Wachtwoorden toen, nu en in de toekomst: ‘Admin123 kan echt niet meer’
In de serie Cracked by Jordens kijken we naar de cyberveiligheid van consumenten en bedrijven in Nederland. Vandaag behandelen we de evolutie van wachtwoorden.
Published on October 31, 2024
Alles wat nieuw is, is razend interessant! Dat is het motto van onze DATA+ expert Elcke Vels. Ze schrijft verhalen over AI en hoe dat onze maatschappij beïnvloedt, heeft een serie over cyber security en interviewt Nederlandse innovatie maestro’s. Ook onderzoekt ze in haar ‘What if…’ column intrigerende scenario's die afwijken van de status quo.
Je kent het vast: je maakt een account aan voor een online kledingwinkel en moet een wachtwoord bedenken. Het liefst kies je een zo simpel mogelijke combinatie, maar dat mag tegenwoordig niet meer. De eisen worden steeds strenger: er moet een speciaal teken in, minimaal drie cijfers, en soms zelfs een hoofdletter of extra lange reeks. Hoe staat het ervoor met de wereld van wachtwoorden? En passen wachtwoorden nog wel in de toekomst van digitale beveiliging? Wij spraken erover met expert Patrick Jordens. Hij is directeur van de Trusted Third Party (TT3P): een Nederlands bedrijf gespecialiseerd in cybersecurity.
Mensen kiezen het liefst eenvoudige wachtwoorden. Wat zijn de risico's daarvan?
“Als je kijkt naar hoe wachtwoorden zijn begonnen in de jaren negentig, dan waren het aanvankelijk eenvoudige combinaties zoals ‘admin’, ‘1234’, of ‘qwerty’. Mensen waren zich minder bewust van de risico’s, en de technologie rondom wachtwoorden stond nog in de kinderschoenen. In die tijd waren zwakke wachtwoorden minder problematisch, omdat cybercriminaliteit minder voorkwam. Tegenwoordig is dat heel anders. Toch zijn er nog steeds veel mensen die hun eigen naam of de naam van hun kinderen als wachtwoord gebruiken – wachtwoorden die veel te makkelijk te kraken zijn.
De toename van cybercriminaliteit en de geavanceerde methoden die hackers nu gebruiken, zoals -aanvallen en phishing, maken sterke wachtwoorden en extra beveiligingsmaatregelen noodzakelijk. Sommige hackers willen consumenten of bedrijven afpersen. Landen als China zijn op zoek naar intellectueel eigendom. Rusland hackt overheden voor spionagedoeleinden. Daarnaast kan cybercriminaliteit ook gericht zijn op ontwrichting, zoals het hacken van overheidsinstellingen. Cybercrime is een winstgevend businessmodel geworden.”
Hoe ontwikkelen technologieën zich om wachtwoorden te kraken?
“De technologie om wachtwoorden te kraken is de afgelopen jaren enorm toegenomen. Recente ontwikkelingen in onder meer AI hebben geleid tot gokalgoritmen die in staat zijn om 87 miljoen wachtwoorden in minder dan een minuut te kraken. Dit soort technologie wordt bovendien steeds toegankelijker voor een breder publiek, waardoor zelfs jongeren op zolderkamers toegang hebben tot geavanceerde hackertools. Maar denk bijvoorbeeld ook aan cyberbendes uit het Oostblok. Zij vormen een grotere zorg; je kunt ze moeilijker te pakken krijgen.”
Hoe kunnen we onszelf hier beter tegen weren?
“Tegenwoordig worden we verplicht om steeds sterkere wachtwoorden te maken. Een wachtwoordzin kan helpen; een zin zoals ‘1kW1lN3tfl1xKijk3n!!, waarbij de letter e vervangt met een 3 en de letter i met een 1 en waarbij je speciale leestekens toevoegt. Dat is een sterk wachtwoord dat je ook nog kunt onthouden. Voor elk platform kun je het beste een ander wachtwoord bedenken.
Alleen sterke wachtwoorden zijn niet voldoende. Phishing en bruteforce-aanvallen liggen op de loer. Daarom is multi-factorauthenticatie belangrijk; dit is een van de beste manieren om hackers buiten de deur te houden.
Tot slot zou ik zeggen: gebruik een wachtwoordmanager. Die kun je op al je apparaten installeren. Wanneer je wilt inloggen, kan je eenvoudig de wachtwoordkluis openen en daaruit het wachtwoord halen. Je kunt hiermee sterke wachtwoorden genereren. Ook kun je daarmee controleren of ze ooit betrokken zijn geweest bij een datalek. Zelf gebruik ik Dashlane op mijn desktop, laptop en telefoon.”
Horen wachtwoorden bij de toekomst?
“Ik denk het niet. Biometrie, zoals gezichtsherkenning en vingerafdrukken, zal steeds belangrijker worden. Toch kleven er haken en ogen aan deze technologieën. Organisaties moeten dan biometrische gegevens opslaan, zoals gezichten, vingerafdrukken en irisscans. Dit is ingewikkeld omdat het waarborgen van privacy hierbij ingewikkeld maar cruciaal is. Bedrijven moeten dan extra voorzorgsmaatregelen nemen.
We doen steeds vaker een beroep op Zero Trust-beveiligingsmodellen. Dat is een werkwijze waarbij het principe geldt: nooit vertrouwen, altijd verifiëren. Multifactor-authenticatie is een onderdeel van Zero Trust. Er wordt bijvoorbeeld ook gekeken of het logisch is dat je vanaf een bepaalde locatie inlogt.”
Ook zullen we steeds meer gebruik gaan maken van AI om de toegang te controleren. Op basis van AI en real-time informatie kun je bijvoorbeeld zien vanaf welke locaties de meeste aanvallen komen en of het logisch is dat een gebruiker zich vanaf een bepaalde locatie aanmeldt. Dit gebeurt nu al, maar het gaat een steeds grotere rol spelen.”