Over sterke wachtwoorden bedenken en onthouden (zonder dat je ze iedere keer moet veranderen)

Iedereen worstelt met de belachelijke hoeveelheid wachtwoorden die je tegenwoordig moet onthouden. Tientallen of zelfs honderden (betaalde) webdiensten, klantenpagina’s van bedrijven, DigiD, de inlogcodes voor je werk, noem het allemaal maar op.

Vroeger kwam je er nog mee weg om tussen twee of drie eenvoudige wachtwoorden te rouleren die je simpelweg overal voor gebruikte. Na een jarenlange berichtenstroom van hacks en gestolen inloggegevens bij allerlei diensten (o.a.Time Warner, Netflix, Amazon, Spotify) zit de schrik bij veel bedrijven er goed in en wordt iedereen gedwongen om zogenaamde sterke wachtwoorden aan te maken. Niet dat het je enigszins helpt als de servers van dat bedrijf alsnog gehacked worden en anderen er met de wachtwoorden vandoor gaan maar tja, dan moet je natuurlijk vooral niet dat wachtwoord op andere sites gebruiken, nietwaar? “Gewoon” voor elke site, elke toepassing en elk bedrijf een uniek wachtwoord bedenken alsjeblieft.

sterke wachtwoordenIT-afdelingen weten namelijk heel goed dat je niet moet gaan uitleggen aan gebruikers hoe firewalls en netwerkbeveiliging werken. Laat staan dat je toegeeft dat er niet iets bestaat als 100% garantie dat je niet gehacked gaat worden. Net zo min als dat je met een memo aan de hoogste baas duidelijk maakt dat betere beveiliging ook gelijk een stuk kostbaarder is.

Nee, de logische aanpak is om te voorkomen dat gebruikers zich onveilig voelen. En aangezien iedereen weet dat – als je gebruikers hun eigen gang laat gaan – mensen graag de meest eenvoudige wachtwoorden kiezen, zit daar meteen de oplossing. Niet meer toestaan dat mensen ‘123456‘ of ‘wachtwoord’ als wachtwoord kunnen kiezen omdat ze die makkelijk kunnen onthouden. Maar verplicht stellen dat er minimaal een paar leestekens, hoofdletters, kleine letters en cijfers in zitten omdat hackers gemakkelijke wachtwoorden ook gemakkelijk kunnen raden.

Sterke wachtwoorden vereisen sterke geheugens

Helaas blijft het vaak niet bij een wat exotische combinatie van letters, leestekens en cijfers maar moet het nog een stukje ingewikkelder worden. Omdat het dan een stuk “veiliger” is natuurlijk. En om het allemaal perfect veilig te krijgen moet je dan ook nog eens 2 tot 4 keer per jaar dat wachtwoord wijzigen naar een nieuw sterk wachtwoord.

Onlangs kwam ik de onderstaande instructie tegen bij het aanmaken van een account:

• minimaal 8 tekens lang
• minimaal 3 van de 4 soorten karakters: hoofdletters, kleine letters, cijfers, speciale tekens
• maximaal 2 opeenvolgende gelijke tekens (bv niet ‘aaa’)
• mag niet bevatten: voornaam, achternaam, inlognaam
• mag niet gelijk zijn aan de vorige 10 wachtwoorden
• moet minimaal 1 dag gebruikt worden

Alsof het al niet erg genoeg is dat je aan de hand van een set aanwijzingen een wachtwoord moet componeren dat aan de eisen voldoet, mag je dat ook nog eens op regelmatige basis herhalen omdat bijvoorbeeld je bedrijf besloten heeft dat je elke 90 dagen je wachtwoord moet veranderen. Net als je het wachtwoord met pijn en moeite kunt onthouden, kun je weer opnieuw beginnen. Niet vreemd dat de meest gestelde vraag bij een helpdesk na de zomervakantie is om het wachtwoord te resetten (na vier weken vakantie vergeet iedereen het) en de meeste aangeklikte link de ‘wachtwoord vergeten’ link is. Tenzij je natuurlijk je wachtwoord veilig opgeschreven hebt in je agenda of op een post-it bij je computer.

Niet verrassend wellicht dat onderzoekers nu andere theorieën hebben over het verplicht periodiek wijzigen van (een sterk) wachtwoord. In The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis kun je dat nalezen maar chief technologist Lorrie Cranor vat het wat mij betreft mooi samen:

So, should you ever change your password? Well, sometimes. If you have reason to believe your password has been stolen, you should change it, and make sure you change it on all of your accounts where you use the same or a similar password. If you shared your password with a friend, change it. If you saw someone looking over your shoulder as you were typing your password, change it. If you think you might have just given your password to a phishing website, change it. If your current password is weak, change it. If it will make you feel better or if you just feel like it’s time for a change, then by all means go ahead and change your password.

