Microsoft maakt einde aan wachtwoorden, andere techbedrijven voorlopig niet

Microsoft kondigde onlangs aan gebruikers de keuze te bieden zonder wachtwoorden in te loggen, zo las ik bij Nutech.nl. Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Op zich natuurlijk geen juridisch nieuws, maar ik licht het er toch even uit omdat a) security ontzettend belangrijk is binnen de ict en b) juristen zich regelmatig tegen wachtwoordbeleid aan bemoeien.

Microsoft maakt de stap omdat wachtwoorden fundamenteel onveilig zijn. Ze kunnen worden afgekeken, geraden of uit datalekken afgeleid. Eigenlijk was het altijd al een hele rare keuze, wachtwoorden. Mensen iets laten doen waar computers heel goed in zijn en mensen niet (onthoud acht tekens, waarvan minstens drie hoofdletters, minimaal één cijfer en één leesteken maar niet als eerste teken, u kent het wel), hoe kom je er bij. Maar goed, in de jaren zeventig was dat de enige logische keuze.

Ook het wijzigen van wachtwoorden komt uit die tijd. Het Amerikaanse ministerie van Defensie had recent ontdekt dat aanvallers wachtwoorden konden kraken, zelfs als ze versleuteld waren opgeslagen. Het terugrekenen van de versleuteling (jaja, ik weet het maar leg jij rainbow tables eens uit in gewone taal) kostte ongeveer zes weken, zo was de inschatting. De praktische oplossing: elke maand een nieuw wachtwoord, dan is de informatie voor de criminele aanvaller verouderd voordat deze hem gevonden heeft. Die regel belandde ergens in de algemene kennis van de ICT-securityspecialisten – en de juristen, want dit is praktische regelgeving en dat is hardnekkiger dan de Grondwet om te veranderen.

Al geruime tijd is er een verbetering, namelijk tweefactorauthenticatie. Daarbij heb je naast je wachtwoord ook bijvoorbeeld een vingerafdruk nodig of een fysiek token. Dat scheelt in het aanvalsgemak, maar:

Veel vormen van 2FA berusten nog steeds op het inloggen met wachtwoorden, wat deze manier van inloggen nog steeds kwetsbaar maakt voor aanvallen van buitenaf. Het is veiliger dan inloggen met alleen een wachtwoord, maar de kwetsbaarheden van het wachtwoord worden niet weggenomen.
Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Dat is echt een stap vooruit, en ik hoop dan ook dat andere bedrijven snel gaan volgen. (Ik gebruik zelf al lange tijd een Bluetooth-koppeling: als mijn telefoon (die in mijn zak zit) te ver van mijn laptop is, dan gaat mijn laptop op slot. Een wachtwoord draagt daar niets meer aan bij.)

Het juridische haakje: u mag nu even de verwerkersovereenkomsten controleren op uw passende technische en organisatorische maatregelen onder artikel 32 AVG die u opgelegd zijn of die u aan verwerkers oplegt. Afgaande op de paar duizend verwerkersovereenkomsten uit onze contractenscanner staat daar namelijk in dat men sterke wachtwoorden moet hanteren (32% van de clausules) en maar zelden iets over 2FA (4%). Regelmatig wijzigen van wachtwoorden staat vrijwel altijd (78%) bij die wachtwoordclausules, wat binnen de securitywereld juist een slecht idee is – dan krijg je welkom42 of X5j13$#eOktober als wachtwoorden. Tijd dus om hier nieuwe regels over in te voeren.

Meelezende juristen en compliance officers: ondersteunt jouw securitybeleid en/of VO het gebruik van wachtwoordloze authenticatie?

Arnoud

19 reacties

  1. “Bluetooth-koppeling: als mijn telefoon (die in mijn zak zit) te ver van mijn laptop is, dan gaat mijn laptop op slot. “

    Dus als je telefoon opeens kapot gaat, kun je niet op je computer om een nieuwe te bestellen. Handig!

    Zo blij dat ik sinds augustus 2018 van Microsoft af ben! Linux Mint is zoveel prettiger en sympathieker.

    1. @Ruud, beetje met modder gooien terwijl je niet weet hoe het werkt. Als je wegloopt met je telefoon wordt je PC inderdaad vergrendeld. Dynamische vergrendeling heet dat en werkt super handig. Kom je terug bij je PC, dan moet je op de normale manier aanmelden, dus met wachtwoord, pincode, gezichtsherkenning, etc. Daar komt je (kapotte) telefoon niet aan te pas.

