Wachtwoorden: lachend naar een veilige omgeving?

Wachtwoorden, wat kunnen we er nog over schrijven? Dat we onze eindgebruikers blijven herhalen sterke wachtwoorden te kiezen en dat ze die nergens mogen opschrijven? En dat voor iedere nieuwe toepassing of website een ander wachtwoord vereist is?
Om onze eindgebruikers te helpen om complexe wachtwoorden te onthouden, laten we ze een wachtwoordmanager gebruiken. Alsof je Spaans tegen ze spreekt….Resultaat is dat men wachtwoorden als p@ssword1, favoriete huisdier of voetbalploeg gaat gebruiken. Mijn collega gebruikt de pincode van haar bankpas als toegangscode! Dat is toch geheim?

Gisteren ontving ik een mail dat ik mijn toegangswachtwoorden voor mijn wachtwoordmanager moest wijzigen: de organisatie was mogelijk gecorrumpeerd! Ik blijf die software gebruiken, samen met een device waardoor ik 2FA kan blijven toepassen. Idealiter zou ik willen dat alle eindgebruikers in de organisatie waar ik voor werk, een wachtwoordmanager zou gebruiken. Hij is standaard geïnstalleerd op de computers. Ik hoor van gebruikers dat ze het vaak zo’n gedoe vinden….
Maar we blijven innoveren, en het eind van het gebruiken van wachtwoorden lijkt in zicht. We moeten wat anders gaan verzinnen. We kunnen denken aan biometrie: toegang door middel van vingerafdruk of irisscan? Of gaan we naar inloggen met lachende mannetjes, een flamingodanseres en een glas bier? Ik hoor u denken, maar afgelopen week werd ik geattendeerd op een Engels bedrijf dat de zgn. Emoji passwords wil implementeren. Aangezien, zoals zij stellen, een mens plaatjes makkelijker onthoudt, dan een complex wachtwoord.

U kent de plaatjes wel, de ideogrammen of smileys die worden gebruikt in elektronische berichten en op webpagina’s. De ware betekenis die eraan is toegekend en waar ze nu voor gebruikt worden, ligt soms een eind uit elkaar, maar we begrijpen elkaar, toch?.

Het plan van de bankwereld is nu om interfaces te gaan ontwikkelen, die u en ik zouden moeten gaan gebruiken om online toegang tot onze bankrekening te krijgen. Het prototype wat we in de dagbladen en op televisie zien is misschien niet wat het eindproduct gaat worden zoals de banken het in gedachten hebben. Het geeft wel een goede indicatie van de wijze waarop het systeem gaat werken.

Ik ga er hierbij vanuit dat de bank ons niet gaat dwingen om emojis te gebruiken in plaats van een secure wachtwoord. Daarbij moet ik bekennen dat ik de ene emoji niet altijd van de ander kan onderscheiden, maar dat heeft misschien te maken met mijn (middelbare leeftijd) gezichtsvermogen.
Afhankelijk van het aantal emojis wat ik straks moet ingeven, om toegang te krijgen tot mijn bankgegevens, is aan de bank. Maar welk aantal is voldoende om veiligheid te garanderen? Daarbij komt dat er, bij de demonstratie, een set ‘eigen’ emojis werd geïntroduceerd, dus niet degene die u nu op uw telefoon of anderszins gebruikt. Mag ik dan straks mijn bank-emojis gebruiken voor whatsapp? Of worden er in de aparte set misschien veiligheidskenmerken meegegeven die belangrijk zijn voor identificatie door de banksystemen?

In de demonstratie werden zo’n veertig emojis getoond, beter dan de duizenden die momenteel beschikbaar zijn om te kiezen voor je whatsapp of Twitter. Veertig klinkt niet zoveel maar als je weet dat een traditionele vier cijferige Pincode alleen biedt 7,290 unieke permutaties van niet-herhalende getallen. Een emoji toegangscode van dezelfde lengte geeft u 3.498.308 miljoen unieke permutaties van niet-herhalende emojis, gebaseerd op de grootte van een selectie van veertig emojis. (met dank aan Paul). Dat noem ik een vooruitgang.

Welke samenstelling wordt dan populair: een lachend mannetje dat met een flamingodanseres in de zon voetbal speelt? En gaan de banken hun eigen sets aan emojis gebruiken om te voorkomen dat we één set emojis gebruiken voor verschillende (bank) systemen? Als ik mijn collega Jan een beetje ken worden het een motor, een zonnetje en vier glazen bier. Hoe voorspelbaar zijn we als mens?


Bij banken is beveiliging voorwaardelijk en wees eerlijk: de grootste banken hebben het meest te verliezen. Interessant daarbij is dat we nu onze bankrekeningen via geldautomaten met een eenvoudige 4-cijferige code ontsluiten, in plaats van een complex wachtwoord. Zo een die u nu gebruikt voor systemen met gevoelige of vertrouwelijke informatie.


Waar gaan wachtwoorden in de toekomst heen? Numerieke toetsenborden bij de geldautomaat, helemaal geen geldautomaat, maar een chip in de onderarm? Combinaties van weten (need to know), hebben (need to have)? Of juist de patronen van aders in je lichaam, de manier waarop je je handtekening zet en je exacte hartslag gebruiken om toegang te krijgen tot (bank) systemen?