Wachtwoorden zijn tijdelijk, waarom zijn inlognamen dat ook niet?

Iedereen kent het wel dat het alweer x tijd geleden is dat je wachtwoord voor het laatst is aangepast. Het wordt weer tijd voor een nieuwe versie. Meestal begint het gezeur al twee weken van te voren voor dat de termijn verlopen is. In het kort komt het erop neer dat als jouw systeembeheerder vindt dat je om de 6 weken een nieuw wachtwoord moet hebben, dan heb je deze slechts 4 weken. Zodra ik het wijzig-uw-wachtwoord-dialoog weer zie, pas ik mijn wachtwoord aan. Niets is vervelender dan een extra popup waar je niet op zit te wachten. Het alle mooiste is, dat in 9 van de 10 gevallen dat deze regel niet voor systeembeheerders geldt. Natuurlijk hebben die wel een heel erg moeilijk wachtwoord die niemand anders kent (behalve dan alle systeembeheerders in het bedrijf). Goed dat is een ander verhaal.

Als we echt van mening zijn, dat dit moet, dan zou je kunnen concluderen dat je ook je loginnaam om de zoveel tijd moet gaan wijzigen. Je username is waarschijnlijk vrij eenvoudig te herleiden van een aantal publieke gegevens. Hiermee maak je het voor een hacker al een stuk eenvoudiger om een computeraccount te misbruiken. Dus maak het moeilijk om ook de inloggegevens periodiek te wijzigen.

Je computersystemen zullen iets minder eenvoudig te hacken zijn, want in plaats van één vast gegeven (de loginnaam), zijn het er twee dynamische geworden.

Helaas heeft dit wel praktische gevolgen. Op het punt van besturingssystemen worden loginnamen vaak gebruikt om in mapnamen of home dirs gebruikers gegevens in op te slaan. Vraag maar niet om je loginnaam aan te passen. Het kost veel werk en of het goed zal gaan werken, is vaak de vraag.

Waarom dan toch dit voorstel? Denk aan bijvoorbeeld internetnbankieren. Je gegevens staan in een database en je username aanpassen is vrij eenvoudig. En aangezien dit toch wel de nummer 1 reden om te gaan hacken, zal juist dit wel voor internetbankieren en voor andere internet accounts gaan werken. Dus nu is het nog de vraag waarom doen we het dan nog niet? Het is inderdaad vervelend dat je als gebruiker telkens een andere loginnaam krijgt of zelf moet gaan verzinnen. Aan de andere kant, wordt de beveiliging wel beter.