En hoe veilig is dat wachtwoord nou echt?

De eisen die sites en bedrijven aan wachtwoorden stellen, wekken de suggestie dat veel symbolen en – niet te onthouden – leestekens betere en sterkere wachtwoorden opleveren. Zelf denk ik dat de veiligheid van een wachtwoord drastisch verbeterd wordt door er eentje te kiezen die je zelf makkelijk kunt onthouden maar dat lastig door anderen te raden is.

En daarbij is de sterkte van een wachtwoord niet alleen afhankelijk van de variatie in de tekens van je wachtwoord. Op diverse sites kun je laten toetsen hoe veilig je gekozen wachtwoord is en zonder uitzondering kijken die eerst naar de lengte van je wachtwoord (hoe meer tekens, hoe veiliger) en of het wachtwoord een woord is uit een woordenboek, danwel een term is die vaker/veel gebruikt wordt. Pas daarna speelt de variatie in de tekens een rol.

Een wachtwoordzin (passphrase) gebruiken is dan zonder twijfel het meest veilige. Helemaal als daar leestekens en cijfers in zitten. Als fan van goede muziek zou ik dan bijvoorbeeld kiezen voor een zin uit een muzieknummer. Makkelijk te onthouden en onmogelijk voor een computer om te raden. Tenzij die weet dat ik uit nummers van Prince put natuurlijk: Tonighti'mgonnapartylikeit's1999

sterke wachtwoorden
Volgens How secure is my password is een computer “9 tredecillion years” bezig om dat wachtwoord te kraken. Ja, ik moest het ook opzoeken maar 1 trecedillion is een 1 met 42 nullen. Oh, en het is een voorbeeld mensen, ik gebruik deze zin nergens dus ga nou niet proberen om overal in te loggen met die zin.

Eén van de redenen waarom ik niet overal wachtwoordzinnen gebruik is omdat je maar op weinig plekken meer dan 20 of 30 tekens mag gebruiken voor wachtwoorden. Minimaal 8 betekent meestal niet dat je hele zinnen kunt gebruiken helaas. Als ik de instructies volg die een paar alinea’s hierboven staan, dan kies ik een willekeurig wachtwoord van 8 tekens, met hoofdletters, kleine letters, getallen en vooruit, ook een speciaal teken waar niet mijn voornaam, achternaam en inlognaam in verwerkt zijn. Kortom, wat de site een perfect sterk wachtwoord vindt. Wat dacht je van VAKB9#rs? De eerste vier letters van Vakblog, dat 9 jaar bestaat met hashtag mijn initialen.

niet sterke wachtwoorden
Negen uren! Hoezo veilig?

Het lijkt me hoog tijd dat bedrijven (en sites) *eerst* rekening houden met gebruikers die hun wachtwoorden moeten kunnen onthouden aangezien het grootste risico gelopen wordt door gebruikers die al hun wachtwoorden opschrijven.

Bedenk dan pas eisen voor de wachtwoorden die het *gemakkelijker* maken om ze te onthouden terwijl het voor kwaadwillenden juist lastiger wordt om te raden. En hou op met gebruikers een paar keer per jaar lastig te vallen door ze een nieuw wachtwoord te laten bedenken (waarbij iedereen simpelweg één letter of getal verandert) tenzij er daadwerkelijk redenen zijn om alle wachtwoorden te laten veranderen.

Zoek je overigens nog songteksten om een makkelijk te onthouden wachtwoordzin uit te halen? Die kun je uitstekend via Google vinden als je ze (nog) niet uit je hoofd kent. Moet je natuurlijk niet hardop mee gaan zingen als je je wachtwoordzin intikt …

@header via Pixabay met CC0 verklaring

#

Raymond Snijders

Sinds 1995 houdt Raymond zich bezig met de combinatie van ICT, bibliotheken en onderwijs vanuit het perspectief van (vooral) de bibliotheek en informatievoorziening. Thans is hij werkzaam bij de Hogeschool Windesheim als senior informatiebemiddelaar en houdt hij zich bezig met de digitale bibliotheek, contentlicenties, ebooks en auteursrecht. Over deze onderwerpen en de impact die ze (kunnen) hebben op het onderwijs en bibliotheken blogt hij sinds 2006 op zijn Vakblog. In 2013 won hij de Victorine van Schaickprijs voor zijn blog.

Comments (13) Write a comment

  1. Enige wat voor mij werkt is voor alle websites een ander paswoord van minimaal 12 willekeurige tekens. Onthouden doe ik niet meer daar gebruik ik keepass voor. Dan hoef je nog maar een paar wachtwoorden te onthouden. Geeft een heleboel rust en gezeur als een bepaalde dienst weer eens gehackt is.

    Reply

Leave a Reply

Required fields are marked *.


This site uses Akismet to reduce spam. Learn how your comment data is processed.

  • © 2006- 2019 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top