Over verstandig omgaan met je (sterke) wachtwoorden

De laatste tijd lijkt het wel alsof geen enkele grote site in staat is om je inloggegevens veilig te bewaren. Vorig jaar was Sony aan de beurt met een grootschalige hack van hun Playstation Network waarbij alle PSN gebruiker geforceerd werden hun wachtwoord te wijzigen. Vorige maand bleken de wachtwoorden van duizenden LinkedIn gebruikers veroverd te zijn door hackers en gisteren was Yahoo aan de beurt. Met de Sony hack vorig jaar had ik de schrik al enigzins in de benen zitten. Niet alleen omdat ik daar een te makkelijk wachtwoord voor gebruikte maar vooral omdat aan mijn PSN account ook een creditcard gekoppeld zat. Dat liep gelukkig allemaal met een sisser af maar dat was wel aanleiding om aanzienlijk kritischer naar mijn wachtwoorden te gaan kijken.

Ook al weet ik beter, ik rouleerde een beperkt aantal wachtwoorden voor bijna alle online diensten die ik gebruik. Nee, dat is niet slim maar met tientallen sites waar ik vaak, soms of bijna nooit inlog kan ik simpelweg geen tientallen verschillende sterke wachtwoorden onthouden. En dus wisselde ik een stuk of 10 verschillende wachtwoorden af, wat volgens mij al meer is dan gemiddeld.

Hoe meer verschillende wachtwoorden voor verschillende sites hoe beter natuurlijk. Als er dan eentje gekraakt wordt dan hoef je je tenminste geen zorgen te maken dat hackers meteen misbruik weten te maken van de overige tientallen sites waar je een account hebt. Maar hoe sterk is je wachtwoord nou eigenlijk en hoe weet je wat uberhaupt wat een sterk wachtwoord is?

Als je op een site, bijvoorbeeld Yahoo want daar was ik niet geheel toevallig vandaag om mijn wachtwoord te wijzigen, een wachtwoord aanmaakt dan krijg je de volgende suggesties:

– Your password should be easy for you to remember but hard for others to guess.
– Never share your password with anyone, and never reuse a password that you’ve used before.
– Your password must be at least six characters long.
– Use a combination of capital and lowercase letters, numbers, and special characters (such as +, ?, and *) in your password.

Uitstekend advies behalve dat het laatste wellicht de suggestie wekt dat veel symbolen en -niet te onthouden- leestekens betere en sterkere wachtwoorden opleveren terwijl dit haaks staat op het allerbeste advies bovenaan, namelijk dat je een wachtwoord moet nemen dat je zelf makkelijk kunt onthouden maar dat lastig door anderen te raden is. Op veel sites, waaronder Yahoo zelf, krijg je een balkje te zien die met een metertje aangeeft hoe zwak of sterk een wachtwoord is. Het probleem met dat balkje is dat alleen een sterk wachtwoord aangegeven wordt op het moment dat jij symbolen of leestekens gebruikt in je wachtwoord. En dat hoeft helemaal nog niet een sterk wachtwoord te zijn uiteindelijk.

De sterkte van een wachtwoord hangt namelijk af van meerdere factoren:

  1. De lengte van je wachtwoord;
  2. Of het wachtwoord een woord is uit een woordenboek, danwel een term is die vaker/veel gebruikt wordt;
  3. Of het uit 1 of meerdere woorden bestaat waarbij als het uit meerdere woorden bestaat de woorden geen relatie met elkaar hebben;
  4. De variatie in de tekens van je wachtwoord. Wissel letters af met een cijfer of een leesteken.

Zo’n indicatorbalkje beloont vooral/alleen dat laatste aspect maar gaat voorbij aan de overige aspecten. Met een zgn. brute force hack kan een computer kortere wachtwoorden simpelweg nalopen door per teken alle mogelijke variaties te berekenen. Dat is met wachtwoorden van minder dan 8 tekens een klus die een beetje pc tussen de enkele minuten en enkele dagen kost. Zo klinkt een niet te onthouden wachtwoord 76GrF@( misschien heel veilig maar kan die in ongeveer 17 uur gekraakt worden.

Mijn oude wachtwoord voor Yahoo was er weliswaar eentje van 10 letters maar was een enkel woord dat je in een woordenboek kunt vinden. M.b.v. een zgn. dictionary attack vergelijkt een computer eenvoudig alle bestaande woorden (in alle bekende talen) en kan die nogal snel gekraakt worden. Op How Secure Is My Password kun je precies zien hoe lang een desktoppc er over zou doen om mijn oude wachtwoord te kraken. Deze site gebruikt de criteria die hierboven staan om dat te beoordelen.

‘Almost instantly’. Ahum. Mijn wachtwoord was letterlijk een woord, bevatte alleen letters en staat in de top 4100 van meest gebruikte wachtwoorden. Dat kan en moet dus beter.

Bij het kiezen van een nieuw wachtwoord kun je dus beter meerdere woorden gebruiken, die geen relatie tot elkaar hebben en (een beetje) variëren met 1 of enkele cijfer(s) en leestekens. Een wachtwoord als kaartenbak19zakmes73ereader@@ is prima te onthouden als je daar zelf de systematiek voor bedacht hebt en is bijna belachelijk veilig:

Oftewel, je hoeft je wachtwoorden niet vol te stoppen met symbolen, cijfers en afwisselend hoofd- en kleine letters waardoor je ze zelf niet kunt onthouden. Bedenk een systematiek waarin je meerdere ongerelateerde woorden, cijfers en/of enkele leestekens kiest en niet alleen is je wachtwoord dan sterk, je geheugen hoeft dat dan niet te zijn.

Kun je geen systematiek bedenken, dan kun je op de Make Me A Password site eenvoudig een (Engelstalig) wachtwoord aanmaken die voldoet aan die criteria. Veilig en sterk. Zolang je die niet op een Post-it schrijft vervolgens en aan je monitor hangt ;)

@ foto via R. Parmiter/Flickr

#

Raymond Snijders

Sinds 1995 houdt Raymond zich bezig met de combinatie van ICT, bibliotheken en onderwijs vanuit het perspectief van (vooral) de bibliotheek en informatievoorziening. Thans is hij werkzaam bij de Hogeschool Windesheim als senior informatiebemiddelaar en houdt hij zich bezig met de digitale bibliotheek, contentlicenties, ebooks en auteursrecht. Over deze onderwerpen en de impact die ze (kunnen) hebben op het onderwijs en bibliotheken blogt hij sinds 2006 op zijn Vakblog. In 2013 won hij de Victorine van Schaickprijs voor zijn blog.

Comments (3) Write a comment

Leave a Reply

Required fields are marked *.


This site uses Akismet to reduce spam. Learn how your comment data is processed.

  • © 2006- 2019 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top