Online wachtwoorden beheren

Meneer Risher, u bent Directeur Productmanagement bij Google en werkt op het gebied van internetbeveiliging. Bent u ooit slachtoffer geweest van een online scam?

Mark Risher: Ik kan me nu geen concreet voorbeeld herinneren, maar ik ga ervan uit van wel. Net als ieder ander mens maak ik fouten als ik op het web surf. Ik voerde bijvoorbeeld onlangs mijn Google-wachtwoord in op de verkeerde website. Gelukkig had ik de plug-in Password Alert van Chrome geïnstalleerd, die me op mijn vergissing wees. Uiteraard heb ik daarna gelijk mijn wachtwoord veranderd.

Stephan Micklitz, Directeur Engineering van het privacy- en beveiligingsteam van Google: vergissen is menselijk. Als we een wachtwoord eenmaal hebben onthouden, kan het zomaar gebeuren dat we het intypen zonder goed te letten op waar we het invullen.

Risher: We zouden wachtwoorden graag helemaal afschaffen, maar helaas is dat niet zo eenvoudig.

"Veel beveiligingsmaatregelen vinden plaats achter de schermen."

Mark Risher

Wat is er zo slecht aan wachtwoorden?

Risher: Ze hebben veel nadelen: ze zijn makkelijk te stelen en lastig te onthouden, en onze wachtwoorden beheren kan een vervelende klus zijn. Veel gebruikers geloven dat een wachtwoord zo lang en ingewikkeld mogelijk moet zijn, maar in feite vergroot dit juist het beveiligingsrisico. Als gebruikers een ingewikkeld wachtwoord hebben bedacht, hebben ze de neiging om het voor meer dan één account te gebruiken, wat ze nog kwetsbaarder maakt.

Micklitz: Hoe minder vaak je een wachtwoord invoert, hoe beter. Daarom moet je niet herhaaldelijk in- of uitloggen op je accounts. Na een tijdje kan het gebeuren dat gebruikers niet goed opletten op welke webpagina ze op dat moment zijn, wat het een stuk makkelijker maakt voor dieven van wachtwoorden. Daarom adviseren we onze gebruikers om ingelogd te blijven.

De website van mijn bank logt me automatisch uit als ik een paar minuten inactief ben.

Micklitz: Jammer genoeg volgen deze bedrijven nog steeds verouderde regels. Het advies om steeds uit te loggen stamt nog uit een tijd waarin de meeste mensen in internetcafés online gingen of een computer met anderen deelden. Ons onderzoek toont aan dat hoe vaker mensen hun wachtwoord invoeren, hoe groter de kans is dat ze het slachtoffer worden van een cyberaanval. Het is daarom veiliger om de schermvergrendeling op je telefoon of op je computer te activeren en een beveiligd wachtwoord te gebruiken.

Risher: Inderdaad. Helaas gaat er veel onjuist of onpraktisch advies rond, wat het voor veel gebruikers verwarrend maakt. In het ergste geval raken mensen zo onzeker dat ze het gewoon opgeven: 'Als het zo moeilijk is om mezelf te beschermen, dan hoef ik het niet eens te proberen'. Dit is zoiets als altijd de voordeur open laten staan omdat je weet dat er inbrekers zijn.

Mark Risher is Director of Product Management voor beveiliging en privacy bij Google. In 2010 richtte hij de cybersecurity start-up Impermium op, die in 2014 door Google werd overgenomen. SIndsdien werkt Risher op het hoofdkantoor van Google in Mountain View, Californië. Rechts: een beveiligingssleutel zoals die wordt gebruikt in Geavanceerde beveiliging. De sleutel is beschikbaar tegen een kleine vergoeding en kan op verschillende websites gebruikt worden.

Stel dat wachtwoorden werden afgeschaft. Hoe zou Google er dan voor zorgen dat gebruikers beveiligd zijn?

Risher: We hebben al veel aanvullende beveiligingsmaatregelen achter de schermen lopen. Een hacker kan achter je wachtwoord en je mobiele nummer komen, en zelfs dan kunnen we nog steeds 99,9 procent beveiliging garanderen voor je Google-account. We checken bijvoorbeeld vanaf welk apparaat of vanuit welk land iemand inlogt. Als iemand meerdere keren achter elkaar met een fout wachtwoord probeert in te loggen op je account, dan triggert dat een alarm in onze beveiligingssystemen.

Micklitz: We hebben ook de Beveiligingscheck ontwikkeld, een functie waarmee gebruikers stapsgewijs door hun persoonlijke beveiligingsinstellingen in hun Google-account kunnen gaan. En met Geavanceerde beveiliging gaan we nog een stap verder.

Wat is het idee achter dit programma?

Micklitz: Oorspronkelijk werd het programma ontwikkeld voor mensen zoals politici, CEO's of journalisten die een specifiek doelwit zijn voor criminelen. Maar nu is het beschikbaar voor iedereen die extra online bescherming zoekt. Alleen mensen met een speciale USB- of bluetooth-dongle kunnen toegang krijgen tot hun beschermde Google-account.

