Yubikey.

Meer informatie

Heeft u vragen naar aanleiding van deze blog? Neem dan contact op met Mart van Liempd, consultant Forensic Technology, (020) 656 4670 of per e-mail.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

Offerteaanvraag (RFP)