Deze week onthulde Yahoo inloggen zonder wachtwoord en onlangs sloot de Duitse overheid zich aan bij een internationale alliantie tegen wachtwoorden, maar wachtwoorden zijn wel veilig, we gebruiken ze alleen verkeerd en IBM heeft de oplossing, aldus Anja Lehmann, cryptografe bij 'Big Blue'.

Lehmann doelt bij het verkeerd gebruik niet op de eindgebruiker, maar op de website of partij die het wachtwoord moet controleren...

...Veel websites slaan de wachtwoorden van hun gebruikers niet in platte tekst op, maar de server moet toch iets opslaan om te bepalen of het wachtwoord correct is. Vaak gaat het om een hash van het wachtwoord. Als een aanvaller de hash in handen heeft kan hij eindeloos proberen die te 'kraken' en zo het bijbehorende wachtwoord te achterhalen.

Het probleem met wachtwoorden is dan ook dat als er een enkele server is die bepaalt of het wachtwoord correct is en die server wordt gehackt, het wachtwoord niet meer veilig is, zo stelt Lehmann. De oplossing die ze voorstelt is om de informatie voor het controleren van het wachtwoord over meerdere servers te verdelen. Dit houdt in dat alle servers moeten samenwerken om te bepalen of het wachtwoord correct is of niet. De aanvaller moet nu al deze servers zien te hacken om de wachtwoorden te kunnen achterhalen.

"Dit kan extreem lastig worden gemaakt door de servers op verschillende locaties en met verschillende besturingssystemen te laten draaien, waarbij ze ook nog eens door verschillende systeembeheerders worden gemonitord", aldus Lehmann. Deze week presenteerde ze een nieuw verificatieprotocol (pdf) voor gedistribueerde wachtwoordverificatie, dat volgens haar zeer efficiënt en veilig is en bedrijven eigenlijk geen excuus meer geeft om ooit nog wachtwoorden van gebruikers door een gehackte server te verliezen.

Alles bij de bron; Security