Hoewel ik echt wel begrijp dat het NCSC dit adviseert, vraagt het eigenlijk te veel van gebruikers. De security-paranoids onder ons daargelaten heb ik sterke twijfels of mensen of mensen bereid zullen zijn aparte wachtwoorden voor elke website te gaan gebruiken, laat staan ze ook nog regelmatig aan te passen. Alleen al onthouden waar je allemaal een account hebt aangemaakt (100+ ?) is niet te doen, laat staan welke gebruikersnamen en wachtwoorden je gebruikt hebt.
Password managers kunnen hier wel helpen, maar lijken ondanks dat ze al heel lang bestaan niet erg populair te worden. Overigens, als iemand onderzoek kent waarom niet, dan hou ik me aanbevolen (ik ken wel onderzoek naar de veiligheid van de password managers). Uit een statistisch volledig onverantwoorde steekproef die ik recent deed lijken veel mensen zich gelukkig wel te realiseren dat ze voor ‘echt’ belangrijke identiteiten (overheid, zorg, bank, social networks etc) wel een ander wachtwoord moeten gebruiken dan voor bijvoorbeeld een vage webwinkel of forum.
Een betere oplossingsrichting dan te proberen iedereen te overtuigen unieke loginnamen en wachtwoorden te gaan gebruiken voor elke website is mijn inziens hergebruik van identiteiten. Een voorbeeld is DigiD, één identiteit die we hergebruiken voor alle overheidsdiensten i.p.v. per overheidsdienst een aparte gebruikersnaam/wachtwoord. Andere voorbeelden zijn Facebook Connect en SURFconext. Dit brengt wel weer eigen risico’s en uitdagingen met zich mee, met name:
- Privacy – de verstrekker van de herbruikbare identiteit is een potentiële big brother want kan zien waar gebruikers inloggen.
- Business continuity – als de herbruikbare identiteit het niet doet dan kun je heel veel diensten niet meer gebruiken. Alsof de voordeuren van alle winkels en de het gemeentehuis tegelijk niet meer open willen door een storing.
- Aantrekkelijk target – een herbruikbare identiteit is natuurlijk erg aantrekkelijk om te hacken.
- Business model – welke rollen zijn er en wie betaald waarvoor.
Door een combinatie van privacy-by-design, redundante middelen, afsprakenstelsels en simpelweg een goede beveiliging (inclusief 2-factor) zie ik herbruikbare identiteiten echter wel als de weg voorwaarts. Dit is overigens ook de denkrichting van bijvoorbeeld het eID Stelsel NL.
De eerder genoemde kamerbrief sluit af met: