3 Setjes wachtwoorden

februari 5, 2010 at 9:29 am (Columns, Privacy, Techniek) (, , , , )

“Gebruik van wachtwoorden is ouderwets!”, stelt een Franse staatssecretaris. “Iedereen een certificaat! Dat is pas veilig!”. Deze ambtenaar werd onvolledig geïnformeerd, ook een certificaat moet je beschermen met een wachtwoord. Dat noemen we two-factor authentication. Certificaten kunnen wel veilig zijn, mits goed toegepast. Datzelfde geldt voor wachtwoorden. Uit onderzoek blijkt dat mensen hun wachtwoorden en gebruikersnaam van bijvoorbeeld internetbankieren hergebruiken voor allerlei andere (minder beveiligde) websites. Dat vormt een risico voor deze gebruikers, omdat een aanvaller die op de ene site de gegevens heeft achterhaald, deze op andere plaatsen kan hergebruiken.

Een betere manier om veilig met wachtwoorden om te gaan is er drie setjes op na te houden. De eerste combinatie van gebruikersnaam en wachtwoord gebruik je voor internetbankieren, de tweede combinatie voor je webmail en profielsites (hyves, linkedin) en de derde combinatie gebruik je voor al die onzinnige websites waar je toch moet inloggen om mee te kunnen kletsen op het forum.

Als je een certificaat van de overheid of je bank krijgt, kies dan een apart wachtwoord dat niet in je combinaties voorkomt.

Permalink Geef een reactie

Als sleutels breken

januari 13, 2010 at 11:20 pm (Techniek) (, , , )

Laatst was het in het nieuws dat de RSA 768 bits encryptie is gebroken. Ooit als lang beschouwde sleutels, met een lange verwachte levensduur, worden voor het verstrijken van die verwachte levensduur al gekraakt. De sleutel van RSA is gebaseerd op een 232 cijferig priemgetal. Naar verwachting zal de eerstvolgende lange sleutel van RSA, met een lengte van 1024 bits, binnen 10 jaar gekraakt zijn. Maar gebruik na 2010 van een dergelijke ‘korte’ sleutel wordt al afgeraden. Respect voor de krakers, maar nu terug naar de business.

Wat voor gevolgen heeft dit voor de opslag van met deze sleutels beveiligd materiaal? Dat is afhankelijk van het belang van de data die je beschermt (broncode, patenten, geheimen, recepten, wat-dan-ook). Als jegeheim ná het verstrijken van de geadviseerde levensduur van de sleutels (of de toegepaste versleuteling) nog steeds geheim moet blijven, kun je twee dingen doen. Het originele bestand opnieuw versleutelen met een cryptografische methode of sleutel die aan de huidige en toekomstige eisen voldoen. Nadeel hiervan is dat het geheim kwetsbaar is op het moment dat het is gedecodeerd en opnieuw versleuteld moet worden. Dit is natuurlijk een zeer tijdelijke situatie.

Of je kunt je versleutelde geheim nog een keer versleutelen met de nieuwe methode. Nadeel hiervan is dat je twee sleutels moet beheren en beide decryptietechnieken beschikbaar moet houden, totdat de geheimhoudingsdatum is verstreken.

Aangezien Johnsons’ wet stelt dat Murphy een optimist was, gaat mijn uitgesproken voorkeur uit naar de eerste optie.

Permalink Geef een reactie