Wachtwoorden, MFA, passkeys, etc... wat is nu écht het veiligste?

Wachtwoord veiligheid verandert met de jaren, nu bijvoorbeeld weer met de opmars van AI.
Deze FAQ is dan ook een dynamische, de inhoud kan met de tijd veranderen.

Het kan de gemoederen flink bezig houden, zowel bij jou als gebruiker als voor bedrijven, security, en ook bij hackers: Welke wachtwoorden en methodes zijn nou echt veilig, en welke niet.

Hackers zijn niet gek, in tegendeel, en als je niet gehacked wilt worden is het van belang om te weten hoe een hacker achter je inloggegevens probeert te komen.


Ik hak deze FAQ even in een paar hoofdstukken:


Wachtwoorden

In de jaren 90 waren wachtwoorden nog ondergeschikt aan functionaliteit: als een wachtwoord je in de weg zat, kon je die veelal uitschakelen of iets simpels invullen als welkom01 (niemand gebruikt deze nog, toch?!). Sinds we in de 21e eeuw leven zijn wachtwoorden langzamerhand steeds belangrijker geworden, en in eerste instantie lag de focus vooral op lengte en complexiteit.

Wat belangrijk is om te onthouden, is dat rekenkracht aan de basis staat om een wachtwoord te kraken. En juist rekenkracht is wat in computers continu wordt verbeterd, en dat is in de laatste decennia exponentieel gegroeid.
Wat in 2000 de dikste computer was die je bouwen kon, zit nu in je broekzak als smartphone. Letterlijk.

Maar wat heeft dat voor consequenties voor een wachtwoord?
Wachtwoorden kraken gaat volgens een aantal methodes, en al die methodes gebruiken de rekenkracht van de computer om de tekens of woroden in je wachtwoord te “raden”.

Bekende technieken zijn brute force attacks waarbij elk teken van je wachtwoord geraden wordt.
Dat gaat als volgt:

a, b, c, d, e, f, g, h, i, (etc)
aa, ab, ac, ad, ae, af, (etc
aaa, aab, aac, aad, (etc)

Uiteindelijk komt zo altijd je wachtwoord een keer voorbij… ALTIJD!

Maar dat kunnen wel honderdduidenden pogingen kosten eerdat jouw wachtwoord op deze manier voorbij komt?

Dat klopt, maar daarom is die rekenkracht zo belangrijk.
Ter indicatie, een wachtwoord van 12 tekens met hoofdletters, kleine letters duurde rond 2000 nog enkele jaren om te brure forcen, in 2023 duurt dat max 3 weken!

Naast deze brute force attacks zijn ook dictionary attacks een populaire methode voor hackers om je wachtwoord snel te achterhalen.
Door gebruik te maken van woordlijsten met de meest populaire woorden die in wachtwoorden gebruikt worden kan er gebruteforced worden op woorden i.p.v. teken voor teken, wat zorgt voor vele malen snellere resultaten.

En in middels bevatten die word lists of rainbow tables zoveel woorden, en in zoveel talen, dat de woorden in jouw wachtwoord er waarschijnlijk ook bij staan.

Maar de kracht in deze dictionary attacks zit ook in het feit dat wij mensen gewoonte dieren zijn; wij gebruiken vaak bepaalde woorden bij elkaar, denk aan bekende teksten (to be or not to be - tobeornottobe is een heel populair wachtwoord).

Maar wat maakt dan wél een goed wachtwoord?

  • Random
    Mensen zijn niet goed in zelf random tekens of woorden verzinnen, dat kunnen onze hersenen niet.
    Als jij denkt dat jij dat wel kunt, dan nemen je hersenen je nu ook in de maling!
    Maarliefst 81% van datalekken worden veroorzaakt door hergebruikte, inmiddels zwakke wachtwoorden.
    Wil je een echt random wachtwoord, dan laat je die genereren.
    Een Diceware wachtwoord (waarbij random woorden voor je in een random volgorde worden gezet) is makkelijk te typen maar moeilijk te kraken.

  • Uniek
    Elk wachtwoord gebruik je maar 1 keer. Stel dat dit wachtwoord gecompromiteerd wordt, dan ligt slechts 1 wachtwoord van je op straat, en niet dat ene wachtwoord dat je ook gebruikt voor internet bankeren of om je email accounte mee te kunnen resetten.

  • Memorabel
    Ja, een veilig wachtwoord is belangrijker dan een makkelijk te onthouden wachtwoord, maar als je wachtwoord onmogelijk complex is om in te typen dan is dat niet praktisch werkbaar.
    Dit los je op door woorden of delen van woorden te gebruiken welke malleijker te onthouden zijn.

  • Password manager
    De beste oplossing om overal goede wachtwoorden te gebruiken maar ze wel te kunnen managen, is met een password manager. Een programmaatje dat je wachtwoorden voor je kan genereren en bijhouden (opslaan) en ze in veel gevallen ook voor je kan invullen nadat je bijvoorbeeld je vingerafdruk of hoofdwachtwoord hebt ingevuld.
    Met een Password manager ben je veel sneller geneigd complexe wachtwoorden te gebruiken omdat deze toch voor je worden opgeslagen.
    Uiteraard is je Password manager zo veilig als de zwakste schakel, je hoofdwachtwoord (master password)… dus die moet wel héél goed zijn!


