Online wachtwoorden beheren

Veel gebruikers vinden online beveiliging ingewikkeld. Mark Risher en Stephan Micklitz van Google praten over rekening houden met deze gevoelens bij het ontwikkelen van beveiligingsmaatregelen

Meneer Risher, u bent Directeur Productmanagement bij Google en werkt op het gebied van internetbeveiliging. Bent u ooit slachtoffer geweest van een online scam?

Mark Risher: Ik kan me nu geen concreet voorbeeld herinneren, maar ik neem aan van wel. Ik maak net als iedereen fouten als ik op het web surf. Ik voerde onlangs mijn Google-wachtwoord in op de verkeerde website bijvoorbeeld. Gelukkig heb ik de plug-in Password Alert van Chrome geïnstalleerd die me op mijn vergissing wees. Natuurlijk veranderde ik daarna gelijk mijn wachtwoord.

Stephan Micklitz, Directeur Engineering van het privacy- en beveiligingsteam van Google: Het is menselijk. Als we eenmaal een wachtwoord onthouden, kan het makkelijk gebeuren dat we het intypen zonder voldoende aandacht te besteden aan waar we het invullen.

Risher: We zouden wachtwoorden graag helemaal afschaffen, maar dat is jammer genoeg niet zo eenvoudig.

"Veel beveiligingsmaatregelen worden achter de schermen genomen."

Mark Risher

Wat is er mis met wachtwoorden?

Risher: Ze hebben veel nadelen: ze zijn makkelijk te stelen maar moeilijk te herinneren, en onze wachtwoorden beheren kan tijdrovend zijn. Veel gebruikers geloven dat een wachtwoord zo lang en ingewikkeld mogelijk moet zijn, hoewel dit in feite het beveiligingsrisico vergroot. Met ingewikkelde wachtwoorden hebben gebruikers de neiging om ze voor meer dan één account te gebruiken, wat ze nog kwetsbaarder maakt.

Micklitz: Het is beter om je wachtwoord zo weinig mogelijk in te voeren. Daarom moet je niet herhaaldelijk in- of uitloggen op je accounts. Na een tijdje kan het gebeuren dat gebruikers niet in de gaten hebben op welke pagina ze momenteel zijn, wat het een stuk makkelijker maakt voor dieven van wachtwoorden. Om die reden adviseren we onze gebruikers om ingelogd te blijven.

De website van mijn bank logt me automatisch uit als ik een paar minuten inactief ben.

Micklitz: Jammer genoeg volgen deze bedrijven nog steeds verouderde regels. Het advies om steeds uit te loggen komt uit een tijd waarin de meeste mensen in internetcafés online gingen of een computer met anderen deelden. Ons onderzoek laat zien dat hoe vaker mensen hun wachtwoord invoeren, hoe groter de kans is dat ze het slachtoffer worden van een cyberaanval. Het is daarom veiliger om de schermvergrendeling op je telefoon of op je computer te activeren en een beveiligd wachtwoord te gebruiken.

Risher: Dat klopt. Helaas is er veel onjuist of onpraktisch advies in omloop, wat voor veel gebruikers verwarrend is. In het ergste geval raken mensen zo onzeker dat ze het gewoon opgeven: 'Als het zo moeilijk is om mezelf te beschermen, dan kan ik het net zo goed opgeven.' Dit is een beetje vergelijkbaar met altijd de voordeur open laten staan omdat je weet dat er inbrekers zijn.

Mark Risher
USB-beveiligingssleutel

Mark Risher is Google's Directeur Productmanagement voor beveiliging en privacy. In 2010 richtte hij de cyberbeveiligings-start-up Impermium op, die in 2014 door Google werd overgenomen. SIndsdien werkt Risher op het hoofdkantoor van Google in Mountain View, Californië. Rechts: een beveiligingssleutel zoals die wordt gebruikt in Geavanceerde beveiliging. De sleutel is beschikbaar tegen een kleine vergoeding en kan op verschillende websites gebruikt worden.

Hoe kan Google voor gebruikersbeveiliging zorgen als wachtwoorden afgeschaft werden?

Risher: We hebben al veel aanvullende beveiligingsmaatregelen achter de schermen lopen. Een hacker kan erachter komen wat je wachtwoord is en wat het nummer van je mobiele telefoon is. En zelfs dan kunnen we nog steeds 99,9 procent beveiliging garanderen voor je Google-account. We checken bijvoorbeeld vanaf welk apparaat of land iemand inlogt. Als iemand meerdere keren achter elkaar probeert in te loggen op je account met een fout wachtwoord, dan gaat er een alarm af in onze beveiligingssystemen.

Micklitz: We hebben ook de beveiligingscheck ontwikkeld die gebruikers in staat stelt om stapsgewijs hun persoonlijke beveiligingsinstellingen in hun Google-account te doorlopen. En met het programma voor geavanceerde beveiliging gaan we nog een stap verder.

Welk idee zit er achter dit programma?

Micklitz: Oorspronkelijk werd het programma ontwikkeld voor mensen zoals politici, CEO's of journalisten die een specifiek doelwit zijn voor criminelen. Maar nu is het beschikbaar voor iedereen die extra online bescherming zoekt. Alleen mensen met een speciale USB- of bluetooth-dongel kunnen toegang krijgen tot hun beschermde Google-account.

