Het wachtwoord van Twitter mislukt laat zien dat we betere beveiliging verdienen.

Onlangs werd Twitter getroffen door hackers die erin slaagden enkele gebruikersgegevens te bemachtigen, waaronder ‘gehashte’ wachtwoorden van een paar honderdduizenden gebruikers. Het was voor hackers mogelijk programma's voor het kraken van wachtwoorden uit te voeren om miljoenen woordenboekwoorden en alternatieve spellingen te vergelijken met de gehashte wachtwoordlijst om te zien of er overeenkomende woorden waren.

Tot eer van Twitter werd iedereen snel gecontacteerd en werd er voor iedereen een algemene wachtwoordreset ingevoerd getroffen, waardoor gebruikers gedwongen werden nieuwe wachtwoorden in te stellen voor het geval de hackers erin slaagden te achterhalen wat hun wachtwoorden waren waren. Hoewel dit enerzijds de proactieve benadering van Twitter van beveiligingsproblemen aantoonde, toont het ook een belangrijke kwetsbaarheid aan in de manier waarop we onze privégegevens beschermen: het wachtwoord.

We vertrouwen de hele dag op wachtwoorden, elke dag opnieuw. Van ons iTunes-account tot webmail tot het pc-netwerk op het werk, we gebruiken combinaties van gebruikersnaam en wachtwoord om ons digitale leven onder controle te houden. Ik zeg digitale levens, maar er zijn steeds meer alleen de dunste membranen tussen die en onze werkelijke, ‘echte’ levens. Als iemand een notitieboekje zou vinden met al je wachtwoorden in de pagina's gekrabbeld, zouden ze je financiën, je baan en een groot deel van je sociale leven kunnen vernietigen voordat je moeders meisjesnaam zou kunnen zeggen.

Het is meer dan vijftig jaar geleden dat het eerste computerwachtwoordsysteem werd gemaakt en ongeveer veertig jaar geleden dat de methode om wachtwoorden te ‘hashen’ om ze veilig te houden voor het eerst werd geïmplementeerd. Helaas is de technologie van daaruit niet veel verder gegaan.

Het probleem met wachtwoorden, zoals elke langdurige IT-helpdesk-drone je van onderuit kan vertellen, is dat ze ofwel te gemakkelijk te raden of te veilig zijn om te onthouden. Het standaardadvies voor het aanmaken van een wachtwoord luidt als volgt:

• gebruik geen echte woorden
• Gebruik geen persoonlijke informatie (de meisjesnaam van je moeder, de naam van je eerste huisdier) zoals je kunt raden of ontdekken.
• gebruik waar mogelijk cijfers en niet-alfanumerieke tekens

Het is allemaal een goed advies op het eerste gezicht, maar het zijn eigenlijk maar drie manieren om te zeggen ‘maak uw wachtwoord zo moeilijk om u te onthouden moet je het opschrijven op een Post-It en het op de rand van je monitor plakken ’, wat jammer is, want het vierde advies is steevast

• Schrijf uw wachtwoord nooit op, vooral niet op een Post-It die op de rand van uw monitor is geplakt

Een andere rimpel in het wachtwoordprobleem is dat ‘gemakkelijk te raden’ niet betekent dat iemand het kan raden. De meeste wachtwoordsystemen werken met een eenrichtingsalgoritme. Je voert er een wachtwoord doorheen en het creëert een ‘hash’ - een onleesbaar ogende wirwar van tekens. Alleen je wachtwoord zou die hash maken door het algoritme te passeren, maar je kunt de hash niet gebruiken om erachter te komen wat het wachtwoord is. Het is eenrichtingsverkeer.

Een manier waarop een hacker dit probleem kan aanpakken, is zoiets als een ‘woordenboekaanval’. Ze krijgen het bestand met gehashte wachtwoorden in handen (vaak relatief open opgeslagen vanwege de manier waarop de inlogcode moet toegang tot hen) en gebruik software om duizenden woorden door het algoritme te laten lopen totdat ze er een vinden die overeenkomt met een van de hashes. Door de snelheid van moderne processors is het mogelijk om verschillende complete woordenboeken in meerdere talen, plus spelfouten en ‘slimme’ versluieringen zoals het ruilen van ‘e’ voor ‘3’ in een relatief korte tijd.

Alle oogbollen en vingertoppen

Als wachtwoorden zo inherent gebrekkig zijn, waarom gebruiken we ze dan? Er zijn de afgelopen vijftig jaar veel vervangingen voor het wachtwoord voorgesteld. Biometrie lijkt een veelbelovende weg - als het probleem ligt in het identificeren van een persoon, dan is het zeker uniek attributen zoals vingerafdrukken, iemands irispatronen of zelfs hun DNA zijn misschien beter dan een geheim trefwoord. Een recent idee betreft het gebruik van iemands hartslag om een ​​uniek patroon te genereren.

