Speciaal voor de wereldwijde wachtwoorddag: wachtwoorden door de geschiedenis heen

Het is tijd voor verandering! Dit jaar vieren we de wereldwijde wachtwoorddag anders: LastPass kiest voor een wachtwoordloze dag, op naar een toekomst zonder wachtwoordfrustraties. Nu wachtwoorden bijna verleden tijd zijn, kijken we nog even achterom naar de geschiedenis van wachtwoorden. Wanneer werden computerwachtwoorden ingevoerd, hoe veroverden ze zo'n belangrijke rol voor de veiligheid van onze digitale levens, en hoe beschermen wachtwoorden ons tegenwoordig tegen cybercriminelen?

De jaren 60

Rond dezelfde tijd dat NASA eraan aan de eerste maandlandingen werkte, maakte Fernando Corbató de eerste gebruikersaccounts met wachtwoordbeveiliging bij het Massachusetts Institute of Technology (MIT). Gebruikers die zich aanmeldden bij zijn Compatible Time-Sharing System (CTSS), konden hun eigen sets met bestanden beheren, die waren gekoppeld aan de mainframe-computer van de universiteit. Dit vroege mechanisme om de identiteit van een gebruiker te bevestigen had nog wat beveiligingsproblemen, maar het zou nog tientallen jaren een directe invloed hebben op de manier waarop computerprofessionals en leken over wachtwoorden denken.

De jaren 70

In 1972 kreeg wachtwoordbeveiliging een upgrade: Robert Morris vond een encryptiemethode uit om wachtwoorden te vertalen naar cijfers – het zogeheten “hashing”. Enkele jaren later werkte Morris samen met zijn collega Ken Thompson om een aanvullende techniek te ontwikkelen: salting. Hierbij worden willekeurige tekenreeksen toegevoegd aan wachtwoorden, om het nog lastiger te maken om ze te kraken. Hasting en salting worden ook nu nog toegepast. LastPass gebruikt beide technieken om de hoofdwachtwoorden van alle LastPass-gebruikers te beveiligen.

Jaren 90 / 2000

Het vroege internet verbreidde zich steeds meer in het dagelijks leven, en er ontstond behoefte aan veiligere protocollen om de identiteit van gebruikers te verifiëren. AT&T vond de tweevoudige verificatie uit (2FA) in 1995, en in 1998 verkreeg het bedrijf een patent op de technologie. Verificatie begon als niche-technologie, maar is inmiddels wijdverbreid. Ook u gebruikt het waarschijnlijk voor verschillende aanmeldingen bij online accounts. Voor tweevoudige verificatie vraagt het systeem u om een extra bevestiging te leveren bij uw aanmelding, zoals een tijdelijke eenmalige code. Meestal ontvangt u die code via een sms of e-mail, of in een speciale app. U voert de code in, en als alles klopt krijgt u toegang tot uw account. Tweevoudige verificatie (2FA) en de latere opvolger, meervoudige verificatie (MFA), veroverden terrein vanaf 2000, ook omdat bedrijven met een beleid voor Bring Your Own Device toestonden dat medewerkers hun eigen smartphones gebruikten voor hun werk.

Jaren 10

Met de opkomst van de mobiele apps na 2010 werd het nog belangrijker om de wachtwoordbeveiliging te versterken. 2FA ontwikkelde zich meer en meer tot MFA, waarbij gebruikers na invoer van hun gebruikersnaam en wachtwoord hun identiteit op verschillende manieren moeten bevestigen. Deze “factoren” vallen in verschillende categorieën:

• Kennis - iets dat u weet (uw wachtwoord)
• Bezit - iets dat u hebt (uw telefoon, of bijvoorbeeld een MFA-token)
• Eigenschap - iets dat specifiek is voor u (biometrische gegevens als een vingerafdruk, gezichtsscan of stemprofiel)

Gegevenslekken kwamen steeds vaker in het nieuws, en best practices als 2FA en MFA werden meer en meer standaard. Aanmeldingsgegevens konden worden gelekt, waarna cybercriminelen ze doorverkochten via het dark web zonder dat een gebruiker hiervan wist. Maar 2FA- en MFA-tokens waren niet zo makkelijk te verkrijgen. MFA is ook nu nog een bijzonder belangrijk beveiligingsmechanisme, zeker als u hetzelfde wachtwoord gebruikt voor verschillende accounts (iets wat 62% van de mensen nog steeds doet, volgens het rapport over de Psychologie van het Wachtwoord van 2022). Als een hacker probeert om zich met gestolen aanmeldingsgegevens aan te melden bij uw account en u hebt MFA ingeschakeld, komen ze niet binnen. En u merkt direct dat er iets niet klopt. Zo kunt u uw collega's van de IT-afdeling waarschuwen en actie ondernemen om uzelf en uw organisatie te beschermen.

2020s

Vanaf 2020 kwamen er steeds meer gegevenslekken voor. Cybercriminelen werden steeds gewaagder en de gemiddelde consument kreeg meer inzicht in de risico's van een lakse omgang met wachtwoorden. In het begin van de pandemie werkten veel mensen thuis en iedereen deed nog veel meer digitaal dan vroeger. Criminelen grepen hun kans en richtten op ongekende schaal ellende aan. Vroeger gold een wachtwoord van acht tekens met een mix van hoofdletters, kleine letters, cijfers en speciale tekens als afdoende veilig. Na 2020 was dit echter niet meer genoeg. Medewerkers begonnen langere, ingewikkeldere wachtwoorden te gebruiken voor hun beveiliging, vaak omdat de IT-afdeling dit afdwong. De wachtwoordlengte nam toe tot 12 à 18 tekens, en deze wachtwoorden werden beschouwd als lastig te kraken. Maar ook mensen die gemotiveerd waren om best practices voor wachtwoordbeveiliging te volgen, liepen tegen een probleem op. Met zoveel online accounts en alle bijbehorende lange wachtwoorden, werd het vrijwel onmogelijk om het overzicht te bewaren. Veel gebruikers met een goed veiligheidsbewustzijn kozen ervoor om hun wachtwoorden op te slaan in wachtwoordbeheerders.

Bereid u voor op een toekomst zonder wachtwoorden

Vanaf het begin van het digitale tijdperk werken mensen al met wachtwoorden, en iedere keer weer voldoen mensen aan de steeds zwaardere vereisten voor cyberbeveiliging. Een leven zonder wachtwoorden is inmiddels moeilijk voor te stellen, en toch komt die dag steeds dichterbij. Gartner voorspelt dat de helft van de beroepsbevolking in 2025 zonder wachtwoorden werkt. Daarom is het op deze wereldwijde Dag van het Wachtwoord tijd om na te denken over een toekomst zonder wachtwoorden. Probeer het werken zonder wachtwoorden gratis uit met de LastPass Authenticator. Wilt u meer weten over een sterkere beveiliging zonder wachtwoorden? Doe dan mee met ons webinar op 4 mei. Meld u nu aan!