Risher: Uit ervaring weten we hoe effectief dit systeem is, omdat alle Google-medewerkers een beveiligingssleutel gebruiken om hun bedrijfsaccount te beveiligen. Sinds we deze beveiligingsmaatregel hebben ingevoerd, hebben we geen enkel geval van phishing gehad dat teruggeleid kon worden tot wachtwoordbevestiging. Het token verbetert de beveiliging van Google-accounts enorm omdat zelfs als aanvallers het wachtwoord weten, ze het account niet kunnen openen zonder token. In het algemeen kan een online account van overal in de wereld worden gehackt, dit is niet mogelijk bij accounts die beschermd zijn met een fysiek beveiligingstoken.

Micklitz: Deze beveiligingstokens kunnen voor veel websites worden gebruikt, niet alleen voor Geavanceerde beveiliging van Google. Je kunt ze voor een klein bedrag van ons of van andere providers kopen. Je kunt alle informatie vinden op g.co/advancedprotection.

"Mensen vinden het soms moeilijk om de risico's op het internet in te schatten."

Stephan Micklitz

Wat zijn volgens u de grootste gevaren die tegenwoordig op het internet op de loer liggen?

Risher: De vele lijsten met gebruikersnamen en wachtwoorden die er online zijn, die zijn één probleem. Onze collega Tadek Pietraszek en zijn team hebben 6 weken lang het internet doorgekamd en vonden 3,5 miljard combinaties van gebruikersnamen en wachtwoorden. Dit zijn geen gegevens van gehackte Google-accounts, ze werden van andere providers gestolen. Veel gebruikers gebruiken echter hetzelfde wachtwoord voor meerdere accounts en dus vormen deze lijsten een probleem voor ons.

Micklitz: Ik zie spear phishing als een enorm probleem. Dit houdt in dat een aanvaller een persoonlijk bericht stuurt dat zo slim in elkaar is gezet dat het moeilijk is voor het slachtoffer om frauduleuze bedoelingen te herkennen. We zien dat hackers deze methoden meer en meer gebruiken, met succes.

Risher: Ik ben het met Stephan eens. Bovendien is spear phishing lang niet zo tijdrovend als het klinkt. Er zijn vaak maar een paar minuten voor nodig om een spammail te personaliseren. Hackers kunnen informatie gebruiken die gebruikers online over zichzelf publiceren. Dit is een probleem met cryptovaluta. Mensen die het bijvoorbeeld openbaar maken dat ze 10.000 bitcoins bezitten, moeten niet raar opkijken als deze informatie de aandacht van cybercriminelen trekt.

Micklitz: Het is net alsof ik in het midden van de markt ga staan met een megafoon en het tegoed op mijn bankaccount rondbazuin. Wie doet dat nu? Niemand. Mensen vinden het soms moeilijk om de risico's op het internet in te schatten.

Zijn gewone spammails nog steeds een probleem?

Risher: Het koppelen van apparaten en services is een grote uitdaging voor ons. Mensen gebruiken niet alleen laptops en smartphones om online te gaan, maar ook tv's, smartwatches en smartspeakers. Er zijn verscheidene apps op al deze apparaten, wat hackers veel verschillende potentiële aanvalsmogelijkheden biedt. En omdat veel apparaten nu verbonden zijn, kunnen hackers het ene apparaat gebruiken om toegang te krijgen tot informatie dat op het andere apparaat is opgeslagen. Dus nu moeten we ingaan op de vraag: Hoe kunnen we de veiligheid van onze gebruikers garanderen ondanks de grote hoeveelheid nieuwe gebruiksgewoonten?

Micklitz: Het begint met de vraag welke gegevens we echt nodig hebben voor elke service en welke gegevens tussen services worden uitgewisseld.

Hoe gebruik je artificial intelligence om gebruikers te beschermen?

Micklitz: Google gebruikt al een tijd artificial intelligence.

Risher: De technologie werd van begin af aan opgenomen in onze e-mailservice, Gmail. Google ontwikkelde zelfs zijn eigen machine learning-bibliotheek, TensorFlow genaamd, die het werk vergemakkelijkt van programmeurs die met machine learning werken. TensorFlow is vooral nuttig voor Gmail, omdat het een waardevolle service levert voor de herkenning van typische patronen.

Kunt u uitleggen hoe patronen herkennen werkt?

Risher: Stel je voor dat we verdachte activiteit waarnemen bij meerdere gebruikers die we niet kunnen categoriseren. Een zelflerende machine kan deze gebeurtenissen vergelijken en idealiter nieuwe vormen van fraude ontdekken nog voordat ze zich online verspreiden.

Micklitz: Maar er zijn beperkingen. Een machine is maar zo intelligent als de persoon die hem gebruikt. Als ik onjuiste of eenzijdige gegevens invoer, zullen de patronen die de machine herkent ook onjuist of eenzijdig zijn. Ondanks de hype rond artificial intelligence hangt de effectiviteit altijd af van de persoon die hem gebruikt. Het is aan de gebruiker om de machine te trainen met hoogwaardige gegevens en de resultaten naderhand te controleren.

Risher: Op een keer, toen ik voor een andere e-mailprovider werkte, ontvingen we een bericht van een bankmedewerker in Lagos. Er waren in die tijd veel fraudulente e-mails in de omloop die blijkbaar uit Nigeria kwamen. De man klaagde erover dat zijn e-mails altijd in de spammap van de ontvanger belandden, ook al werkte hij voor een gerenommeerde bank. Dit is een typisch geval van foutengeneralisatie binnen patroonherkenning vanwege onvoldoende informatie. We konden dit probleem helpen oplossen door het algoritme te veranderen.

Foto's: Conny Mirbach

Ontdek hoe Google helpt om iedereen online te beschermen.