Deze week onthulde Yahoo inloggen zonder wachtwoord en onlangs sloot de Duitse overheid zich aan bij een internationale alliantie tegen wachtwoorden, maar wachtwoorden zijn wel veilig, we gebruiken ze alleen verkeerd en IBM heeft de oplossing, aldus Anja Lehmann, cryptografe bij 'Big Blue'.
Lehmann doelt bij het verkeerd gebruik niet op de eindgebruiker, maar op de website of partij die het wachtwoord moet controleren. Geen week gaat voorbij zonder dat er een gehackte website in het nieuws komt. Dit is volgens de cryptografe de grootste dreiging voor de veiligheid van wachtwoorden. Veel websites slaan de wachtwoorden van hun gebruikers niet in platte tekst op, maar de server moet toch iets opslaan om te bepalen of het wachtwoord correct is. Vaak gaat het om een hash van het wachtwoord. Als een aanvaller de hash in handen heeft kan hij eindeloos proberen die te 'kraken' en zo het bijbehorende wachtwoord te achterhalen.
Door het kiezen van een veilig wachtwoord wordt het lastiger voor de aanvaller om de hash te kraken en zo het wachtwoord te achterhalen. Volgens Lehmann kunnen moderne wachtwoordkrakers tegenwoordig meer dan 300 miljard wachtwoorden per seconde kraken, waardoor bijvoorbeeld een wachtwoord van 16 karakters ook snel sneuvelt. Nu is dit wel afhankelijk van de hash die wordt gebruikt, maar uit gelekte databases blijkt dat veel mensen korte wachtwoorden van bijvoorbeeld 8 karakters kiezen.
Het probleem met wachtwoorden is dan ook dat als er een enkele server is die bepaalt of het wachtwoord correct is en die server wordt gehackt, het wachtwoord niet meer veilig is, zo stelt Lehmann. De oplossing die ze voorstelt is om de informatie voor het controleren van het wachtwoord over meerdere servers te verdelen. Dit houdt in dat alle servers moeten samenwerken om te bepalen of het wachtwoord correct is of niet. De aanvaller moet nu al deze servers zien te hacken om de wachtwoorden te kunnen achterhalen.
"Dit kan extreem lastig worden gemaakt door de servers op verschillende locaties en met verschillende besturingssystemen te laten draaien, waarbij ze ook nog eens door verschillende systeembeheerders worden gemonitord", aldus Lehmann. Deze week presenteerde ze een nieuw verificatieprotocol (pdf) voor gedistribueerde wachtwoordverificatie, dat volgens haar zeer efficiënt en veilig is en bedrijven eigenlijk geen excuus meer geeft om ooit nog wachtwoorden van gebruikers door een gehackte server te verliezen.
Deze posting is gelocked. Reageren is niet meer mogelijk.