Je wachtwoordmanager tegen je geheugen: de enige regel die overbleef

Gepubliceerd op door David Carrero

Er zit een wereld van verschil tussen een regel die je overtreedt en een regel die je niet kúnt naleven. “Overal een ander wachtwoord” is het tweede geval.

Van de hele catechismus die we uit ons hoofd leerden — de hoofdletter, het cijfer, het leesteken, het verplichte periodieke wisselen — gooide NIST vrijwel alles overboord in SP 800-63B. Lengte ging zwaarder wegen dan gewrongenheid. Verplicht roteren verdween, tenzij er aanwijzingen zijn dat een wachtwoord is gelekt. En de eis van vreemde tekens werd vervangen door iets veel verstandigers: het wachtwoord toetsen aan lijsten van wachtwoorden die al zijn uitgelekt.

Eén regel overleefde. Die van niet herhalen. En juist daar trokken we ons het minst van aan, want om hem na te leven had je iets nodig waar geen enkele poster op het intranet over repte.

Waarom je geheugen het niet kan

Denk eens aan hoeveel accounts je hebt. Niet de accounts die je gebruikt: de accounts die je hébt. De bank, de mail, die andere mail, de webshop waar je in 2019 sneakers kocht, het forum, de luchtvaartmaatschappij, de parkeerapp, het portaal van de VvE, de overheidssite waar je je voor een klusje van vijf minuten moest registreren.

Stel je nu voor dat je voor elk daarvan een lange, willekeurige, unieke reeks uit je hoofd leert. Het is niet dat het moeilijk is. Het is geen doel dat een menselijk brein kan halen, en jarenlang volhouden van wel is een van de kleinere wreedheden van de informatiebeveiliging geweest.

Dus deden we het enige wat kon: één goed wachtwoord en varianten daarop. Zonnebloem2019! voor de bank en Zonnebloem2019? voor het forum. Of gewoon overal hetzelfde, met een mentaal sterretje van “nou ja, bij de bank heb ik een ander”.

En daar zit het probleem, want de echte aanval bestaat niet uit het raden van jouw wachtwoord. Die bestaat uit het uitproberen van het wachtwoord dat ze elders al van je hebben gestolen. Dat forum uit 2019 lekt — fora uit 2019 lekken —, iemand pakt die lijst met mailadressen en wachtwoorden en probeert hem geautomatiseerd uit op elke dienst die hij kan bedenken. Er hoeft niets gekraakt te worden. Jij gaf de sleutel al; hij staat alleen nog deuren langs. Dat heet credential stuffing, en het werkt precies omdat de enige regel die ertoe deed de regel is die niemand kon naleven.

Een wachtwoordmanager is geen gemak

Hier wordt de wachtwoordmanager meestal verkocht als luxe: wat handig, hij vult alles zelf in, je hoeft niets meer te typen. Dat klopt, en dat is het minst belangrijke eraan.

Een manager bespaart je geen werk: hij maakt een regel mogelijk die zonder hem onhaalbaar is. Het is het verschil tussen iemand vragen honderd kilometer te rennen en hem een fiets geven. Het getal verandert niet; wat verandert is of je het kunt.

Met zo’n ding voor je neus lost de rest van SP 800-63B zichzelf op. Liever lang dan complex? De manager genereert ze zo lang als je wilt, want typen doe je ze toch niet. Overal een ander? Triviaal, per definitie. Geen verplichte rotatie? Prima: je verandert alleen wat gelekt is, en veel managers waarschuwen je zodra dat gebeurt. Het enige dat je nog uit je hoofd moet kennen is het hoofdwachtwoord, en dat verdient het wél om zorgvuldig gemaakt te worden — vier of vijf willekeurige woorden in de generator en kijken hoe het standhoudt in de checker.

Het eerlijke bezwaar

“Alle eieren in één mand.” Ik heb het duizend keer gehoord en het is geen onzin. Als iemand in je manager komt, komt hij overal. Het is één enkel punt van falen, en wie zegt van niet, verkoopt je iets.

Het antwoord moet net zo eerlijk zijn: ja, het is één mand, maar het alternatief is niet dat je eieren verspreid liggen. Het is dat ze over de vloer liggen. Zonder manager eindig je niet met tachtig onafhankelijke wachtwoorden; je eindigt met hetzelfde wachtwoord op tachtig plekken, wat dezelfde mand is maar dan zonder slot, zonder versleuteling en gekopieerd naar tachtig servers van derden van wie je de beveiliging totaal niet kent.

Kijk naar het echte dreigingsmodel. Om de versleutelde kluis van een serieuze manager open te breken heb je óf een ernstige fout in het product nodig, óf jouw hoofdwachtwoord. Om op jouw mailadres het wachtwoord te proberen dat je bij een webshop gebruikte heb je helemaal niets nodig: een script en een lijst. Je vergelijkt een aanval die veel vereist met een aanval die nu al gebeurt, onophoudelijk, op de automatische piloot.

Wat wél een redelijke voorzorg is: een lang en uniek hoofdwachtwoord, tweefactorauthenticatie aan in de manager, en beseffen dat dat hoofdwachtwoord nu je kritieke punt is. Behandel het ernaar.

Welke, en waarom er niet één antwoord is

Hier past iets ongemakkelijks voor een site met affiliatelinks: de beste manager is die je gaat gebruiken, en er is er meer dan één goed.

Bitwarden is vrije software, heeft een gratis plan dat dekt wat bijna iedereen nodig heeft en je mag hem zelf hosten als je daar zin in hebt. Dat de code te auditen is, is geen marketing: het betekent dat je niemand op zijn woord hoeft te geloven.

KeePass — en zijn afgeleiden — bewaart alles in een lokaal bestand. Geen cloud, geen account, geen aanbieder. Als jouw zorg is “ik wil mijn wachtwoorden niet op de server van een ander”, dan is die zorg letterlijk opgelost. In ruil daarvoor is het synchroniseren tussen je apparaten jouw pakkie-an.

1Password is betaald en is degene waar we vanaf hier naar linken — affiliate, voor de duidelijkheid. Waar het goed in is, is precies het deel dat meestal bepaalt of een manager het overleeft in een huishouden: dat niet-technische mensen het snappen, het met hun partner delen en er niet binnen een week mee stoppen. Het is niet veiliger dan Bitwarden omdat je ervoor betaalt. Het is voor veel mensen makkelijker om níét op te geven.

En dan de manager van je browser. Gratis, staat al geïnstalleerd, biedt al aan om op te slaan. Hij zit onder de vorige in controle, in overdraagbaarheid en in delen, en hij zet je vast in één ecosysteem. Maakt niet uit: die van je browser gebruiken is onvergelijkbaar veel beter dan er geen gebruiken, want hij lost het grote probleem op. Wie je iets anders vertelt, zet zuiverheid boven het echte risico.

De zin die alles samenvat

Jarenlang vertelden ze ons hoe elk wachtwoord eruit moest zien en bijna nooit hoe we ze allemaal moesten onthouden. Dat was de ontbrekende stap, en zonder die stap was de enige regel die overleefde geen regel: het was een verwijt.

Kies er een. Welke dan ook. Het debat over welke is marginaal vergeleken met de afstand tussen wél een manager hebben en er geen hebben.


Bronnen: NIST SP 800-63B, “Digital Identity Guidelines: Authentication and Lifecycle Management” (lengte boven complexiteit, geen verplichte rotatie tenzij er aanwijzingen zijn van compromittering, toetsing aan lijsten van gecompromitteerde wachtwoorden) · documentatie en gepubliceerde beveiligingsmodellen van Bitwarden, KeePass en 1Password.

← Terug naar de blog