Vorige maand was het zestig jaar geleden dat voor het eerst een wachtwoord nodig was om op een computer in te loggen. Die verjaardag is in alle stilte aan ons voorbij gegaan. De relatie met wachtwoorden blijft daarvoor ook te gecompliceerd.
Reden voor een wachtwoord
In 1961 stelde Fernando Corbato van MIT labs voor de gegevens van gebruikers van computernetwerken af te schermen (bron). Tot die tijd was het gangbaar dat elke gebruiker alle data kon zien en bewerken. Dat leek hem – zelfs met zo weinig gebruikers in alleen de wetenschappelijke wereld – niet verstandig. De data die toen op computers en netwerken werd opgeslagen vertegenwoordigde toen al een zekere waarde. Er was te veel interesse voor onderzoeken en dergelijke die nog niet geschikt waren voor publicatie. Corbato zorgde dat na de inlognaam ook een tweede veld verplicht moest worden ingevuld en alleen de gebruiker zou moeten weten wat daar moest staan.
Het idee van een wachtwoord sloeg in de wetenschappelijke wereld aan. Daarna volgden alle andere omgevingen waar computers aanwezig waren. We kunnen ons tegenwoordig simpelweg niet voorstellen dat er een periode was zonder wachtwoorden. Het idee dat iemand zonder enige moeite alle directories en files van een netwerk kan bekijken en bewerken levert rillingen op.
Wachtwoorden voor alles
Wachtwoorden hebben we inmiddels ook voor veel meer zaken nodig. Het oorspronkelijke idee van Corbato was gebaseerd op een username en wachtwoord per persoon. Dat was zolang er amper computers waren, dus weinig gebruikers ook voldoende. Met de komst van internet voor het grote publiek en bergen met nieuwe toepassingen bleek als snel dat 1 combinatie een groot gevaar betekende.
Lijstjes met makkelijke wachtwoorden
Toch heeft het daarna nog jaren geduurd voordat werkgevers, providers en anderen gebruikers adviseerden nooit wachtwoorden te recyclen. Die waarschuwing is ook vandaag de dag nog regelmatig te lezen en helaas nodig. Dat kan ook gezegd worden van korte of makkelijk te raden wachtwoorden. Meerdere keren per jaar verschijnen er lijstjes van de meest gebruikte wachtwoorden. Daar wordt om gelachen, maar alleen al het feit dat die lijstjes gemaakt kunnen worden is ergens te zot voor woorden.
De gebruiker als zwakke schakel
Wachtwoorden kunnen veilig zijn en de kans op misbruik substantieel verminderen of zelfs geheel onmogelijk maken. Maar net iets te vaak merken we dat er toch iets mis gaat. Wachtwoorden worden geraden, gekraakt of gestolen. Het is te makkelijk om standaard te wijzen naar het object “tussen de stoel en de monitor”, beter bekend als de werknemer of de mens als zwakke schakel
De andere zwakke schakel
Als we namelijk iets moeten constateren is dat er wel heel veel incidenten zijn waarbij niet de werknemer de fout in gaat. Het is de systeembeheerder, de MSP of andere derden die de mist in gaat. Bijna al die partijen hameren er bij hun klanten en eindgebruikers op goede wachtwoorden te gebruiken. Met techniek kan dat ook aardig worden afgedwongen. Maar wat is daarvan het nu als de beheerder zelf een wachtwoord heeft dat kinderlijk eenvoudig is, zoals SolarWinds123?
Na 60 jaar weten we een ding zeker van het wachtwoord, het kan werken, echter de kans op vermijdbare fouten is groot. De komst van 2FA moet dat risico verkleinen, maar net als het wachtwoord kan het geen garantie bieden. Techniek is feilbaar en het gedrag van mensen, waar dan ook in de keten, kan uiterst ongewenste gevolgen hebben.
