Alternatieven als smartcards lijken evenwel nog niet aan te slaan. Het komende jaar komen er nieuwe versies op de markt die het wachtwoord snel zullen doen vergeten. Uw lijstje kan bij het oud papier, als het aan RSA en Microsoft ligt.

Waarom is een wachtwoord onveilig?

Wachtwoorden hebben een groot nadeel. Ze zijn afhankelijk van ons, hun menselijke eigenaren. Mensen vergeten dingen nogal snel, en schrijven daarom wachtwoorden op. Professionele hackers azen op dit soort stukjes papier. De onvoorzichtigheid van een enkel persoon kan dan de veiligheid van een compleet systeem in gevaar brengen.

Wie geen lijstje heeft, heeft het wellicht anders aangepakt. Veel mensen gebruiken dezelfde wachtwoorden voor meerdere systemen. Als het bij persoonlijke zaken blijft, is dit niet zo erg.

Wie hetzelfde wachtwoord heeft bij meerdere webwinkels, brengt alleen zijn eigen portemonnee in gevaar. Het blijkt echter dat veel mensen dezelfde truc toepassen op hun werk. Een enkel wachtwoord levert een kwaadwillende dan de toegang tot misschien wel meerdere bedrijfskritische systemen.

Het is niet eens zo moeilijk om ook zonder het handige papiertje achter een wachtwoord te komen. Als een hacker spyware op een pc heeft geďnstalleerd, kan iedere toetsaanslag worden vastgelegd. Ook de wachtwoorden kunnen dan dus doorgespeeld worden aan degene die de spyware heeft losgelaten.

Software producenten volgen de ontwikkelingen met argusogen. Een wachtwoord of 'key' kan namelijk, vrijwillig of niet, eenvoudig aan iemand anders worden overgedragen. Dat komt meteen heel dicht in de buurt van software piraterij. De ontwikkeling van betere beveiligingsmethoden wordt dan ook van harte ondersteund door de fabrikanten als Microsoft en Sun Microsystems.

Smartcards en tokens

Een van de nieuwe technieken om tot een betere beveiliging te komen is SecurID. SecurID is een initiatief van RSA en Microsoft. Het is speciaal gericht op de beveiliging voor Windows.

SecurID werkt op een bekende manier. Een klein stukje hardware (een 'token') moet worden toegevoegd aan een pc. Dit is een draagbaar object, zoals een sleutelhanger. Het kan bijvoorbeeld via een USB poort aan een computer worden gekoppeld. Dit token kan worden herkend binnen aangesloten netwerken. De gebruiker heeft ook een pincode nodig, die hem of haar identificeert als de eigenaar van het token. Door de pincode in te voeren, genereert het token een unieke code, waarmee de gebruiker bekend kan worden gemaakt aan de betreffende machine. Deze code verandert iedere 60 seconden.

Het grote voordeel van een dergelijke aanpak is dat de pincode zonder token niet te gebruiken is, en de token zonder pincode ook niet. Het wordt dus lastig om bijvoorbeeld spyware succesvol in te zetten.

SecurID is anders dan voorgaande technieken zoals de oudere smartcards. Omdat Microsoft zich achter het initiatief heeft geschaard, kan een oplossing worden aangeboden waarbij het installeren van extra hardware op de computers binnen het netwerk niet meer nodig is. Een smartcard heeft wel weer als voordeel dat er extra informatie over de gebruiker op kan staan. De verwachtingen zijn dat SecurID het toch gaat winnen, omdat het zo makkelijk te installeren is.

Beveiliging is namelijk nooit leuk. Het gaat ten koste van gebruiksvriendelijkheid en werkplezier. Beveiliging holt altijd achter de feiten aan, omdat er eerst nieuwe functionaliteit wordt bedacht en er daarna pas over de beveiliging wordt nagedacht. Een oplossing die zonder te veel gedoe kan worden gebruikt, zal dan ook veel succes oogsten.

Biometrie

Een nadeel van het gebruik van de SecurID oplossing is dat een pincode en het token nog steeds kunnen worden overgedragen aan een ander persoon. Om dit te voorkomen wordt in sommige bedrijven al biometrie toegepast.

Door biometrie worden de fysieke kenmerken van een individu gemeten en vergeleken met een bekend profiel. Denk hierbij aan bijvoorbeeld vingerafdrukken, iris- en stempatronen.

Biometrie is inmiddels definitief van de science fiction naar de werkelijkheid overgestapt. Er wordt veel onderzoek naar gedaan. In enkele gevallen wordt biometrie al binnen de it toegepast voor identificatie. Financiële instellingen gebruiken bijvoorbeeld vingerafdrukken om gebruikers van hun systemen te herkennen.

IBM, Microsoft, Novell en anderen ontwikkelen op dit moment BioAPI. Deze standaard verzorgt de interactie tussen biometrische software van verschillende fabrikanten. Het grootste strijdpunt zit in privacy overwegingen. Waarschijnlijk wordt biometrie in de toekomst gecombineerd met encryptie, om te voorkomen dat biologische kenmerken van medewerkers in verkeerde handen vallen. Vergeet uw sleutelhanger niet

Het zal even duren voordat de traditionele wachtwoord-aanpak verdwenen zal zijn. Dat het gaat gebeuren, kunnen we inmiddels wel aannemen. Tokens, en later de biometrische apparaten, gaan de toegang tot bedrijfssystemen beveiligen. De eerste stappen naar een popularisering zullen waarschijnlijk worden gezet door RSA en Microsoft. Vergeet tegen die tijd uw sleutelhanger niet.