Video: Wachtwoorden zijn niet meer van deze tijd. Gebruik tweestapsverificatie (2FA) (November 2024)
Vorige maand schreef John Dvorak, oud PCMag-columnist en zelfbenoemde 'chagrijnige nerd', een scheldwoord over het wachtwoordresetproces. Ik was serieus bezig met het behandelen van de RSA-conferentie in San Francisco, dus ik schonk er niet veel aandacht aan. Nu ik heb gekeken, kan ik stellen dat de positie van John volkomen verkeerd is. Om een zin uit " Game of Thrones " te lenen, weet je niets, John Dvorak!
Dvorak zei: "Wat is er gebeurd met het idee om iemand het wachtwoord te sturen in plaats van een resetlink? Ik vond het oude wachtwoord leuk." Hij ging vervolgens spotten met het gebruik van een resetlink en zei: "Niets hiervan beschermt mij of iemand anders tegen iets. Het is een charade. Hoe beschermt dat iets?" Wel, John, ik zal het je vertellen.
Ze hebben het niet
De grootste reden dat een beveiligde website u geen vergeten wachtwoord stuurt, is heel eenvoudig: ze hebben het niet. Ze slaan het nergens op. En dat is goed. Als ze uw wachtwoord niet opslaan, kan het wachtwoord niet worden gestolen door hackers of worden gepost op Pastebin door een ontevreden werknemer. Echt waar, een website die uw wachtwoord opslaat, brengt uw privacy in gevaar.
Dus, als ze uw wachtwoord niet opslaan, hoe kunnen ze dan weten dat u het juiste hebt ingevoerd? Het antwoord ligt in een concept genaamd hashing. Hashing lijkt veel op codering, maar het is een eenrichtingsproces. Dezelfde invoer voor een hashing-algoritme levert altijd dezelfde uitvoer op, maar er is geen manier om die uitvoer te nemen en het origineel opnieuw te ontdekken.
Stel dat u zich aanmeldt voor een nieuw online account met uw favoriete wachtwoord, wat toevallig 'wachtwoord' is. De site plaatst wat je hebt ingevoerd via een hashing-algoritme en krijgt wat gebrabbel terug, zoals 991CEFz en Nw36, die het opslaat. Wanneer u zich aanmeldt, voert de site het wachtwoord uit dat u via hetzelfde algoritme hebt ingevoerd. Als het resultaat overeenkomt, doe je mee.
Ze moeten het niet verzenden
Zelfs als op een beveiligde site uw werkelijke wachtwoord is opgeslagen, zouden ze dit niet via e-mail naar u moeten verzenden. E-mail is inherent onveilig. Uw berichten stuiteren rond van server naar server op weg naar uw inbox. Tenzij u een soort e-mailencryptie heeft gebruikt, is uw wachtwoord gewoon niet veilig tijdens zijn reizen.
Dvorak stelt dat een link voor het opnieuw instellen van het wachtwoord net zo kwetsbaar is. Hij heeft het mis. Ten eerste zijn reset-links meestal van korte duur. Even nadat u de link heeft aangevraagd, wordt deze ongeldig. Nadat u de link opnieuw hebt gebruikt, wordt deze opnieuw ongeldig. Het gebruik van de link brengt ook een veilige SSL-verbinding tot stand tussen uw browser en de servers van de site. U voert uw nieuwe wachtwoord in, de site hasht het en slaat het resultaat op en u bent weer actief.
Maar ik kan het me niet herinneren!
Dvorak brengt het probleem van zijn Dropbox-account ter sprake, dat hij maar een paar keer per jaar gebruikt. Natuurlijk kan hij het wachtwoord niet meer onthouden als hij het moet gebruiken. Een wachtwoord dat u gemakkelijk kunt onthouden, is waarschijnlijk een wachtwoord dat iemand anders zou kunnen raden. Wat hij echt moet doen, is een wachtwoordbeheerder gaan gebruiken en al zijn bestaande wachtwoorden wijzigen in nieuwe, sterke, unieke wachtwoorden.
- Hoe maak je waanzinnig veilige wachtwoorden Hoe maak je waanzinnig veilige wachtwoorden
- De beste wachtwoordbeheerders voor 2019 De beste wachtwoordbeheerders voor 2019
- Het wachtwoord opnieuw instellen Dilemma Het wachtwoord opnieuw instellen Dilemma
Ja, er is een zekere hoeveelheid werk betrokken bij het overschakelen naar sterke wachtwoorden, maar het is de moeite waard. Onze eigen Jill Duffy legt uit hoe ze het deed gedurende een periode van vijf weken. En het hoeft niet duur te zijn. Sommige van de beschikbare gratis wachtwoordbeheerders doen het uitstekend.
"Maar ik moet me nog steeds dat sterke hoofdwachtwoord herinneren", hoor ik John bijna zeggen. Dat doe je inderdaad. Maar het is slechts één wachtwoord en er zijn manieren om het gedenkwaardig te maken. Bovendien gebruik je het elke dag, niet één keer per jaar. Dus, John, beschouw dit als je wake-up call; het is tijd om lid te worden van de moderne wereld en een wachtwoordbeheerder te krijgen.
