Nog veiliger dan een ingewikkeld wachtwoord, volgens Google: helemaal geen wachtwoord meer

Op het laptopscherm verschijnt een lichte woonkamer van een huis aan de westkust van de Verenigde Staten, en in die woonkamer staat, perfect belicht en recht in de camera pratend, het hoofd van de afdelingen beveiliging en online-identiteit bij Google. Dan denk je: dit wordt een verhaal over dat we een wachtwoordmanager moeten gebruiken en veel betere wachtwoorden moeten kiezen dan ‘12345’ of ‘geheim’, zoals nogal wat Nederlanders doen. Maar dat is niet wat Mark Risher, want zo heet hij, komt uitleggen. Met de monterheid die veel Amerikanen eigen is, komt hij vertellen dat het wat hem betreft veiliger is om helemaal geen wachtwoord meer te hebben.

‘Wachtwoorden zijn een overblijfsel uit de tijd dat er één computer stond op een universiteit, of een bibliotheek’, zegt Risher. ‘Bij die ene computer kon je aantonen dat jij het was door een wachtwoord in te tikken. Verder dan dat zijn we nauwelijks gekomen.’

Dat wil zeggen: we zijn wel meer apparaten gaan gebruiken waarvoor je wachtwoorden moest verzinnen, en nieuwe gezichtscrème bestellen lukt ook niet meer zonder een account aan te maken. Omdat je al die wachtwoorden niet allemaal kunt onthouden en lang niet iedereen een veilige manier heeft om ze op te slaan, zitten we nu met volgens Risher gemiddeld 75 wachtwoorden in grofweg drie categorieën.

Datalekken

‘Die voor je bank is meestal behoorlijk veilig, en nog net te onthouden. Dan volgt er een combinatie van een naam en een getal voor je Facebook-account, al iets veiliger, en dan komt er een hele rij diensten waarvoor het een goed idee leek de naam van je huisdier achterstevoren te spellen.’ Recente datalekken en politierapporten tonen aan dat een hacker maar één keer in hoeft te kunnen breken in je Marktplaats-account om zogenaamd op jouw naam een telefoon te verkopen en er vandoor te gaan met het geld van een argeloze koper.

Een wachtwoord is van jou, en phishers, of hackers, moeten dat van je te weten komen – en slagen daar ook in, dat is volgens Risher het probleem. Zelfs twee-factorauthenticatie, waarbij je een code uit een sms op je telefoon moet invoeren om bij je Twitteraccount te kunnen, is te omzeilen. Het ‘enige’ dat phishers hoeven te doen is een loginpagina opzetten waarin een argeloze gebruiker die code toetst, of die code onderscheppen.

Security key

Dit alles moet anders, vindt Google. Het zou niet meer aan de gebruiker moeten zijn om te controleren of je inlogt bij google.nl of googl.nl, maar aan google.nl om zeker te weten dat jij het bent. Dat kan met een security key. Vergelijk het met een pasje dat je langs een paslezer moet halen om een gebouw binnen te komen. Maar dan een dat alleen jij kunt gebruiken, omdat hij gekoppeld is aan je account.

Die security keys bestaan als usb-sticks die je in een computer stopt om zeker te weten dat jij het bent, maar ze kunnen ook op telefoons. In Android-telefoons bouwt Google al security keys en er is een iOS-versie om ook op een iPhone te kunnen verifiëren dat jij het bent – of om precies te zijn: dat de security key van jou is.

Probeer je in te loggen met je Google-account op je computer, dan krijg je een pushbericht op je telefoon waarmee je dat bevestigt. En die telefoon moet weer in de buurt zijn van de computer in kwestie. Je mobiel, die je waarschijnlijk toch al het grootste deel van de dag bij je hebt, wordt dus de pas die je langs een virtuele paslezer houdt om bij je account te kunnen. Met ergens veilig (fysiek) opgeslagen een back-upcode om je account te herstellen voor als je telefoon zoekraakt.

Hiervoor bestaan overigens ook open standaarden als WbAuthn, waaraan Google ook meewerkt. Is deze methode onfeilbaar? Nee, zegt Risher. Maar het is voor een hacker een stuk moeilijker om je te hacken als hij je telefoon vast moet hebben, moet ontgrendelen (vaak met vingerafdruk) én bij het apparaat waarop je probeert in te loggen in de buurt moet zijn.

Inloggen met je Google-account gaat wel wat verder dan alleen bij je Google Docs of Gmail kunnen. Net als met accounts van Apple en Facebook kun je met Google inloggen bij diensten van derden: sportapps met gezondheids- en locatiegegevens, onlinegames, als je een concertkaartje wilt kopen, misschien is je slimme thermostaat erop aangesloten. Voor wie dat wil, wordt het Google-account een security key voor je (digitale) leven. Van ‘sign in’ wordt het ‘set up’, als je een nieuwe computer of tablet koopt stel je het één keer goed in, en daarmee is alles beveiligd. Belooft Mark Risher namens Google vanuit zijn Amerikaanse woonkamer.

Risico

Daar gaat het wringen, zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit. Want je moet wel heel veel vertrouwen hebben in Google om al je wachtwoorden aan hen te geven en in te ruilen voor een security key – van Google. ‘We weten van de onthullingen van Edward Snowden over de afluisterpraktijken van Amerikaanse overheidsdiensten dat er meegekeken kon worden bij de grote techbedrijven. Wie zegt dat zoiets niet nog een keer gebeurt?’

Jacobs wijst ook op het risico van veel verantwoordelijkheid bij één partij, of het nou Google of een concurrent is. Want wat als de servers waarop al die logins opgeslagen worden eruit liggen? Eind vorig jaar waren vrijwel alle diensten van Google, van YouTube tot Google Maps tot Google Meet en Gmail, voor ingelogde gebruikers een half uur lang onbruikbaar door een storing. De afhankelijkheid van één aanbieder wordt groot als je zoveel diensten van die aanbieder afneemt.

En dan is er de manier waarop Google geld verdient, voornamelijk door advertenties te verkopen op basis van het gedrag van gebruikers. Wie, zegt Jacobs, garandeert dat Google niets doet met de kennis van waar je bent ingelogd? Jacobs ziet daarom meer in een open, online-identiteit: een persoonlijke digitale unieke sleutel voor alle deuren op het web, open source, dus zodat de broncode voor iedereen zichtbaar en kopieerbaar is, en wordt beheerd door een organisatie zónder winstoogmerk.

De Europese Unie presenteerde onlangs haar plan voor zo’n e-ID, een online-identiteit voor inwoners van de lidstaten buiten de grote Amerikaanse techplatforms om. Jacobs: ‘Bedrijven als Google kunnen goed doen alsof ze het beste voorhebben met de wereld, ze hebben een commerciële agenda. Dat is vaak niet dezelfde agenda die ik als als gebruiker heb.’