Merijn de Jonge: “Meer dan 20 complexe wachtwoorden onthouden? Gekkenwerk”
“Als mens word je aangeleerd dat je een goed wachtwoord moet kiezen. Dat moet lang, complex en uniek zijn. En toen dacht ik tien jaar geleden: dat is gekkenwerk. Dat kan gewoon niet. Hoe kun je nou als mens, als je twintig accounts hebt – en de meeste mensen hebben er veel meer – twintig goede wachtwoorden verzinnen en deze ook nog onthouden?” vertelt Merijn de Jonge, founder & CEO van MindYourPass.
In de “basis hygiëne” van security staan wachtwoorden steevast bovenaan. Toch blijven veel mensen hetzelfde wachtwoord – of simpele wachtwoorden – gebruiken voor veel accounts. Over tijd zijn er zowel technische als gedragsoplossingen voor bedacht: single sign-on (SSO), wachtwoordkluizen, trainingen en biometrische ontgrendeling. Merijn vroeg zich af of deze oplossingen wel toereikend waren en of dat niet beter kon. We bespraken met hem hoe hij wachtwoordgebruik onderzocht, tot welke conclusies hij kwam en hoe hij MindYourPass ontwikkelde.
De beperkingen van traditionele wachtwoordoplossingen
Training lijkt in het geval van wachtwoorden voor de hand te liggen. Door onderzoek zag Merijn inderdaad dat mensen die een training kregen betere wachtwoorden gaan gebruiken. Maar, hij voegt daaraan toe: "een onbedoeld bijeffect is dat deze mensen zoveel vertrouwen hebben in dit sterke wachtwoord dat ze het overal gaan gebruiken. Het gebruik van betere wachtwoorden leidt dus tot minder unieke wachtwoorden".
Wachtwoordmanagers kunnen ook uitkomst bieden. Alleen blijken deze slecht te worden gebruikt. Merijn vertelt: "Bij organisaties die een wachtwoordmanager aanschaffen, wordt deze vaak maar door minder dan vijf procent van de medewerkers gebruikt. En dat komt omdat mensen het niet gewend zijn en dus lastig vinden. Iedereen heeft een eigen methode aangeleerd om met wachtwoorden om te gaan. Ze zijn gewend om overal hetzelfde wachtwoord te gebruiken, om ze op een papiertje op te schrijven of om een heel makkelijk wachtwoord te kiezen.” Volgens onderzoek wordt zelfs 60% van de wachtwoorden hergebruikt. Het aanleren van een andere methode, zoals het gebruiken van een wachtwoordmanager, is een gedragsverandering en dat gaat nu eenmaal niet vanzelf.
Merijn vult aan: “Een traditionele wachtwoordmanager is ook een achilleshiel. Al je wachtwoorden stop je dus in één kluis, maar wát is de kwaliteit van je hoofdwachtwoord? Dat zijn vaak zwakke wachtwoorden. Wij meten dat, en we zien dat veel mensen denken: ‘als ik dat wachtwoord vergeet, dan kan ik nergens meer bij’. Een kluis an sich, is ook geen garantie voor goede wachtwoorden want de wachtwoorden in de kluis zijn vaak nog steeds van slechte kwaliteit.”
Multi-factor authenticatie (MFA) biedt extra beveiliging door naast een wachtwoord een tweede factor te vereisen, zoals een telefoon of een vingerafdruk. Ook wachtwoordloze oplossingen zoals Single Sign-On (SSO) en Passkeys zijn in opkomst. Maar Merijn ziet een fundamenteel probleem: "Al deze oplossingen vereisen grote aanpassingen aan de infrastructuur. Tegen de tijd dat die aanpassingen zijn doorgevoerd, dient zich vaak alweer een nieuwe techniek aan."
Eén eenvoudig wachtwoord onthouden met complexe wachtwoorden voor alle accounts
Tien jaar geleden besloot Merijn dus dat wachtwoord-management beter kon. Maar hoe? "Stel dat we overal hetzelfde wachtwoord zouden mogen gebruiken, dat dit wachtwoord makkelijk-te-onthouden mag zijn zodat je het nooit vergeet en dat we slimme techniek inzetten om hieruit super sterke wachtwoorden te produceren, dat zou de wereld een stuk veiliger maken en mensen minder gefrustreerd."