Risher: Uit ervaring weten we hoe effectief dit systeem is, omdat alle Google-medewerkers een beveiligingssleutel gebruiken om hun bedrijfsaccount te beveiligen. Sinds we deze beveiligingsmaatregel hebben ingevoerd, hebben we geen enkel geval van phishing gehad dat teruggeleid kon worden tot wachtwoordbevestiging. Het token verbetert de beveiliging van Google-accounts enorm omdat zelfs als aanvallers het wachtwoord weten, ze het account niet kunnen openen zonder token. In het algemeen kan een online account van overal in de wereld worden gehackt. Dit is niet mogelijk bij accounts die beschermd zijn met een fysiek beveiligingstoken.

Micklitz: Deze beveiligingstokens kunnen voor veel websites worden gebruikt, niet alleen voor Geavanceerde beveiliging van Google. Je kunt ze voor een klein bedrag bij ons of andere providers kopen. Alle informatie vind je op g.co/advancedprotection.

"Mensen vinden het soms moeilijk om de risico's op het internet in te schatten."

Stephan Micklitz

Wat zijn volgens u de grootste gevaren die tegenwoordig op het internet op de loer liggen?

Risher: Een probleem is dat er veel lijsten met gebruikersnamen en wachtwoorden online rondgaan. Onze collega Tadek Pietraszek en zijn team hebben 6 weken lang het internet doorgekamd en vonden 3,5 miljard combinaties van gebruikersnamen en wachtwoorden. Dit zijn geen gegevens van gehackte Google-accounts, ze werden van andere providers gestolen. Maar veel gebruikers gebruiken hetzelfde wachtwoord voor meerdere accounts en dus vormen deze lijsten ook een probleem voor ons.

Micklitz: Ik zie spear phishing als een enorm probleem. Dit houdt in dat een aanvaller een gepersonaliseerd bericht stuurt dat zo slim in elkaar is gezet dat het voor het slachtoffer moeilijk is om frauduleuze bedoelingen te herkennen. We zien dat hackers deze methode steeds vaker gebruiken, en met succes.

Risher: Ik ben het met Stephan eens. Bovendien is spear phishing lang niet zo tijdrovend als het klinkt. Een spammail is vaak al binnen een paar minuten te personaliseren. Hackers kunnen de informatie gebruiken die gebruikers online over zichzelf publiceren. Dit is bijvoorbeeld een probleem met cryptovaluta. Mensen die publiekelijk rondbazuinen dat ze 10.000 bitcoins bezitten, moeten niet raar opkijken als deze informatie de aandacht van cybercriminelen trekt.

Micklitz: Het is net alsof ik met een megafoon midden op de markt ga staan roep wat het saldo van mijn bankrekening is. Wie zou zoiets nou doen? Niemand. Maar mensen vinden het soms moeilijk om de risico's op het internet in te schatten.

Zijn gewone spammails nog steeds een probleem?

Risher: Het koppelen van apparaten en services is een grote uitdaging voor ons. Mensen gebruiken niet alleen laptops en smartphones om online te gaan, maar ook tv's, smartwatches en smartspeakers. Op al deze apparaten staan verschillende apps, wat hackers allerlei potentiële ingangen voor een aanval biedt. En omdat veel apparaten nu verbonden zijn, kunnen hackers het ene apparaat gebruiken om toegang te krijgen tot informatie dat op een ander apparaat is opgeslagen. Dus dat betekent dat wij moeten ingaan op de vraag: Hoe kunnen we de veiligheid van onze gebruikers garanderen ondanks de grote hoeveelheid nieuwe gebruiksgewoonten?

Micklitz: Het begint met de vraag welke gegevens we echt nodig hebben voor elke service en welke gegevens tussen services worden uitgewisseld.

Hoe gebruiken jullie artificial intelligence om gebruikers te beschermen?

Micklitz: Google gebruikt artificial intelligence al een hele tijd.

Risher: De technologie werd van begin af aan opgenomen in Gmail, onze e-mailservice. Google ontwikkelde zelfs zijn eigen machine learning-bibliotheek, TensorFlow, die het werk van programmeurs die met machine learning werken mogelijk maakt. TensorFlow is vooral nuttig voor Gmail, omdat het een waardevolle service levert voor de herkenning van typische patronen.

Kunt u uitleggen hoe deze patroonherkenning werkt?

Risher: Stel, we nemen een verdachte activiteit die we niet kunnen categoriseren waar bij meerdere gebruikers. Een zelflerende machine kan deze gebeurtenissen vergelijken en idealiter nieuwe vormen van fraude ontdekken nog voordat ze zich online verspreiden.

Micklitz: Maar er zijn beperkingen. Een machine is maar zo intelligent als de persoon die hem gebruikt. Als ik onjuiste of eenzijdige gegevens invoer, zullen de patronen die de machine herkent ook onjuist of eenzijdig zijn. Ondanks de hype rond artificial intelligence hangt de effectiviteit altijd af van de persoon die het gebruikt. Het is aan de gebruiker om de machine te trainen met hoogwaardige gegevens en de resultaten achteraf te controleren.

Risher: Toen ik nog voor een andere e-mailprovider werkte, ontvingen we eens een bericht van een bankmedewerker in Lagos. Er gingen in die tijd veel fraudulente e-mails rond die uit Nigeria bleken te komen. De man klaagde erover dat zijn e-mails altijd in de spammap van de ontvanger belandden, ook al werkte hij voor een gerenommeerde bank. Dit is een typisch geval van foutengeneralisatie binnen patroonherkenning vanwege onvoldoende informatie. We konden dit probleem verhelpen door het algoritme te veranderen.

.

Foto's: Conny Mirbach