Spring naar inhoud

10

Wie kent het principe van het sterke wachtwoord? Dus een wachtwoord als Ak€?bru5}XZ! dat regelmatig verandert. Er zijn mensen die denken dat dergelijke wachtwoorden veiliger zijn dan een wachtwoord als Tegelsoep of Graaimachine.

Laat ik beginnen bij het begin: is een wachtwoord een goede manier van beveiligen? Ik vind van niet. Het is makkelijk, dat wel. Een wachtwoord is zo makkelijk omdat je er geen ingewikkelde apparatuur voor nodig hebt. Geen vingerafdruk- of irisscanners, stemherkenners, kaartlezers, RFID ontvangers, alleen een toetsenbord.

Het principe van een wachtwoord is dat het geheim is.
Het gevaar van wachtwoorden is dus onder andere:
- het wordt uitgeleend
- het wordt doorverteld
- het wordt vergeten
- het wordt als je het vergeet altijd op dezelfde waarde teruggezet (bijvoorbeeld PIN 0000)
- het wordt opgeschreven
- het wordt afgekeken
- het wordt gekraakt

Een wachtwoord kan alleen maar veilig zijn als het zo vaak verandert dat het -eenmaal in verkeerde handen terecht gekomen- niet meer bruikbaar is. Daarmee is een wachtwoord eigenlijk niet geschikt om door mensen te worden gebruikt, dus alleen door machines.

Over wachtwoorden is veel nagedacht, met name over de versleuteling ervan en het kraken. Een van de dingen die je vaak hoort is dat wachtwoorden sterk moeten zijn. De reden is dat sommige computers je wachtwoord lokaal opslaan, minder of meer versleuteld. Oerdom natuurlijk, daarmee is het in wezen al uitgelekt: dit vraagt gewoon om kraken. Dit moet een heel belangrijk principe zijn: het wachtwoord mag op geen enkele manier aan het systeem te onttrekken zijn en dus ook nergens worden opgeslagen. Vertrouw daarom dus geen enkel systeem dat je op verzoek je wachtwoord kan mailen.

Als het wachtwoord direct na het inloggen verdwenen zou zijn, dan zou de noodzaak van een sterk wachtwoord direct vervallen.

Ik wil dat illustreren aan de hand van de PIN. Ik zal jullie om te beginnen eens een geheimpje verklappen: mijn PIN is maar 4 tekens lang en het nog allemaal cijfers ook! En mijn pasje is in feite een gemakkelijk kopieerbare magneetstrip.
Wisten jullie natuurlijk al lang. Dat geldt immers voor al die PINs en al die pasjes. Toch is die PIN het belangrijkste wachtwoord dat ik heb. Totaal geen sterk wachtwoord, en jaren achtereen hetzelfde. De enige reden dat het goed werkt is dat ik de code aan niemand vertel, en dat de pas definitief wordt geblokkeerd nadat driemaal een verkeerde code is gegeven. Een z.g. brute force attack heeft daardoor weinig kans op succes.

Wie van jullie wordt lastig gevallen met sterke wachtwoorden?

7

Vaak krijg ik even een knuffel van J, onze oudste zoon. Hij is bijna 15 en werkelijk een schatje. Hij is nog maar een halve kop kleiner dan ik.

De laatste tijd valt me daarbij regelmatig op dat hij ruikt naar mannenzweet.
Dit brengt bij mij een herinnering aan vroeger boven, want plotseling realiseer ik me: dat doe ik zelf al een hele tijd niet meer.

Hormonen zeker. Hij zit aan het begin van iets waar ik al weer voorbij ben.
Opeens hoor ik de tandarts weer vertellen dat het normaal is om tandsteen pas op latere leeftijd te krijgen, door veranderingen in de enzymhuishouding. Ook dat is alweer een tijd geleden. En ik hoor weer de huisarts die mij geruststelt dat ik geen probleem met mijn hart heb maar domweg maagzuur in mijn slokdarm doordat met de jaren dat klepje bovenaan je maag het niet meer altijd even goed doet. Waarbij hij me routinematig nog een test op ouderdomsuikerziekte aanbood. Om de uitslag te lezen moest ik mijn leesbril zoeken, waarvan ik vergeten was waar ik die had gelaten. Ook heel normaal op mijn leeftijd.

