Paswoorden zijn hatelijk. Mensen vergeten ze. Hackers stelen ze. Twitter raakte er dit jaar 250.000 kwijt en Evernote, een onlinenotitieboekje, moest er na een kraak 50 miljoen resetten. Veel bedrijven blijken de paswoorden van hun gebruikers op te slaan zonder ze 'in te zouten', dat betekent: er extra gegevens aan toevoegen om hackers af te houden. Soms worden de paswoorden zelfs helemaal ongecodeerd opgeslagen.
...

Paswoorden zijn hatelijk. Mensen vergeten ze. Hackers stelen ze. Twitter raakte er dit jaar 250.000 kwijt en Evernote, een onlinenotitieboekje, moest er na een kraak 50 miljoen resetten. Veel bedrijven blijken de paswoorden van hun gebruikers op te slaan zonder ze 'in te zouten', dat betekent: er extra gegevens aan toevoegen om hackers af te houden. Soms worden de paswoorden zelfs helemaal ongecodeerd opgeslagen. Bedrijven vragen vandaag moeilijker paswoorden: een minimaal aantal tekens, een verplichte combinatie van cijfers en letters, hoofd- en kleine letters. Maar de argeloze en drukbezette internetgebruiker wil zo weinig mogelijk tijd verspelen aan beveiliging: onderzoek leert dat de gemiddelde surfer voor 25 internetaccounts maar zeven paswoorden gebruikt. Vaak zijn dat dan nog gemakkelijk te kraken variaties op hetzelfde woord: 'Wortels', 'Wort1ls', 'Wort2ls', enzovoort. De zoektocht naar alternatieven is niet alleen dringend, maar mogelijk ook lucratief. Google en andere mastodonten zoals PayPal of hardwareproducenten zoals LG en Lenovo hebben de FIDO Alliantie opgericht om nieuwe authenticatiemiddelen te ontwikkelen in de vorm van allerlei gadgets. Ze denken aan USB-sticks, of aan chips verwerkt in gsm-tasjes of andere persoonlijke spullen. Google werkt bijvoorbeeld aan een ring met een chip erin. Het probleem van hardware is dat ze gemakkelijk gestolen of gekraakt kan worden. Armbanden, ringen, smartphones en computers zijn toppers in de categorieën gestolen en verloren voorwerpen. Gebruikers kunnen hun ontvreemde accounts of toestellen misschien wel blokkeren, maar soms hebben de dieven aan één moment genoeg om schade aan te richten. Enkele alternatieve beveiligingen maken gebruik van biometrische gegevens die in theorie uniek zijn voor elke gebruiker. In de vorige week gelanceerde iPhone5s heeft Apple voor het eerst een sensor ingebouwd die de vingerafdruk van de eigenaar herkent. De TouchID is ingebouwd in de 'thuisknop'. Eén druk daarop en het toestel is ontgrendeld. Een aankoop in iTunes? Bevestigen met de vingerafdruk, graag. Begin september lanceerde het Canadese bedrijf Bionym de Nymi, een armband die de hartslag herkent. De technologie maakt gebruik van het individuele en unieke PQRST-patroon: de vijf terugkerende pieken en dalen die verschijnen in elk elektrocardiogram (ECG). Het uitzicht ervan is afhankelijk van kenmerken zoals de grootte en de vorm van het hart en de plaats van dat orgaan in het lichaam. Een hogere hartslag geeft een ECG met een hogere frequentie, maar verandert niets aan het PQRST-patroon. Het Advanced Institute of Industrial Technology in Tokio ontwikkelde zelfs een stoel die - met 99 procent zekerheid - de unieke vorm van het achterste van de gebruiker herkent. Deze biometrische gegevens kunnen de veiligheid verhogen. Maar wanneer ze misbruikt worden, is de kans op schade veel groter. De gegevens kunnen gekopieerd worden, bijvoorbeeld door iemands vingerafdrukken af te nemen die zijn achtergelaten op een aangeraakt voorwerp of een vel papier. Een nieuw paswoord aanvragen is een vervelende zaak, maar wat als dieven aan de haal gaan met de digitale versie van uw netvlies of uw vingertop? Een mogelijke oplossing is om paswoorden en gadgets aan te vullen met iets anders, bijvoorbeeld een code die verstuurd wordt naar een gsm, of die geproduceerd wordt door een app. Toch zijn er ook bedrijven die in een wijde boog rond elke slimme software lopen. Liever concentreren ze zich op gebruiksvriendelijker paswoorden. Ze doen een beroep op het visuele geheugen, eerder dan op het verbale. Veel Samsungsmartphones vragen om een 'doedel' op te lossen in plaats van een code in te voeren. Het jonge Britse bedrijf PixelPin vraagt gebruikers om een reeks van voorwerpen in een geprogrammeerde volgorde te selecteren uit een afbeelding die ze hebben opgeladen. De bank Barclays werkt met meerkeuzevragen die een gedetailleerde kennis van het verleden van de klant vereisen. Als u dan toch de naam van uw kat wilt gebruiken als paswoord - de topper, volgens Google -, probeer dan tenminste te onthouden op welke datum het beest voor het eerst gevaccineerd werd. VERTALING HANNES CATTEBEKE, ILLUSTRATIE BART SCHOOFS; ©The EconomistIn Japan werd een stoel ontwikkeld die de unieke vorm van je achterste herkent.