Helaas heeft biometrie een ernstige tekortkoming: ze vertrouwen erop dat ze niet kunnen worden gereproduceerd. Als iemand een manier zou bedenken om uw unieke attributen te kopiëren, dan is het spel afgelopen. Dit is inderdaad mogelijk gebleken. U kunt een vingerafdruk vervalsen met een afdruk erin gelatine ontleend aan een latente afdruk op een glas. In het extreme geval kunt u altijd het benodigde lichaamsdeel afsnijden om voor een sensor te waggelen.

Erger nog, als uw biometrische gegevens eenmaal zijn aangetast, kunnen ze onmogelijk worden gewijzigd. Je kunt een nieuw wachtwoord bedenken, maar als je aan een nieuwe vinger denkt, kom je nergens.

Andere schema's omvatten het gebruik van CAPTCHA'S een moeilijk wachtwoord versleutelen met een gemakkelijk wachtwoord of zelfs je gedrag analyseren, van stemafdruk tot gangherkenning (het ritme van je wandeling) om te bewijzen dat je bent wie je zegt dat je bent. Helaas zijn deze ofwel overdreven gecompliceerd of onbewezen. Ze kunnen niet alleen kraakbaar zijn, maar ook gemakkelijk.

Sleutelhangers of ID-kaarten zijn een andere optie, maar deze kunnen worden verloren of gestolen en het kan rampzalig zijn als ze in handen van een dief vallen.

Er is een citaat toegeschreven aan Winston Churchill dat luidt: "Democratie is de ergste vorm van bestuur, behalve al die andere vormen die zijn geprobeerd." Het is hetzelfde met wachtwoorden. Onvolmaakt, maar het beste in wat ze doen. Wat is er nodig om ze beter te maken.

Dat iets is tweefactorauthenticatie. Wanneer u inlogt met gebruikersnaam en wachtwoord, wordt u uitgedaagd met een code waarop u moet reageren, waarbij u software gebruikt om het juiste antwoord te genereren.

Google laat je dit al instellen voor Gmail en zal zelfs het uitdaging / antwoordgedeelte voor je doen en je het juiste antwoord sturen om in te toetsen. Als u wilt, kunt u een app voor Android of iOS gebruiken om in plaats daarvan het unieke antwoord te genereren.

Dit soort challenge / response-authenticatie is op zichzelf al riskant - je zou tenslotte je telefoon kunnen hebben gestolen en de kreek in - maar in combinatie met de gebruikersnaam / wachtwoordcombinatie geeft het een extra laag van authenticatie. Cruciaal is een die moeilijk te reproduceren is voor een hacker die vanuit zijn kelder een woordenboekaanval uitvoert.

Google biedt dit al aan, hoewel niet standaard *. Andere sites zouden dat ook moeten doen. Je denkt misschien niet dat je tweefactorauthenticatie nodig hebt op een site als Twitter, maar iemand toegang verlenen tot een fragment van je identiteit kan onverwachte gevolgen hebben. Iemand die zich op de ene site voordoet als u, kan hen helpen informatie van u of uw vrienden sociaal te engineeren waardoor ze toegang krijgen tot andere, meer cruciale gegevens.

De enige dingen die tweefactorauthenticatie tegenhouden, zijn de kosten van de implementatie ervan en voorlichting van gebruikers over wachtwoordkwetsbaarheden. Dit laatste zal helaas meer verspreid worden naarmate meer sites worden gehackt en wachtwoorden reverse-engineered. Het eerste zou iets moeten zijn waar we als klanten om vragen. Misschien niet voor elke site, maar voor e-mail, e-commerce, datingsites en alle sociale media waar we om geven, zou het een optie moeten zijn. Er zijn tekenen dat Twitter is van plan om een ​​stapje verder te gaan en samen met Google te vechten voor betere inlogbeveiliging, maar hoe zit het met Yahoo Mail, Facebook, Microsoft en alle andere sites waarop we vertrouwen?

Het ietwat Faustiaanse koopje dat we maken met gratis webservices is dit: je geeft ons een nuttige service, we geven je gegevens over ons om in geld om te zetten. Daarbij vertrouwen we erop dat sites voor die gegevens zorgen en het wordt tijd dat meer bedrijven deze verantwoordelijkheid serieus nemen.

Ben je ooit gehackt? Laat ons je ervaringen weten in de comments.

(* u moet zich verdiepen in uw account instellingen en we raden u aan dat te doen.)