Cybercriminaliteit heeft zich in de afgelopen decennia flink ontwikkeld. We zijn massaal aangesloten op het internet en regelen veel dingen tegenwoordig online. Bijvoorbeeld onze bankzaken en bestellingen bij webwinkels. Dat biedt nieuwe kansen voor criminelen om ons burgers te bestelen van ons geld.
Bij moderne vormen van cybercriminaliteit moeten we denken aan bijvoorbeeld afpersing door middel van een aanval met ransomware of koop- en verkoopfraude door het gebruik van gestolen wachtwoorden.
In dit artikel
In dit tweeluik wil ik jullie graag wat vertellen over wachtwoorden en hoe ik er zelf mee om ga. Ik ga ervan uit dat iedereen die dit artikel leest begrijpt waarom het belangrijk is om persoonlijke gegevens buiten het bereik van buitenstaanders te houden en wat de gevaren zijn als gegevens onbedoeld in verkeerde handen vallen. Daar ga ik dus niet verder op in. In plaats daarvan wil ik graag inzichten en praktische tips delen.
Beide delen van het tweeluik spitsen zich volledig toe op het onderwerp wachtwoorden. Ik ga niet dieper in op gerelateerde onderwerpen zoals two factor authentication. Wel snijd ik kort het onderwerp encryptie aan.
In deel 1 vertel ik over de definitie van wachtwoorden en hun technische achtergrond, een stukje theorie dus. In deel 2 zal ik jullie laten zien hoe ik in de praktijk mijn wachtwoorden veilig en gemakkelijk beheer.
Een korte disclaimer vooraf: om het artikel leesbaar te houden, heb ik op sommige plaatsen technische details vereenvoudigd.
Wachtwoorden, identificatie en authenticatie (definitie en terminologie)
In ons dagelijks leven zijn we door het gebruik van computers en mobiele apparaten vertrouwd geraakt met het gebruik van wachtwoorden. Maar wat is de definitie van een wachtwoord eigenlijk? En hoe verhoudt het zich tot de begrippen identificatie en authenticatie?
Een wachtwoord is een vertrouwelijke code die dient ter identificatie van onszelf als persoon. We kunnen deze identificatie inzetten om een informatiesysteem (bijvoorbeeld een computer) af te schermen, zodanig dat alleen wijzelf toegang hebben tot het systeem.
Als het gaat om een informatiesysteem met meerdere gebruikers (bijvoorbeeld een website waarop we kunnen inloggen), dan gaat het vaak om het afschermen van persoonsgebonden informatie, in plaats van het afschermen van een compleet systeem. In dat geval hebben alle individuele gebruikers alleen toegang tot hun eigen persoonlijke deel van de informatie die in het systeem staat opgeslagen. Een wachtwoord is dus een identificatiemiddel voor toegangscontrole.
Even een open deur intrappen: het is van essentieel belang dat wachtwoorden vertrouwelijk blijven. Zodra een wachtwoord onbedoeld in de handen van een ongeautoriseerd persoon terecht komt, is de afschermende functie tenietgedaan.
In het Engels wordt soms nog onderscheid gemaakt tussen identification en authentication. Het verschil zit hem erin dat met identification het bekendmaken van identiteit wordt bedoeld, terwijl met authentication een actie wordt bedoeld die een identiteit bevestigt. In het Nederlands maken we dat onderscheid niet: Google is van mening dat authenticatie een Nederlands woord is, Van Dale is het daar niet mee eens. Het woord identificatie wordt door Van Dale omschreven als “vaststelling van de identiteit”.
Samenvattend: het gebruiken van een wachtwoord betekent dat we een vertrouwelijke, persoonsgebonden code inzetten voor toegangscontrole.
We laten de terminologie verder voor wat het is.
Letters en cijfers
Van oudsher bestaat een wachtwoord uit een reeks van letters en cijfers. Het kan een woord zijn, een combinatie van woorden, maar ook een combinatie van letters en cijfers zonder verdere betekenis. Dit concept van het wachtwoord is universeel in gebruik, simpelweg omdat alle computers en dergelijke apparaten voorzien zijn van een toetsenbord waarmee op dezelfde manier letters en cijfers ingevoerd kunnen worden. Wel zo handig, want zodra iemand het concept van wachtwoorden eenmaal begrijpt, kan het toegepast worden zonder verdere uitleg en op allerlei soorten systemen en computers.
Tegenwoordig zien we ook andere vormen van wachtwoorden. Denk bijvoorbeeld aan het ontgrendelen van een mobiele telefoon door middel van het tekenen van een patroon. Ook dit is een wachtwoord, maar dan niet bestaande uit letters en cijfers.
Wachtwoorden vs. encryptie
Zoals gezegd zetten we wachtwoorden in voor toegangscontrole. Maar betekent dat ook dat als we een wachtwoord gebruiken, onze gegevens veilig worden opgeslagen? Hierover ontstaat nogal eens verwarring.
Ik kan het uitleggen aan de hand van een voorbeeld: mijn smartphone is voorzien van een wachtwoord. Ook zit er een geheugenkaartje in het toestel voor het opslaan van foto’s. Stel je nu voor dat mijn smartphone wordt gestolen. Degene die het toestel in handen heeft, kan mijn telefoon niet ontgrendelen omdat hij het wachtwoord niet weet. Maar, hij kan wel het geheugenkaartje uit het toestel halen, het in een ander apparaat stoppen en vervolgens mijn foto’s bekijken.
Hoe kan dit? Ik had mijn gegevens toch beveiligd met een wachtwoord?
Nee, de gegevens waren niet beveiligd met een wachtwoord. Het wachtwoord dient slechts voor toegangscontrole op het telefoontoestel. De fysieke gegevens zijn daarmee nog niet beveiligd. Als iemand de fysieke gegevens in handen krijgt, zoals in het voorbeeld hierboven door het geheugenkaartje uit het toestel te halen, kan diegene alsnog de gegevens inzien. Hetzelfde geldt voor gegevens die zijn opgeslagen op de harde schijf van een computer of laptop. Ook die kunnen, zonder aanvullende beveiliging, vrij eenvoudig worden uitgelezen als iemand het apparaat in handen krijgt.
Als we naast het toepassen van toegangscontrole ook onze fysieke gegevens willen beveiligen, kunnen we die versleutelen. We noemen dat dan encryptie. Na versleuteling zijn de opgeslagen gegevens in feite gecodeerd. Iemand die de gecodeerde gegevens in handen krijgt, kan er niets mee omdat de gegevens niet meer leesbaar zijn. Om de gecodeerde gegevens weer leesbaar te maken, moet de omgekeerde actie (laten we die “ontsleuteling” noemen) plaatsvinden. De acties versleuteling en ontsleuteling gebeuren aan de hand van een coderingssleutel die, net als een wachtwoord, vertrouwelijk is.
Moderne besturingssystemen voor computers en mobiele apparaten hebben ondersteuning voor encryptie al aan boord. Deze moet echter vaak wel nog door de gebruiker geactiveerd worden.
Tot zover het theoretische gedeelte. In deel 2 laat ik zien hoe ik mijn wachtwoordbeheer aanpak.
Abonneren via e-mail: Wil je een e-mail ontvangen zodra er een nieuw artikel op fareastfire.nl is gepubliceerd? Abonneer je dan gratis (uitschrijven is mogelijk):
Geef een antwoord