Re-usable identities instead of different passwords everywhere

wachtwoorden-postits

Below is a blog post in Dutch on re-usable identities instead of different passwords for all websites. The trigger for the blogpost is that Hold Security released the Dutch (or actually, .nl) part of the logindata/emailadresses that they discovered to be hacked. The NCSC (National Dutch Cyber Security Centre) IMHO focusses to much on educating users to prevent this, contrary to fnding/promoting solutions such as re-usable identities, including the Dutch eID Stelsel NL (similar to NSTIC in the US).

—— as copied from innovalor.nl site ——

Herbruikbare identiteiten en niet overal verschillende wachtwoorden (Hold Security & NCSC)

Je kunt het bijna niet gemist hebben: begin augustus heeft het Amerikaanse bedrijf Hold Security bekend gemaakt 1.2 miljard (!!!) inloggegevens in haar bezit te hebben die door hackers waren buitgemaakt. En het Nederlandse Cyber Security Centrum heeft inmiddels ook het Nederlandse gedeelte van deze gegevens in haar bezit, zie deze kamerbrief van NCSC/NCTV/MinV&J. Deze bekendmaking door Hold Security is overigens niet onomstreden, zie ook deze blogpost van Matthijs Koot.

Ik beperk me in deze blogpost tot het advies aan eindgebruikers in de factsheet over “Uw gegevens in de dataset Hold” van het NCSC die gisteren (13 october 2014)  is verschenen. Hierin staat een verstandig maar erg onpraktisch advies aan gebruikers:

Verander direct uw wachtwoord van alle toepassingen waar u gebruik maakt van dit e-mailadres. Het is altijd verstandig om regelmatig wachtwoorden te wijzigen en verschillende inlognaam/wachtwoord-combinaties te hanteren voor het inloggen bij digitale diensten.

Hoewel ik echt wel begrijp dat het NCSC dit adviseert, vraagt het eigenlijk te veel van gebruikers. De security-paranoids onder ons daargelaten heb ik sterke twijfels of mensen of mensen bereid zullen zijn aparte wachtwoorden voor elke website te gaan gebruiken, laat staan ze ook nog regelmatig aan te passen. Alleen al onthouden waar je allemaal een account hebt aangemaakt (100+ ?) is niet te doen, laat staan welke gebruikersnamen en wachtwoorden je gebruikt hebt.

Password managers kunnen hier wel helpen, maar lijken ondanks dat ze al heel lang bestaan niet erg populair te worden. Overigens, als iemand onderzoek kent waarom niet, dan hou ik me aanbevolen (ik ken wel onderzoek naar de veiligheid van de password managers). Uit een statistisch volledig onverantwoorde steekproef die ik recent deed lijken veel mensen zich gelukkig wel te realiseren dat ze voor ‘echt’ belangrijke identiteiten (overheid, zorg, bank, social networks etc) wel een ander wachtwoord moeten gebruiken dan voor bijvoorbeeld een vage webwinkel of forum.

Een betere oplossingsrichting dan te proberen iedereen te overtuigen unieke loginnamen en wachtwoorden te gaan gebruiken voor elke website is mijn inziens hergebruik van identiteiten. Een voorbeeld is DigiD, één identiteit die we hergebruiken voor alle overheidsdiensten i.p.v. per overheidsdienst een aparte gebruikersnaam/wachtwoord. Andere voorbeelden zijn Facebook Connect en SURFconext. Dit brengt wel weer eigen risico’s en uitdagingen met zich mee, met name:

  • Privacy – de verstrekker van de herbruikbare identiteit is een potentiële big brother want kan zien waar gebruikers inloggen.
  • Business continuity – als de herbruikbare identiteit het niet doet dan kun je heel veel diensten niet meer gebruiken. Alsof de voordeuren van alle winkels en de het gemeentehuis tegelijk niet meer open willen door een storing.
  • Aantrekkelijk target – een herbruikbare identiteit is natuurlijk erg aantrekkelijk om te hacken.
  • Business model – welke rollen zijn er en wie betaald waarvoor.

Door een combinatie van privacy-by-design, redundante middelen, afsprakenstelsels en simpelweg een goede beveiliging (inclusief 2-factor) zie ik herbruikbare identiteiten echter wel als de weg voorwaarts. Dit is overigens ook de denkrichting van bijvoorbeeld het eID Stelsel NL.

De eerder genoemde kamerbrief sluit af met

De geschetste kwetsbaarheden in websites en het voorkomen van emailadressen in omvangrijke datasets van gelekte gegevens illustreren het belang van de bewustheid en bekwaamheid (awareness) van eindgebruikers. Tijdens de campagne Alert Online die van 27 oktober tot 6 november voor de derde maal gehouden zal worden zal hier nogmaals aanvullende aandacht voor gevraagd worden.

Ik vind het een gemiste kans dat hier de focus weer op die ‘domme’ eindgebruiker ligt en niet ook de meer structurele oplossingsrichting van hergebruik van identiteiten genoemd wordt, inclusief de relatie met het eID Stelsel NL. Om een metafoor te gebruiken: je kunt behalve met een veilig verkeer campagne voetgangers ook beschermen met oversteekplaatsen.

PS Ik heb nog geen email van gehad van één van mijn emailproviders, maar helaas is slechts één van de vier emailaddressen die ik veel gebruik een .nl adres dus dat zegt niet veel.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s