Merijn: "Eén van de unieke eigenschappen van onze aanpak is dat we een formule gebruiken om jouw wachtwoorden te berekenen. Zoals 2 + 4 altijd 6 is, zo tovert onze formule op basis van jouw makkelijk-te-onthouden wachtwoord en een aantal andere factoren steeds weer jouw wachtwoord tevoorschijn. Doordat we je wachtwoord berekenen, hoeft je wachtwoord niet bewaard te worden in een kluis. Daarmee is MindYourPass de eerste kluisloze wachtwoordmanager."
De aanpak van Merijn maakt gebruik van encryptietechnologie (hashing) om één eenvoudig te onthouden hoofdwachtwoord om te zetten in unieke, complexe wachtwoorden voor elke account. Hiermee zorgt het systeem ervoor dat het wachtwoord al gehasht is voordat het wordt verzonden, waardoor de veiligheid aanzienlijk wordt verbeterd, ongeacht de beveiligingspraktijken van individuele websites.
Een introductie van het bedrijf MindYourPass
MindYourPass is opgericht in 2019, en sinds twee jaar commercieel actief. Daarvoor was het bedrijf bezig met de ontwikkeling van de technologie voor wachtwoordmanagement die de pijn van het bedenken en onthouden van complexe wachtwoorden moet voorkomen. Inmiddels heeft het bedrijf meerdere internationale patenten verkregen, waaronder een Amerikaans. Het bedrijf heeft tientallen organisaties als klant, waaronder ruim tien gemeenten. Ook de vestigingsgemeente van het bedrijf, want de Gemeente Eindhoven gebruikt MindYourPass voor zijn wachtwoordbeveiliging.
Hoewel MindYourPass een 'Identity and Access Management' product ontwikkelt, streeft het bedrijf nadrukkelijk niet alleen een technische oplossing na. Bij MindYourPass geloven ze sterk dat een effectieve wachtwoordstrategie drie essentiële pijlers moet combineren: beleid, gedrag en techniek. "Het is een driehoek die in balans moet zijn," legt Merijn uit. "Je kunt niet alleen naar de technische kant kijken. Je hebt een duidelijk beleid nodig dat ook daadwerkelijk afgedwongen kan worden, én je moet zorgen dat mensen hun gedrag aanpassen."
Deze holistische aanpak wordt binnen het security-domein vaak genoemd, en door onderzoek bevestigde Merijn dat deze aanpak werkt. MindYourPass combineert deze drie-eenheid: ze helpen bij het maken van beleid, ondersteunen gedragstraining én bieden een technologische oplossing die het beleid afdwingt. "We zien vaak dat organisaties wel investeren in een wachtwoordkluis, maar vervolgens het verandermanagement en de gebruikerstraining vergeten. Dan heb je een technische oplossing die niemand gebruikt," vertelt Merijn.
Een belangrijk aspect van de MindYourPass-aanpak is het meetbaar maken van wachtwoordbeleid. "Organisaties moeten kunnen aantonen dat ze hun security-beleid niet alleen op papier hebben, maar ook echt handhaven," zegt Merijn. "Door alles meetbaar te maken, kunnen bedrijven hun beleid beter afdwingen en aantonen dat ze grip hebben op hun wachtwoordbeveiliging – wat ook helpt bij het voldoen aan compliance-eisen."
Conclusie
Merijn de Jonge's visie op wachtwoordbeheer biedt een verfrissende kijk op een hardnekkig probleem in cybersecurity. Zijn benadering erkent de praktische beperkingen van bestaande oplossingen en de menselijke factor in digitale beveiliging. Merijn's focus op het combineren van gebruiksgemak met sterke beveiliging lijkt een stap in de juiste richting.
Wil je MindYourPass zelf proberen? Particulieren kunnen de dienst zonder kosten gebruiken – een bewuste keuze om geen persoonlijke data te verzamelen.