Alternatieven voor wachtwoorden?

maart 23, 2010 at 10:28 pm (Oplossingen, Techniek) (, , , )

Wachtwoorden. Al 20 jaar (of misschien wel langer) de enige veel gebruikte methode voor gebruikersidentificatie en authenticatie op informatiesystemen. En al 20 jaar zijn ze een probleem. Mensen schijnen niet goed te zijn in het onthouden van hun verzameling wachtwoorden. Het maakt niet uit of het in beveiliging geschoolde medewerkers zijn of niet, vrijwel iedereen maakt een of meer van de onderkende beveiligingsfouten. Dat zijn fouten zoals het gebruik van eenvoudige (zwakke) wachtwoorden, hergebruik, herhalen van wachtwoorden met een kleine aanpassing, opschrijven of digitaal vastleggen in niet-beveiligde documenten. Uiteindelijk blijkt 96% van de gebruikers verschillende van de in het beveiligingsbeleid vastgelegde regels met betrekking tot wachtwoorden te overtreden.

Dat is nogal wat. Kennelijk zijn we als informatiebeveiligers en IT’ers niet in staat geweest een goed alternatief voor deze eenvoudige (maar, indien goed uitgevoerd, effectieve) maatregel te ontwikkelen. Biometrie en two-factor authentication zijn inmiddels wel geaccepteerde mogelijkheden, maar door de kostenfactor worden zij nog niet breed ingezet. Daarnaast heeft biometrie nog de schijn tegen, te vaak verschijnen er films op youtube die het omzeilen van biometrische beveiliging demonstreren.

Mensen zijn visueel ingesteld en kunnen het onderscheid in afbeeldingen snel maken. Het zou mooi zijn als daar produktiebestendige tools voor worden ontwikkeld. Je vult je gebruikersnaam in, klikt op vijf afbeeldingen in de goede volgorde en je bent binnen. Door de afbeeldingen willekeurig in een matrix te plaatsen heb je per keer dat je inlogt een ander wachtwoord. Dat lijkt mij een sterk systeem.

De uitdaging die gepaard gaat met het uitreiken van het eerste wachtwoord of bij een wachtwoordreset is eenvoudig te pareren. Het eerste wachtwoord, dat aan de sterkte eisen moet voldoen, kan op schrift worden uitgereikt. Als een gebruiker voor de eerste maal inlogt moet hij een grafisch wachtwoord aanmaken. Na een reset ontvangt hij zijn tijdelijke wachtwoord per email of sms op zijn – tevoren geregistreerde – privé emailadres of mobiele telefoon. Ook voor hem geldt dat hij bij het inloggen een nieuw grafisch wachtwoord moet aanmaken.

Zo simpel. Zou het al bestaan?

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: