Onder de motorkap: Even Better Passwords

"Even Better Passwords" is een privacy-oplossing dat sinds begin dit jaar (2022) actief is. Deze oplossing geeft particulieren de kans om een wachtwoord te controleren op sterkte en antwoord te krijgen op de vraag of het wachtwoord voorkomt in een lijst met gehackte wachtwoorden. Daarnaast geeft het bedrijven de mogelijkheid om wachtwoorden te controleren tegen een lijst met gehackte wachtwoorden.

Waarom wachtwoorden?

Mijn missie is om met innovatieve privacy-oplossingen de wereld veiliger te maken en aangezien we dagelijks met wachtwoorden werken, leek mij dit een goed uitgangspunt.

Maar wat is er nou precies mis met wachtwoorden?

In principe hoeft er niets mis te zijn met wachtwoorden, als je ze goed gebruikt. Maar te vaak is dat nog niet het geval.

Wat is de oplossing hiervoor?

In de meest ideale situatie wordt bij een wachtwoord rekening gehouden met 3 aspecten:

• Is het wachtwoord sterk genoeg?
• Komt het wachtwoord voor in een lijst met gehackte wachtwoorden?
• Is het wachtwoord onderdeel van een 2FA opzet? 2FA houdt grofweg in dat er een tweede controle plaatsvindt in de vorm van een SMS, email of code via een app.

Helaas wordt 2FA niet overal aangeboden en vooral in die situaties wordt het nog belangrijker om een goed wachtwoord te kiezen.

De meningen over wat een sterk wachtwoord is verschillen nogal en zodoende heeft ieder bedrijf andere regels daarover.

Zelf gebruik ik alleen maar wachtwoordmanagers die zeer sterke wachtwoorden aanmaken, zoals ‘lfg0g@Zav$BtOORqYjW8R5TnOdY-6^’. Dit zijn wachtwoorden die je zelf niet kunt onthouden.

Voor het kiezen van sterke wachtwoorden ligt hier een uitdaging, omdat niet iedereen werkt met een wachtwoordmanager. Daardoor zijn dit meestal wachtwoorden die uit woorden en namen bestaan, aangevuld met wat cijfers en speciale tekens. Je kunt je voorstellen dat een wachtwoord als ‘Rotterdam010!’ vaker zal zijn gebruikt als het eerder genoemde wachtwoord. Daardoor zal het ook automatisch een wachtwoord zijn waarvan de kans groter is dat het ooit is gehackt.

Om dit te controleren dien je dat wachtwoord dus te controleren tegen zo’n lijst met gehackte wachtwoorden.

Hoe werkt ‘Even Better Passwords’?

De werking van Even Better Passwords is tweeledig.

Ten eerste wordt gecontroleerd of het wachtwoord aan minimale voorwaarden voor sterkte voldoet. Dit houdt in dat wordt gekeken of het wachtwoord uit minimaal 6 tekens bestaat, of er zowel kleine letters als hoofdletters in zitten, of er minimaal 1 cijfer in zit en of er minimaal 1 speciale karakter in zit.

Als tweede wordt gecontroleerd of het ingevoerde wachtwoord voorkomt in een lijst met eerder gehackte wachtwoorden.

Zelf zien hoe het werkt? Dat kan op de website van Even Better Passwords.

Maar hoe werkt het echt?

Dit is een typisch project dat er aan de voorkant eenvoudig uitziet, maar aan de achterkant gebeurt heel veel.

Om dit alles aan de voorkant zo eenvoudig mogelijk te maken, ziet de achterkant er ongeveer zo uit:

• Een private omgeving waar ik lijsten met gehackte wachtwoorden kan opvoeren. Deze is afgesloten voor de buitenwereld, maar ook beveiligd met een gebruikersnaam en wachtwoord.
  • Van deze wachtwoorden worden verschillende hashes gemaakt.
  • De hashes worden opgeslagen in een gigantische database.
  • Een controle op bestaande wachtwoorden wordt uitgevoerd, want bij de aanlevering van nieuwe lijsten zit enorm veel overlap. Het heeft geen zin om de database te vervuilen met deze data. Hoe groter de database, hoe langer dit proces duurt.
• Een REST API koppeling voor de communicatie tussen de website en de database
  • Bij mij zal een website nooit direct communiceren met een database. Altijd zit daar een API koppeling tussen
  • De API is extra beveiligd: IP-whitelisting voor de website wordt toegepast, maar daarnaast wordt ook authenticatie toegepast.

Op het moment dat een bezoeker aan de voorkant een wachtwoord invult, wordt deze na het klikken op de knop gelijk gehasht, nog voordat het aan de API wordt aangeboden. De API ontvangt dus nooit het echte wachtwoord, maar alleen de hash van dat wachtwoord. De hash van het ingevoerde wachtwoord wordt daarna tegen de lijst met hashes in de database aangehouden.

Als er een match is, ontvangt de bezoeker via de API een signaal dat het wachtwoord al eens eerder is gebruikt en dat beter een ander wachtwoord kan worden gekozen. Als er geen match is, dan kan de bezoeker het wachtwoord gewoon gebruiken.

Waar het gebruik van deze tool voor een particuliere bezoeker compleet kosteloos is, wordt van bedrijven een investering gevraagd. Met deze investering is ieder bedrijf in staat om de wachtwoorden van haar gebruikers te controleren bij registratie of bij het invoeren van nieuwe wachtwoorden.

Bonus

Alsof het gebruik van veiligere wachtwoord nog niet genoeg is, voldoe je met deze oplossing ook nog eens aan een zeer recente aanbeveling van NIST (National Institute of Standards and Technology) zoals beschreven in de speciale publicatie 800-63-3: Digital Authentication Guidelines.

“Even Better Passwords” is in eigen beheer ontwikkeld en valt onder de vlag van Tresecur. Tresecur is onderdeel van New Chapter en is opgezet om privacy-oplossingen te bieden voor de nationale en internationale B2B markt.