Je kunt het bijna niet gemist hebben: begin augustus heeft het Amerikaanse bedrijf Hold Security bekend gemaakt 1.2 miljard (!!!) inloggegevens in haar bezit te hebben die door hackers waren buitgemaakt. En het Nederlandse Cyber Security Centrum heeft inmiddels ook het Nederlandse gedeelte van deze gegevens in haar bezit, zie deze kamerbrief van NCSC/NCTV/MinV&J. Deze bekendmaking door Hold Security is overigens niet onomstreden, zie ook deze blogpost van Matthijs Koot.

Ik beperk me in deze blogpost tot het advies aan eindgebruikers in de factsheet over “Uw gegevens in de dataset Hold” van het NCSC die gisteren (13 october 2014)  is verschenen. Hierin staat een verstandig maar erg onpraktisch advies aan gebruikers:

Hoewel ik echt wel begrijp dat het NCSC dit adviseert, vraagt het eigenlijk te veel van gebruikers. De security-paranoids onder ons daargelaten heb ik sterke twijfels of mensen of mensen bereid zullen zijn aparte wachtwoorden voor elke website te gaan gebruiken, laat staan ze ook nog regelmatig aan te passen. Alleen al onthouden waar je allemaal een account hebt aangemaakt (100+ ?) is niet te doen, laat staan welke gebruikersnamen en wachtwoorden je gebruikt hebt.

Password managers kunnen hier wel helpen, maar lijken ondanks dat ze al heel lang bestaan niet erg populair te worden. Overigens, als iemand onderzoek kent waarom niet, dan hou ik me aanbevolen (ik ken wel onderzoek naar de veiligheid van de password managers). Uit een statistisch volledig onverantwoorde steekproef die ik recent deed lijken veel mensen zich gelukkig wel te realiseren dat ze voor ‘echt’ belangrijke identiteiten (overheid, zorg, bank, social networks etc) wel een ander wachtwoord moeten gebruiken dan voor bijvoorbeeld een vage webwinkel of forum.

Een betere oplossingsrichting dan te proberen iedereen te overtuigen unieke loginnamen en wachtwoorden te gaan gebruiken voor elke website is mijn inziens hergebruik van identiteiten. Een voorbeeld is DigiD, één identiteit die we hergebruiken voor alle overheidsdiensten i.p.v. per overheidsdienst een aparte gebruikersnaam/wachtwoord. Andere voorbeelden zijn Facebook Connect en SURFconext. Dit brengt wel weer eigen risico’s en uitdagingen met zich mee, met name:

• Privacy – de verstrekker van de herbruikbare identiteit is een potentiële big brother want kan zien waar gebruikers inloggen.
• Business continuity – als de herbruikbare identiteit het niet doet dan kun je heel veel diensten niet meer gebruiken. Alsof de voordeuren van alle winkels en de het gemeentehuis tegelijk niet meer open willen door een storing.
• Aantrekkelijk target – een herbruikbare identiteit is natuurlijk erg aantrekkelijk om te hacken.
• Business model – welke rollen zijn er en wie betaald waarvoor.

Door een combinatie van privacy-by-design, redundante middelen, afsprakenstelsels en simpelweg een goede beveiliging (inclusief 2-factor) zie ik herbruikbare identiteiten echter wel als de weg voorwaarts. Dit is overigens ook de denkrichting van bijvoorbeeld het eID Stelsel NL.

De eerder genoemde kamerbrief sluit af met:

Ik vind het een gemiste kans dat hier de focus weer op die ‘domme’ eindgebruiker ligt en niet ook de meer structurele oplossingsrichting van hergebruik van identiteiten genoemd wordt, inclusief de relatie met het eID Stelsel NL. Om een metafoor te gebruiken: je kunt behalve met een veilig verkeer campagne voetgangers ook beschermen met oversteekplaatsen.

PS Ik heb nog geen email van gehad van één van mijn emailproviders, maar helaas is slechts één van de vier emailaddressen die ik veel gebruik een .nl adres dus dat zegt niet veel.