Woensdag 23/10/2019

Paswoorden zijn een technologie van de jaren 70, die niet geschikt is voor de systemen van vandaag

Beeld kos

Bart Preneel is als expert computer-beveiliging verbonden aan de KU Leuven COSIC (Computerbeveiliging en Industriële Cryptografie) en iMinds (het digitale onderzoekscentrum van Vlaanderen). "Door telkens te hameren op het kiezen van veilige paswoorden, wordt de verantwoordelijkheid voor de hacks verschoven naar de gebruikers", schrijft hij.

Deze week komen alle hackers in Las Vegas bij elkaar voor Black Hat. We worden dan ook overstelpt met nieuwsberichten over het hacken van USB-sticks, draagbare fitnessapparaten, auto's en zelfs vliegtuigen. De superhack van de week is minder origineel: Russische cybercriminelen zouden erin geslaagd zijn ongeveer 1,2 miljard namen en wachtwoorden en meer dan 500 miljoen e-mailadressen te bemachtigen. Dit soort aanvallen is zeker niet nieuw. Maar zelfs als we niet weten hoeveel gebruikers hierbij betrokken zijn en hoeveel gevoelige informatie met deze paswoorden beschermd wordt, doet de schaal ervan ons duizelen.

Al even voorspelbaar zijn de reacties. Experts manen gebruikers aan voor elke site een ander paswoord te gebruiken, steeds langere paswoorden te kiezen met speciale tekens en die dan ook nog regelmatig te veranderen. Het klinkt zeer overtuigend - daarom zijn het ook experts - maar de gemiddelde gebruiker slaat dit advies in de wind, omdat het gewoon niet werkbaar is. Een meer praktische oplossing is overschakelen naar een tool die jouw paswoorden aanmaakt en beheert, zoals LastPass of Password Safe. Misschien is dit incident de perfecte aanleiding om hier eindelijk eens werk van te maken. Maar begrijp dan wel dat de toegang tot die tool beschermd wordt door een paswoord, dat je dus heel goed moet kiezen en dat je vooral niet mag vergeten. En uiteindelijk zullen de hackers hun pijlen wellicht toch gaan richten op dergelijke tools.

Door telkens te hameren op het kiezen van veilige paswoorden, wordt de verantwoordelijkheid voor de hacks verschoven naar de gebruikers. Die gebruiker heeft natuurlijk een zekere verantwoordelijkheid. Wie een paswoord zoals '123456' of 'password' kiest, kan even goed een briefje op de voordeur hangen met de mededeling dat de sleutel van de achterdeur onder de mat ligt. Maar de kern van de zaak is dat paswoorden een technologie van de jaren 70 zijn, die niet echt geschikt is voor de informatiesystemen van vandaag.

Verouderde technologie
Een eenvoudig paswoord dat goed gekozen en beschermd is, biedt een redelijk niveau van veiligheid. Maar voor financiële of medische gegevens en voor e-mail zijn betere oplossingen nodig. Wie toegang tot zijn website afhankelijk maakt van een paswoord, moet er ook voor zorgen dat die paswoorden adequaat beveiligd worden op de server. Hier wringt het schoentje: er wordt onvoldoende geïnvesteerd in oplossingen om paswoorden beter te beveiligen. En omdat we paswoorden voor tal van websites hergebruiken, krijgen we een globaal risico dat veel groter is dan toegang tot één website.

Waarom blijft het aantal toepassingen dat paswoorden gebruikt verder groeien? Omdat paswoorden zeer goedkoop zijn en een lage drempel bieden om nieuwe gebruikers te registreren. Er bestaan betere oplossingen: zo gebruiken de Belgische banken 2-factor authenticatie met een extra stap via een tweede toestel. Maar dit is duurder voor de dienstverlener en omslachtiger voor de gebruiker. Recent onderzoek heeft geleid tot nieuwe oplossingen die op zich goedkoper en gebruiksvriendelijker zijn, maar die vragen van de dienstverlener technische aanpassingen die tijd en geld kosten. Een perfect excuus om niets te doen.

Europees ingrijpen
We stellen dus vast dat er technische oplossingen bestaan waar uiteindelijk iedereen beter van wordt, maar die omwille van economische beslissingen op microniveau niet worden ingevoerd: de vrije markt faalt. Op dat moment moet de overheid ingrijpen. Gezien de aard en de omvang van het probleem zou dit best op Europees niveau gebeuren. Omdat de technologie complex is en snel verandert, lijkt het niet haalbaar om concrete oplossingen te verplichten. Een betere aanpak is om dienstenaanbieders aansprakelijk te stellen voor het verlies van paswoorden of persoonlijke gegevens. Op die manier zullen ze meer investeren in beveiliging en sneller geneigd zijn om nieuwe technologieën te gebruiken. Dit is helaas niet zo eenvoudig als het klinkt, omdat onze informatiesystemen erg complex zijn geworden en er een grote onderlinge afhankelijkheid bestaat tussen de verschillende bouwblokken.

Ook moeten we beseffen dat niet alleen de georganiseerde misdaad de zwakheden van paswoorden uitbuit. Uit de door Snowden gelekte documenten hebben we geleerd dat ook overheden dit doen, vermoedelijk op nog grotere schaal. Die overheden moeten hier een keuze maken: vinden zij het belangrijker om op grote schaal te kunnen inbreken, of om hun eigen systemen en hun burgers te beschermen?

De groeiende maatschappelijke kost van de superhacks zal ons uiteindelijk geen andere keuze laten dan paswoorden beter te beschermen en geleidelijk te vervangen door betere technologieën. Maar de eindgebruiker de schuld geven, is natuurlijk veel eenvoudiger.

Meer over

Wilt u belangrijke informatie delen met De Morgen?

Tip hier onze journalisten


Op alle verhalen van De Morgen rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234