Wachtwoorden zijn passé. Beveiliging met wachtwoorden wordt pas effectief als gebruikers zulke lastige wachtwoorden verzinnen dat ze er een lijstje van bij de pc hangen, heet het in kringen van beveiligingsspecialisten. Onzin, zeggen Cormac Herley en Paul C. van Oorschot.
‘Het wachtwoord is dood’, zie Bill Gates in 2004. Maar zeven jaar later zijn we er nog steeds niet van af, constateren Herley, in dienst van Microsoft, en Van Oorschot van de universiteit van Ottawa. En dat ondanks de bezwaren van beveiligers, die al twintig jaar om alternatieven roepen, en de groeiende weerzin van gebruikers die steeds meer steeds ingewikkelder wachtwoorden moeten onthouden.
Alternatieven hebben weinig ingang gevonden, constateren Herley en van Oorschot ook. Authenticatiemethoden op basis van biometrische gegevens en ‘tokens’, public key infrastructures en grafische varianten op het wachtwoord zijn slechts beperkt geaccepteerd; het gebruik ervan valt in het niet bij inloggen met een wachtwoord.
Wachtwoord heeft ontegenzeglijk voordelen
Er zijn ook goede redenen voor het gebruik van wachtwoorden. Authenticatie met wachtwoorden is eenvoudig op te zetten, goedkoop, makkelijk te begrijpen voor bezoekers en makkelijk in het gebruik. Internet had zonder die karakteristieken nooit kunnen worden wat het nu is. Facebook groeide bijvoorbeeld uit het niets naar 1 miljoen klanten, zonder externe financiering. Zelfs bij lage marginale kosten voor inloggen zou dat onmogelijk zijn geweest, geven Herley en Van Oorschot als voorbeeld.
'We weten niet waar we over praten'
Dat voorbeeld is ook meteen de introductie op de analyse waar het in hun ogen aan schort in de huidige discussie over wachtwoorden. We weten eigenlijk niet waar we over praten. Roepen om een alternatief heeft pas zin als we kunnen specificeren tot welke schade het gebruik van wachtwoorden leidt en waar, wat er precies van een alternatief verwacht wordt, wat dat mag kosten – financieel en in bruikbaarheid – en hoe die kosten zich verhouden tot de opbrengsten.
Een onderzoek langs die lijnen zal ongetwijfeld tot een genuanceerd beeld leiden van de bruikbaarheid van wachtwoorden. Met als belangrijkste conclusie dat de zoektocht naar hét alternatief voor wachtwoorden contraproductief is. ‘De uitermate incorrecte veronderstelling dat “wachtwoorden dood zijn” is schadelijk geweest, doordat daarmee het onderzoek ontmoedigd werd naar het verbeteren van de situatie voor de bijna 2 miljard mensen die ze gebruiken’, bekritiseren Herley en Van Oorschot Gates zeven jaar na dato.
Hoogste tijd om aan wachtwoord te sleutelen
Het is de hoogste tijd om dat onderzoek alsnog te beginnen. Dat moet langs verschillende lijnen, als het aan Herley en Van Oorschot ligt. Bijvoorbeeld langs de lijn, hoe je eigenlijk meet wat een sterk wachtwoord is, hoe sterk een wachtwoord moet zijn bij een bepaalde toepassing en een bepaalde populatie, als je een beperkt aantal keren mag proberen. Onderzoek is ook nodig naar de vraag, hoe vaak het wisselen van wachtwoord nu echt nodig is gegeven de kwetsbaarheid van een toepassing, naar realistische methoden om een veelheid aan sterke wachtwoorden te maken en te onthouden, en naar bijvoorbeeld een robuust wachtwoordmanagementtool dat veel van deze taken kan overnemen.
Er is geen kristallen bol nodig om te voorspellen dat in bepaalde situaties sterkere beveiliging nodig is dan een wachtwoord. Maar door onderzoek valt dat – met de kosten die ervoor gemaakt moeten worden – ook beter te onderbouwen. Zo’n aanpak langs meerdere wegen zal voor de beveiliging meer betekenen dan het steeds maar blijven hameren op de tekortkomingen van het wachtwoord. Als we blijven zoeken naar een alternatief voor het wachtwoord, zijn we over twintig jaar nog net zo ver als we twintig jaar terug al waren, voorspellen Herley en van Oorschot.
Hun pleidooi voor ‘A Research Agenda Acknowledging the Persistence of Passwords’ is online te vinden bij Microsoft Research.
Automatiseringgids