Eindhovens Dagblad
Dinsdag 16 juli 2024

Amanda Bulthuis-Oerlemans
amanda.bulthuis@ed.nl

Het idee ontstond tien jaar geleden in het hoofd van Merijn de Jonge. ,,Het begon met mijn frustratie over wachtwoorden. Je moet voor elk account een moeilijk wachtwoord maken en dan ook nog bij elk account een ander wachtwoord verzinnen. Dat is niet te doen. Ik ging nadenken over een manier waarop je nog maar één wachtwoord nodig hebt, dat ook nog makkelijk te onthouden mag zijn. Ik ben zelf gaan programmeren en hier kwam uiteindelijk MindYourPass uit voort.”

De techniek van dit Eindhovense bedrijf werkt zo: stel, je wilt inloggen bij een webshop. Als je op de inlogpagina zit, klik je het icoontje van MindYourPass (MYP) aan. Daarna vul je je makkelijk te onthouden wachtwoord in, of gebruikt je vingerafdruk of gezichtsherkenning. MYP berekent vervolgens je wachtwoord.

Je wachtwoord staat dus niet opgeslagen in een lijst met wachtwoorden, maar wordt berekend. Dat gebeurt met een formule die kijkt naar verschillende factoren, waaronder je identiteit en de website waar je op zit. Je kunt het vergelijken met een rekensom; 2+4=6, bijvoorbeeld. 2 is dan je makkelijk te onthouden wachtwoord, 4 is iets wat MYP voor je onthoudt en 6 is jouw wachtwoord bij de webshop.

Niet te raden

Zolang de factoren in de rekensom hetzelfde blijven, is de uitkomst ook hetzelfde. Als je bijvoorbeeld op een vervalste website zit, komt er een ander wachtwoord uit de berekening en is inloggen dus niet mogelijk. Net zoals de uitkomst van 2+5 of 3+4 geen 6 is, maar 7. Bovendien kun je alleen inloggen met apparaten en browsers die je bij MindYourPass hebt geautoriseerd.

In werkelijkheid kijkt MYP naar veel meer factoren en zorgt het bedrijf dat de rekensom en de wachtwoorden die ze genereren voldoen aan alle veiligheidsregels. Voor hackers zijn zulke wachtwoorden niet meer te raden. De techniek is zo uniek dat MindYourPass er diverse internationale patenten voor heeft.

Het probleem van onveilig wachtwoordgebruik is groot. Uit onderzoek dat Kenniscentrum Psychologie en Economisch Gedrag in 2022 uitvoerde, blijkt dat bijna 84 procent van de deelnemers zwakke wachtwoorden gebruikt. Bijna 28 procent gaf aan meerdere keren hetzelfde wachtwoord te gebruiken.

Iedereen scoorde een onvoldoende voor zijn wachtwoordgebruik. Dat baart mij echt zorgen
– Merijn de Jonge, MindYourPass

Dit ziet De Jonge in de praktijk ook, zelfs bij groepen waar je het niet verwacht. ,,We hebben een scan gedaan bij een onderwijsinstelling gelieerd aan de TU Eindhoven. Daar zitten toch allemaal slimme studenten. Iedereen scoorde een onvoldoende voor zijn wachtwoordgebruik. Dat baart mij zorgen. Ik ben meteen met andere onderwijsinstellingen gaan praten om hier aandacht voor te krijgen. Deze mensen gaan straks ons bedrijfsleven in, dan wil je niet dat ze een online veiligheidsrisico vormen.”

MindYourPass is ook privacyvriendelijk. Je wachtwoorden worden niet opgeslagen, maar elke keer opnieuw gereproduceerd als je ergens wilt inloggen. Privacy is ook de reden dat de dienst gratis is voor consumenten. ,,Anders hebben we betaalgegevens en dergelijke van je nodig en dat gaat ten koste van de privacy”, zegt De Jonge. ,,We verdienen geld doordat bedrijven en organisaties onze dienst gebruiken. Zij betalen er wel voor. Hiervoor hebben we geen gegevens van medewerkers nodig.”

De Jonge biedt bedrijven eerst een scan aan. ,,Hiermee laten we bijvoorbeeld zien op hoeveel programma’s en websites medewerkers inloggen en hoe vaak de wachtwoorden hetzelfde, te makkelijk of zelfs al gestolen zijn. Bedrijven schrikken van de uitkomst. Ze scoren namelijk allemaal erg slecht.”

Schade of failliet

Voor bedrijven is het extra belangrijk dat medewerkers veilige wachtwoorden gebruiken. ,,Een hack kan een mkb-bedrijf zomaar 4 ton aan schade opleveren. Er zijn zelfs bedrijven die eraan failliet gaan”, zegt De Jonge.

Te makkelijke, veelgebruikte, of gestolen wachtwoorden zijn voor hackers gemakkelijk om mee binnen te komen. ,,Als werkgever kun je een enorme stap maken door veilig wachtwoordgebruik af te dwingen”, legt De Jonge uit. ,,Die dwang is nodig, want we zien dat bij bedrijven die alleen een wachtwoordbeleid opstellen 70 procent van de werknemers zich er niet aan houdt.”

MindYourPass wordt nu al door enkele tientallen zakelijke klanten gebruikt, waaronder een aantal gemeenten. Ook de gemeente Eindhoven gaat in zee met MindYourPass. ,,Alle 3400 medewerkers gaan onze software gebruiken.”