  2. Ik vind zo’n BT koppeling toch geen geweldige oplossing. In een kantoortuin (en daar kom ik nogal eens) is een BT verbinding al snel 15-20 meter gewoon actief. Dus als ik koffie ga halen, wordt mijn systeem niet gelocked. Een overleg waarbij ik mijn laptop niet nodig heb, in de vergaderruimte op de hoek, is ook dichtbij genoeg. Ik ben wat dat betreft toch net iets meer liefhebber van de biometrische oplossingen die de diverse systemen tegenwoordig hebben. Ten eerste ben je niet afhankelijk van je telefoon, ten tweede worden deze gegevens alleen opgeslagen op het systeem zelf (en niet in een centrale database). Inloggen op een nieuwe computer kan dan via een MFA token, waarna je biometrie weer voor jouw account inschakelt.

  3. Naast alle Jubelverhalen heeft het wachtwoord nog steeds 1 belangrijk voordeel t.o.v. alle andere methoden:

    • Justitie kan je niet dwingen je wachtwoord op te geven. Je kan ook nog altijd ontkennen dat je het ww weet.

    Ze kunnen je wel dwingen in een camera te kijken, je vinger afdruk te delen, etc.

    Handig bij wat minder frisse overheden.

      1. Tegen die aanval kun je natuurlijk sowieso weinig beginnen, en maakt het weinig verschil. Feit blijft dat bij de meer frisse overheden er wel degelijk een verschil is tussen wachtwoorden en andere methoden met betrekking tot nemo tenetur. Het lijkt me de moeite waard om dat mee te nemen in je analyse.

    1. Dat is helemaal waar, die man krijgt vrijwel elk slot in minuten of minder open. Het voordeel van fysieke sleutels is wel dat ze de beperkingen van de fysieke wereld opleggen aan de digitale. Je fysieke sleutel kan niet ’s nachts of in het weekend vanuit China gestolen worden. Als beveiligingsmaatregel naast of in plaats van een wachtwoord is het denk ik een van de meest veilige opties. Dat het fysieke slot op je tuinhuisje in enkele momenten te openen is, doet daar niets aan af; dat is een hele andere casus.

  4. Justitie kan je in steeds meer landen opsluiten tot je het wachtwoord weer herinnert. En zodra je te maken krijgt met “minder frisse overheden” of zware georganiseerde criminaliteit helpt een wachtwoord ook niet meer. /edit: Was een reactie op mark 10:14

  5. Op mijn werk hebben ze net ingevoerd dat ik overal handmatig moet inloggen met een wachtwoord om het smartboard aan te zetten. Het wachtwoord moet ik natuurlijk elke 6 maanden wijzigen.

    Ik had altijd een 20 random karakters wachtwoord dat ik in mijn paswoordmanager opsloeg en dus nooit zelf hoefde in te tikken. Nu kan dat niet meer en heb ik een variant van Welkom!23 (zie hoofdletter, kleine letter, cijfer en speciaal karakter; het moet wel veilig zijn. Bovendien zelfs 9 tekens, waar 8 het minimum is.) En ja, vanuit Rusland kunnen ze nu veel makkelijker mijn account hacken.

    Het enige risico dat vermeden wordt is dat ik niet op die algemeen toegankelijke computers ook mijn mail of zo ga lezen en dat open laat staan als ik wegga (wat, echt stupide zou zijn).

    Briljant. En ik snap nog wel dat ze willen dat ik inlog, maar verzin dan een betere optie dan hetzelfde wachtwoord intikken dat ook voor alle wel vertrouwelijke dingen gebruikt moet worden.

      1. Yubikeys hebben die functionaliteit al heel lang, als je niet hun verouderde 2FA wil gebruiken kun je ‘m instellen om een statisch wachtwoord uit te typen als je op de knop drukt. Zal vast voor meer security keys gelden.

        Bonus: werkt ook meteen met je Microsoft account!

      2. Ik heb een onlykey (of onlykeys) gezien met 6 drukknoppen. Voor de hooby mensen : Een Teensy LC zou dat vlotjes moeten kunnen, kost een 10 euro. Wat schrink tube errond en optioneel een drukknop. Drukknop kan vervangen worden door een korte wachttijd na het insteken.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.