Weg met wachtwoorden!

Cqure platformblog

Het NCSC is een nieuwe campagne begonnen om consumenten bewust te maken van de risico's van internetgebruik. De belangrijkste tip hierbij is om verstandig om te gaan met wachtwoorden. Hoe? Maak gebruik van complexe wachtwoorden en wijzig ze regelmatig. Maar hoe ga je om met de enorme hoeveelheid aan wachtwoorden? NCSC tip: Gebruik bij wachtwoorden altijd iets dat voor jou herkenbaar is, bijvoorbeeld gebruik voor het wachtwoord voor een webshop een eigen wachtwoord gekoppeld aan het merk schoenen dat je bij die webshop koopt. Interessant en het lijkt pragmatisch, maar het advies is eigenlijk aan de verkeerde doelgroep gericht. Want waarom moeten consumenten nog wachtwoorden gebruiken? Waarom willen websites dat je inlogt?

Ik hoef hier niet uit te leggen dat inloggen een belangrijk proces is. Wie je bent bepaalt uiteindelijk vaak wat je kunt. Ben je een klant die mag bestellen, of ben je een medewerker die gegevens mag verwerken? En per rol heb je andere informatie nodig. Voor een webshop is het bijvoorbeeld handig als de uitbater weet dat een klant betaalt en als dan ook het afleveradres bekend is. Maar de klant hoeft niet de persoon te zijn die inlogt. En dat maakt het lastig. Want het is wel makkelijk als een webshop de klant en de persoon die inlogt aan elkaar kan knopen. Dan kan de webshop de internetgebruiker ook zelf weer actief benaderen met de informatie, zoals een e-mailadres of telefoonnummer, die kunnen worden gekoppeld. Waardevolle informatie.

Wat je niet hebt, kun je niet kwijtraken

We hebben allemaal de berichten over het lekken van accountgegevens en wachtwoorden gelezen. Bij LinkedIn, ziekenhuizen, omroepen, ministeries, het lijkt wel of bij elke website gegevens gestolen worden. En ook wel logisch, want identiteitsgegevens zijn waardevol. En wat moet je doen met waardevolle zaken: ze beschermen. Want het risico is dat je ze kunt kwijtraken. En dat kan, zeker met de komende regelgeving, een strop opleveren. Niet alleen financieel, maar ook qua imago. Maar als dat zo'n risico is, waarom heb je die gegevens dan nog? Waarom sla je wachtwoorden op in een database bij je website? Want wat je niet hebt, kun je ook niet kwijtraken.

Het alternatief: Federatie

Natuurlijk, mensen moeten zich aanmelden, want je wilt weten wie ze zijn om te kunnen bepalen wat ze mogen. Maar dat kan ook zonder wachtwoorden. Je moet er gewoon voor zorgen dat ze via een ander vertrouwd kanaal binnenkomen. Daarvoor kun je gebruik maken van een inmiddels volwassen alternatief, Federatie. En tegenwoordig is dat zo simpel. Door gebruik te maken van Federatie kun je mensen zich laten aanmelden met hun Facebook, Twitter of G-mail account. Laat die 'Identity Providers' hun wachtwoorden maar beveiligen. Het enige wat jij moet doen is het koppelen van een Facebook account aan een 'eigen' relatie. Voor nieuwe klanten is dat simpel, voor bestaande klanten moet je wel even een migratiepad bedenken.

Maar ik hoor je nu denken: 'leuk, maar ik vertrouw die ‘Facebooks’ niet.' Nee, je hebt helemaal gelijk. Maar zie het als volgt: als iemand zich via federatie aanmeldt heb je gewoon een geauthenticeerde identiteit binnen. Net als op je eigen website iemand zich met een volkomen anonieme gebruikersnaam, met een lokaal wachtwoord heeft aangemeld. Dat zegt feitelijk ook helemaal niets. Iedereen kan wel een account aanmaken met een naam ‘Donald Duck’. En dat is echt geen betrouwbare identiteit. Het vertrouwen ontstaat voor beide soorten klanten pas in het vervolg van de transactie. Bij betaling  en bij aflevering. En dat vertrouwen groeit als de klant terugkomt omdat het zo makkelijk shoppen is. Dus weg met wachtwoorden en stap snel over op Federatie. En misschien kan het NCSC daar een volgende campagne aan wijden.

Want: Wat je niet hebt, hoef je niet te beschermen!

Vindt u deze blog interessant, deel deze dan in uw netwerk.