Is de ellende met vergeten wachtwoorden een luxeprobleem? Misschien wel. Maar dat maakt het er niet minder irritant om. Google en andere internetreuzen sleutelen nu aan alternatieve beveiligingsmethoden.
Er zijn weinig dagen waarop het gebruik van wachtwoorden zo risicovol bleek als op 11 september 2001. Die dag boorden twee vliegtuigen zich in het World Trade Center in New York. Het financiële bedrijf Cantor Fitzgerald, dat kantoor hield in het WTC, moest zich niet alleen over het verlies van enkele honderden werknemers zetten, maar ook op zoek gaan naar hun wachtwoorden. Hoewel het zich goed verzekerd dacht te hebben – iedereen moest zijn wachtwoord aan minstens vier collega’s doorvertellen zodat er altijd iemand kon inloggen – kwam Cantor Fitzgerald helemaal lam te liggen.
Het bedrijf wilde zo snel mogelijk weer actief worden op de beurzen waar het zijn geld verdient. Enkele uren na de aanslag had Microsoft een manier klaar om alle mogelijke wachtwoorden van ‘aaa’ tot ‘ZZZ’ uit te proberen op de vergrendelde bestanden. Zo’n procedure nam in die tijd dagen in beslag. Om het algoritme sneller te laten werken, hadden de ICT’ers persoonlijke gegevens en weetjes van de overledenen nodig. Enkele jaren later vertelde de ceo van het bedrijf, Howard Lutnick, in The New York Times hoe hij nabestaanden nog dezelfde dag belde en zonder naar de dood van hun familieleden te verwijzen, probeerde te vissen naar hun huwelijksdatum en de naam van hun hond. Na twee dagen was het bedrijf weer actief.
Bankrekening
We zijn ondertussen vijftien jaar verder. Overheden en bedrijven gebruiken nu veel ingewikkeldere methoden om hun data op internet te beschermen. Ook het aantal programma’s, sites, apps en devices waarop we wachtwoorden moeten invullen, is geëxplodeerd. Toch wordt er vooral bij bankrekeningen nog geregeld met gestolen wachtwoorden gefraudeerd.
De zoektocht naar een goed wachtwoord is dus nog altijd bezig. NRC Handelsblad noemde een doordacht wachtwoordenbeleid misschien wel het beste voornemen voor 2016. Zo ongeveer de enige innovatie die er sinds 2001 op dit domein is gekomen, is de eis van sommige sites om niet zomaar eender welk wachtwoord uit te kiezen maar een combinatie die minstens een hoofdletter en een cijfer bevat. Toch blijven veel mensen voor de meest voor de hand liggende combinaties gaan. Probeer vooral eens ‘1234567’ of ‘Abc’ als u graag iemands mails wilt nalezen.
Tattoos
Redenen genoeg dus om op zoek te gaan naar beveiligingssystemen die wachtwoorden overbodig maken. Jonathan Leblanc van het digitale betalingssysteem Paypall droomde in The Wall Street Journal hardop van sensoren die als tattoos op onze huid zitten, en van capsules die we inslikken en die ons herkennen aan de uniciteit van onze lichaamsstoffen. Concreet werkte het bedrijf evenwel alleen aan een systeem met vingerafdrukken – een scanner daarvoor zit al in sommige smartphones. Ideaal zijn vingerafdrukken niet: sommige detectoren herkennen evengoed een gedetailleerde foto van uw hand. En als de code gestolen wordt, kunt u moeilijk een nieuwe aan- vragen.
Google heeft een veel eenvoudiger proefproject lopen. Wie zijn smartphone daar de toestemming toe geeft, krijgt elke keer een sms’je met een code om in te loggen in zijn mailbox. Eenvoudig en – voor wie zijn smartphone vertrouwt – waterdicht. Zou 2016 dan toch het jaar kunnen worden waarin we eindelijk geen wachtwoorden meer hoeven te onthouden?
DOOR PETER CASTEELS, ILLUSTRATIE BART SCHOOFS
Probeer vooral eens ‘1234567’ of ‘Abc’ als u graag iemands mails wilt nalezen.
