Ook al wordt het vaak geroepen, maar wachtwoorden zijn nog lang niet dood, aldus Microsoft hoofdonderzoeker Cormac Herley. Het is alleen tijd voor een herziening, gebaseerd op de schade die kan ontstaan als het wachtwoord gecompromitteerd wordt. Ondanks de roep om wachtwoorden te vervangen, waarbij Microsoft zelf in Windows 8 een foto-wachtwoord authenticatie introduceerde, is er volgens Herley nog altijd geen echt alternatief. "Niet alleen zullen wachtwoorden nog lang gebruikt worden, in veel gevallen zijn ze voor het scenario in kwestie de beste oplossing."
Herley erkent dat wachtwoorden ook zwaktes hebben. Ze zijn kwetsbaar voor brute force-aanvallen, keyloggers, phishingaanvallen en kunnen geraden worden. "Zeven jaar sinds Bill Gates het wachtwoord dood verklaarde, is het ons niet gelukt om ze te laten verdwijnen, maar blijven ze zich vermenigvuldigen als universele internet authenticatie, die miljoenen accounts beschermen", aldus de onderzoeker in dit onderzoeksdocument.
Ondanks de dreigingen waar wachtwoorden mee te maken hebben, is onbekend wat nu de grootste dreiging is, en hoe de verhoudingen liggen. "Worden meer accounts gehackt door brute-force dan door schoudersurfen? Worden meer accounts gekaapt door keylogging dan door phishing? Hoe vaak zorgt hergebruik van wachtwoorden tot een escalatie van aanvallen? Helaas is op slechts een paar uitzonderingen na het succes van elke aanvalsvector onbekend."
Voordelen
Wachtwoorden hebben ook verschillende voordelen. Ze zijn gratis, worden gemakkelijk door gebruikers begrepen, geven toegang tot accounts van over de hele wereld en het intrekken van het wachtwoord is eenvoudig te doen door een nieuwe wachtwoord te kiezen. Toch zijn wachtwoorden voor veel gebruikers een last, en kost het moeite en energie die gebruikers beter ergens anders kunnen gebruiken. Herley pleit dan ook niet voor sterke wachtwoorden of een uniek wachtwoord voor elk account.
"Wachtwoorden zijn een waardige tegenstander. Alle pogingen om ze te vervangen zijn mislukt. Eerlijkheid gebied te zeggen dat er de afgelopen twintig jaar weinig vooruitgang is geboekt; de bruikbaarheid is ernstig teruggelopen, terwijl de veiligheid niet is verbeterd." Of en hoe wachtwoorden vervangen moeten, ligt dan ook aan de dreigingen en kans op een aanval. En dat zijn twee onderwerpen die volgens Herley verder moeten worden onderzocht.
Deze posting is gelocked. Reageren is niet meer mogelijk.