Microsoft maakt het mogelijk voor gebruikers om in te loggen op hun account zonder gebruik te maken van een wachtwoord. Maar het einde van het wachtwoord is nog niet in zicht en alternatieven leveren mogelijk ook gedoe op.

Wie dat wil, kan vanaf deze week inloggen bij Microsoft-diensten zoals OneDrive of Outlook met behulp van de Microsoft Authenticator-app, gezichtsherkenning van Windows Hello, een fysieke beveiligingssleutel of unieke codes die per mail of sms worden verzonden.

De vraag is of hiermee het inloggen ook echt eenvoudiger en veiliger wordt. Bart Jacobs, hoogleraar Security, privacy en identity aan de Radboud Universiteit, lijkt enigszins verbaasd door het besluit van Microsoft om gebruikers te laten inloggen zonder wachtwoorden.

"Microsoft lijkt deze stap te nemen om het voor gebruikers makkelijker te maken, maar het is niet zo duidelijk wat hun echte afwegingen zijn", zegt hij. "Veranderingen op dit gebied hen bij hen een grote impact, bijvoorbeeld op het gebied van kosten, bijvoorbeeld voor het versturen van sms of bij het herstellen van accounts."

Overigens is het volgens Jacobs maar afwachten of het inloggen werkelijk gebruiksvriendelijker wordt. "Het steeds overtypen van een code van je telefoon is gedoe, net als het insteken van een fysieke beveiligingssleutel (zoals Yubikey). Daarnaast is het echt een probleem als je je telefoon of je beveiligingssleutel kwijt bent. Niet alleen moet je een nieuw device hebben, maar moet je jezelf daarmee opnieuw aanmelden en authenticeren."

Makkelijk te kraken

Het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken en Klimaat, staat positief tegenover het initiatief van Microsoft. Volgens cybersecurity-adviseur Erwin Hasenpflug van het DTC vormen systemen die alleen beschermd zijn met een wachtwoord namelijk vaak een risico. "Mensen gebruiken veelal zwakke of gemakkelijk te kraken wachtwoorden. Ook worden wachtwoorden geregeld (her)gebruikt voor verschillende diensten."

Hasenpflug betreurt het dat wachtwoordmanagers en tweestapsverificatie nog geen gemeengoed zijn, want dit zijn bij uitstek voorbeelden van middelen die kunnen bijdragen aan een verhoogde veiligheid. "Hoewel het DTC de aankondiging van Microsoft toejuicht, is de verwachting dat wachtwoorden de komende tijd nog niet volledig worden uitgebannen. Daarom zal het DTC de doelgroep blijven wijzen op de risico's en adviezen uitbrengen om te zorgen voor een goed wachtwoordbeleid binnen organisaties."

Overigens is de mogelijkheid om in te loggen zonder wachtwoord ook weer terug te draaien. Wie ervoor kiest om in te loggen zonder wachtwoord, kan later alsnog kiezen om weer op het Microsoft-account in te loggen met een wachtwoord.