Passkeys

In 2013 besloten een aantal grote tech bedrijven hun knappe koppen bij elkaar te steken om eens iets slimmers te gaan verzinnen dan gebruikersnamen en wachtwoorden.

De Fast Identity Online (FIDO) Alliance werd opgericht: een consortium van toonaangevende techbedrijven, overheidsinstanties, dienstverleners, financiële instellingen, betalingsverwerkers en andere industrieën met als doel het gebruik van wachtwoorden op websites, apps en apparaten uit te bannen.

De FIDO Alliance telt meer dan 250 leden, waaronder wereldleiders op het gebied van technologie voor ondernemingen, betalingen, telecommunicatie, overheid en gezondheidszorg. Toonaangevende bedrijven zoals Microsoft, Google, Apple, Amazon, Facebook, Mastercard, American Express, VISA, PayPal en OneSpan hebben een lidmaatschap op bestuursniveau. (bron: OneSpan)

De FIDO-Authenticatie (FIDO2) is de pasis van wat we Passkkeys noemen, en het idee is als volgt:

Je wilt ergens inloggen, maar jij verzint niet zelf een wachtwoord, dat doet je computer of mobiel voor jou. In plaats van een gebruikersnaam en wachtwoord, vult je computer of mobiel op de achtergrond een cryptografische sleutel in (enorme tekenreeks die vrijwel onmogelijk is om te kraken) gebaseerd op een privé sleutel en een publieke sleutel (het PGP principe) en een Authenticator (het MFA/2FA principe).

Bijvoorbeeld je Google.com login wordt opgeslagen op je Windows laptop, en met Windows Hello wordt de cryptografische sleutel beveiligd via gezichtsherkenning of vingerafdrukherkenning.
Bij Google.com wordt in jouw account je laptop geregistreerd en gekoppeld aan de Passkey.
Op het moment dat je nu gaat inloggen bij Google.com zal de website meteen de passkey activeren, en wordt de cryptografische sleutel van je laptop gecontroleerd. Komen die overeen dan wordt ge gezichtsherkenning of vingerafdrukherkenning gestart, en als je die succesvol afrondt ben je ingelogd.

Je vult dus geen wachtwoord meer in (makkelijker en sneller) en je biometrie is je multifactor authenticatie (veilger).
De oplettende lezer heeft al wel terecht geconcludeerd dat je per device je Passkeys moet registreren; Je windows laptop en je iPhone bijvoorbeeld maken eigen Passkeys aan.

Je kunt je Passkeys ook opslaan op Hardware Keys.

Er zijn al Password managers waaronder 1Password waarbij je de Passkeys in de manager kunt opslaan, en dan werkt het wel device onafhankelijk.


Multifactor authenticatie (MFA/2FA)
Je krikt je beveiliging enorm op door gebruik te maken van multifactor authenticatie, ook wel 2-factor authenticatie genoemd (maar dat kunnen dus meer dan 2 factoren zijn).

Het principe van multifactor authenticatie is gebaseerd op 2 of meer van deze factoren:

  • iets dat je weet
    Je gebruikersnaam en je wachtwoord

  • iets dat je hebt
    Een authenticator app, een OTP apparaat, een Hardware key

  • iets dat je bent
    Biometrische controle op de Authenticatie via vingerafdruk, gezichtsherkenning of een andere unieke fysieke eigenschap.

Een mooi voorbeeld van 2FA in het echte leven is een bezoek aan het pinapparaat.
Je gebruikt je pinpas (iets dat je hebt) in combinatie met je pincode (iets dat je weet) om jezelf te valideren en je geld op te nemen.


Hardware Keys

Multifactor authenticatie kan niet alleen maar een Authenticatore app zijn, maar bij voorbeeld ook een hardware TOTP token (zoals een RSA token of een Alladin token) of een Hardware key.
Die laatste is een USB of NFC key waarop je wachtwoorden en passkeys encrypted opgeslagen worden op het moment dat je deze op de Hardware key opslaat.
Bij het inloggen wordt dan om de Hardware key gevraagd, welke je in de computer stopt en activeert.
Als je deze Hardware key kwijtraakt en het je enige login methode is, dan heb je een probleem. Om die reden worden er vaak 2 Hardware keys tegelijk gebruikt bij registratie: een daarvan neem je zelf mee en de ander gaat in een kluis als backup.


Conclusie

In Security wordt vaak gesproken over layered security: Je maakt alles veiliger door verschillende lagen van security toe te passen.
Wat zijn uiteindelijk alle “lagen” ofwel elementen die samen een goede login maken?

  • unieke gebruikersnaam
  • uniek wachtwoord
  • password manager
  • multifactor authenticatie
  • passkeys
  • hardware keys