Ik verlang overigens niet naar een rode cabriolet waarin ik mezelf belachelijk maak met een gekocht blondje naast me, al kon ik het betalen. Ik smeer geen Axe onder mijn oksels en ik denk dat ik me niet zal gaan aanstellen als de jongens straks met een vriendinnetje thuis komen. Zoals ik al de nodige andere vaders heb zien doen.

Nee, de tijd gaat voor mij te hard. Net als de puberteit is de penopauze bij mij ongemerkt gepasseerd. Alleen als ik terugkijk bespeur ik een bepaalde vorm van overgang die ik doorgemaakt heb. En van binnen kan ik me nog steeds een ondeugend jongetje voelen.

En plotseling bedenk ik: dat zal iedereen wel hebben, dat hij zich anders voelt dan iedereen denkt.

7

Gisteren had ik een stukje over beveiliging van computers en hoe lastig het is om middel en kwaal uit elkaar te halen. Vandaag lees ik bij bij Blogbrother Michael (klik) over precies zoiets in de wereld om ons heen, waar alleen al in Nederland meer dan 200.000 professionals (klik) ons terroriseren!

Ross Anderson, a professor at Cambridge University in Britain, has compared the present situation to a “boiled frog”—which fails to jump out of the saucepan as the water gradually heats. If liberty is eroded slowly, people will get used to it.

(fragmentje uit The Economist)

Wie begrijpt nog het verschil tussen beveiliging en veiligheid?

4

Toen ik op mijn 30ste rijles nam (in de Flevopolder kon je eigenlijk niet zonder) heb ik gewoon aan collega's gevraagd wie ze een goede vonden, en die heb ik genomen. Ik ben één keer gezakt.

Gisteren las ik in de krant dat rijscholen proberen om zo min mogelijk autochtone leerlingen in huis te halen. Niet omdat ze een probleem hebben met die mensen, maar omdat ze een slechte score opleveren bij het CBR. Want het CBR publiceert het percentage geslaagden per rijschool, en een goede score levert klandizie.

Steeds zie je dat soort dingen weer: pogingen om iets te meten verstoren datgene wat ze meten. Doordat de cijfers op een verkeerde manier gebruikt worden. Mij zegt het tenminste niets hoeveel procent geslaagden een rijschool aflevert.

    Dat percentage is namelijk door de rijschool heel goed op te krikken:

  • Je doet zelf de voorselectie en laat kandidaten pas na heel veel lessen afrijden (kassa! :twisted:)
  • Je weigert klanten die niet erg kansrijk lijken, bijvoorbeeld doordat ze slecht Nederlands spreken (is dus gangbaar)
  • Je schuift klanten kort voor het examen door naar een 'collega' die als katvanger optreedt
  • Je verandert na een slechte score je naam of gaat een fusie aan met een collega met een goede score

Ik word met andere woorden op mijn wenken bediend. Alweer een effect van de cijferreligie, want het begrip Kwaliteit is tegenwoordig ook helemaal vercijferd.

Wat mij een beetje tegenvalt van cijferaars is trouwens dat ze altijd direct om een grafiekje vragen als je ze cijfers geeft. Een plaatje zegt meer dan cijfers, heet het. Jazeker, een plaatje kan zelfs iets heel anders zeggen dan de cijfers waar het op gebaseerd is. Maar de indruk van het plaatje blijft hangen, niet de cijfers. Waar de cijfers vaak al weinig betekenen worden die ook nog eens gepresenteerd in de meest suggestieve grafiekvorm. Je wilt er tenslotte iets mee.

Er zijn leugentjes om bestwil, er zijn gewone leugens, grote leugens, en er is statistiek!

PS Er is in Leiden een school die jaren de beste score van de inspectie gekregen heeft. Die school is daardoor zo sterk gegroeid dat het schoolplein helemaal volgebouwd is met noodgebouwen. Van die oorspronkelijke school kan op die manier nog maar heel weinig over blijken te zijn. Regelmatig hoor ik van leerlingen die gillend gek die school verlaten. Ten ondergaan aan je succes heet dat.

3

Grappig dat de reisbranche en zelfs de consumentenbond (langzamerhand een overleefd instituut) zich druk maakt om de vliegtaks die in aantocht is. Ze zien de bui al hangen: korte vluchten worden procentueel flink duurder, straks gaan de mensen nog minder vliegen!

Laat dat nou net het doel zijn van die vliegtaks (mag ik hopen tenminste)!