Geef mensen niet langer de schuld voor het kiezen van

Geef mensen niet langer de schuld voor het kiezen van slechte wachtwoorden – het is tijd dat websites meer doen om te helpen

Damir Khabirov/Shutterstock

Jaar na jaar blijken wachtwoorden als “123456”, “qwerty” en zelfs “wachtwoord” de populairste keuzes te zijn en 2021 was geen uitzondering.

Deze rapporten komen over het algemeen met hetzelfde advies aan gebruikers: maak betere wachtwoorden om uw veiligheid online te beschermen. Dit is misschien wel waar, maar het is ook tijd om te beseffen dat het jarenlang promoten van deze boodschap weinig of geen effect heeft gehad.

Om de zaken te verbeteren, denk ik dat we moeten stoppen met mensen de schuld te geven en in plaats daarvan de verantwoordelijkheid bij websites en diensten moeten leggen om een betere “cyberhygiëne” aan te moedigen en af te dwingen.

Lees meer:
Meest voorkomende wachtwoorden van 2021: dit is wat u moet doen als de uwe de lijst haalt

Natuurlijk is het makkelijk om de gebruikers met de vinger te wijzen – zij zijn uiteindelijk degenen die de slechte wachtwoordkeuzes maken. Maar tegelijkertijd is het nu algemeen bekend dat mensen vaak deze keuzes maken. Dus is het redelijk om aan te nemen dat zonder begeleiding of beperkingen om zwakke wachtwoorden te voorkomen, ze waarschijnlijk dezelfde gewoonten zullen blijven houden.

Niettemin hebben we opeenvolgende generaties gebruikers die niet wordt verteld hoe een goed wachtwoord eruit ziet, noch wordt voorkomen dat ze luie keuzes maken. Het is niet moeilijk om voorbeelden te vinden van websites die zonder klagen de slechtste wachtwoorden accepteren. Het is even gemakkelijk om sites te vinden die van gebruikers verlangen dat zij wachtwoorden aanmaken – maar hen daarbij geen begeleiding geven. Of sites die wel feedback geven als een gebruiker een zwak wachtwoord heeft gekozen, maar het toch toestaan.

Hoe aanbieders het beter kunnen doen

Als u verantwoordelijk bent voor een website of een dienst die het gebruik van “123456”, “qwerty” of “password” accepteert, is het tijd om uw systeem te herzien. Als u gebruikers laat wegkomen met slechte keuzes, zullen ze geloven dat ze acceptabel zijn en doorgaan met deze slechte praktijken.

Integendeel, door sterkere protocollen te implementeren, kun je helpen het probleem bij de bron aan te pakken. Websites zouden processen moeten hebben om slechte wachtwoorden eruit te filteren – een “zwarte lijst” van veelvoorkomende keuzes.

En hoewel het nuttig kan zijn om gebruikers richtlijnen te geven bij het aanmaken van wachtwoorden, moeten websites niet langer aandringen op zaken waarvan gezaghebbende organisaties zoals het Britse National Cyber Security Centre en het Amerikaanse National Institute of Standards and Technology nu zeggen dat ze niet moeten worden afgedwongen. Zij raden bijvoorbeeld af om complexiteit van wachtwoorden te eisen (zoals hoofdletters, kleine letters, cijfers en leestekens).

Beide organisaties geven aan dat het langer maken van wachtwoorden belangrijker is dan complexiteit. Dit komt omdat langere wachtwoorden beter bestand zijn tegen brute force cracking (waarbij aanvallers alle letter-, cijfer- en symboolcombinaties proberen om een match te vinden) en minder complexe wachtwoorden makkelijker te onthouden zijn.

Toch blijven veel sites complexiteit eisen en bovengrenzen stellen aan de lengte, waarbij ze vaak perfect redelijke wachtwoordkeuzes blokkeren die onze browsers en andere tools automatisch voor ons kunnen genereren.

Een jonge vrouw die op een bank ligt en een smartphone gebruikt.

Zwakke wachtwoorden maken veel mensen kwetsbaar voor hackers.
Undrey/Shutterstock

Je vraagt je misschien af waarom dit belangrijk is. Als mensen zwakke wachtwoorden willen kiezen en zichzelf in gevaar brengen, waarom zou dat dan het probleem van de provider worden? Eén argument is dat als een dienst belast is met de bescherming van de persoonsgegevens van gebruikers (zoals providers zijn door GDPR), het niet veel zin heeft om gebruikers zichzelf kwetsbaar te laten maken door zwakke wachtwoorden te kiezen.

Het is ook de moeite waard om op te merken dat in sommige gevallen een zwak wachtwoord van een gebruiker een aanvaller een voet aan de grond kan geven in het systeem van waaruit hij andere zwakheden kan uitbuiten en zijn toegang kan vergroten. Het is dus aantoonbaar in het belang van de provider om deze mogelijkheden tot een minimum te beperken en daarbij de gegevens van anderen te beschermen.

Lees meer:
Vier manieren om ervoor te zorgen dat uw wachtwoorden veilig en gemakkelijk te onthouden zijn

Wachtwoorden gaan nergens heen

We zien nu een verschuiving naar wachtwoordloze authenticatie, maar deze naam op zich benadrukt al de dominantie van op wachtwoorden gebaseerde methoden. Hun dood werd meer dan 15 jaar geleden voorspeld, en toch zijn ze er nog steeds. Het is veilig om aan te nemen dat ze nog wel een tijdje bij ons zullen zijn.

We staan dus voor de keuze: collectief de verantwoordelijkheid nemen om de basis op orde te krijgen – wat inhoudt dat gebruikers en providers actie ondernemen – of de collectieve inspanning handhaven om onze schouders op te halen en te klagen over het gedrag van gebruikers.

Voor degenen die op wachtwoorden gebaseerde systemen, sites en diensten leveren en exploiteren, is de oproep tot actie hopelijk duidelijk: controleer wat uw site toestaat en kijk of het beter moet. Als het zwakke wachtwoorden doorlaat, verander dit dan, of doe op zijn minst iets dat gebruikers probeert af te schrikken om ze te kiezen.

Als je dit leest als gebruiker en je bent op zoek naar goed advies over het maken van betere wachtwoorden, dan geeft het Britse National Cyber Security Centre een aantal nuttige tips. Deze omvatten het combineren van drie willekeurige woorden om jezelf langere maar meer memorabele wachtwoorden te geven, en het veilig opslaan van je wachtwoorden in je browser om de last van het onthouden van wachtwoorden op meerdere sites verder te verminderen. Dus zelfs als providers niet genoeg doen, zijn er nog steeds enkele dingen die u kunt doen om uzelf te beschermen.

The Conversation

Steven Furnell is aangesloten bij het Chartered Institute of Information Security.

Ubergeek Loves Coolblue

Zou je na het lezen van deze artikel een product willen aanschaffen?
Bezoek dan Coolblue en ontdek hun uitgebreide assortiment.