Het gebruik van biometrie, zoals het herkennen van je vingerafdruk of je gezicht, als authenticatiemiddel is sterk in opkomst. Toch worden wachtwoorden voorlopig nog volop gebruikt om toegang te krijgen tot online diensten op het internet. Een wachtwoord is in principe een goed authenticatiemiddel omdat het een geheim is wat alleen jij kent. Je vingerafdrukken laat je overal achter.
Omdat mensen slechts een beperkt vermogen hebben om complexe wachtwoorden te onthouden vervallen we al snel in het gebruik van wachtwoorden die gemakkelijk te onthouden zijn en daarmee gemakkelijk te achterhalen zijn door hackers: de naam van je partner, kind, huisdier, favoriete artiest of voetbalclub. De vergrijzing zal de problematiek van de vergeten wachtwoorden alleen maar vergroten.
Een wachtwoord moet sterk zijn, uniek voor elke website en gemakkelijk te onthouden.
Een sterk wachtwoord moet niet te raden zijn en bestand zijn tegen woordenboek- en “brute force” aanvallen. Als een wachtwoord niet geraden kan worden en wereldwijd in geen enkel woordenboek voor komt moet een aanvaller brute kracht (brute force) gebruiken om het te achterhalen. Elke mogelijke combinatie van letters, cijfers en speciale tekens wordt dan geprobeerd.
Lang werd gedacht dat de entropie (willekeurigheid en onvoorspelbaarheid van de gebruikte tekens) van belang was voor de sterkte van een wachtwoord. In menig wachtwoordbeleid staat dat een wachtwoord moet voldoen aan de volgende eisen: minimaal 8 tekens waaronder hoofdletters, cijfers en speciale tekens. Dan kom je uit op een wachtwoord dat er mogelijk zo uitziet: T@k3Eo&2.
Onderzoek van gehackte wachtwoordbestanden heeft aangetoond dat de complexiteit van wachtwoorden lang niet zo belangrijk is als lange tijd werd aangenomen. Het wachtwoord T@k3Eo&2 kan bij een online aanval van 1000 pogingen per seconde in enkele uren gekraakt worden. Lengte is een veel belangrijkere factor dan complexiteit voor de sterkte van een wachtwoord.
Als je voor internetbankieren en Facebook hetzelfde wachtwoord gebruikt en je Facebook wachtwoord wordt gehackt dan hebben hackers ook snel toegang tot je account voor internetbankieren.
De oplossing
Gebruik een gemakkelijk te onthouden wachtwoordzin. Een, bij voorkeur ontkennende, wachtwoordzin van 22 tekens als “Ikbennietgeborenin1843” kan met een brute force aanval eigenlijk niet binnen aanvaardbare tijd en tegen aanvaardbare kosten worden gekraakt.
Plaats achter je gekozen wachtwoordzin de naam van de website waarvoor je het wachtwoord gebruikt. Bijvoorbeeld: “Ikbennietgeborenin1843DigiD”. Je wachtwoord wordt er sterker van, het is gemakkelijk te onthouden en uniek voor elke website.
Ook een wachtwoordmanager kan het leven gemakkelijker maken.
Je kunt dan al je wachtwoorden opslaan en beheren in een digitale kluis en je hoeft dan alleen nog het wachtwoord van deze wachtwoordmanager te onthouden. Het is hierbij wel van belang dat je de leverancier van de software vertrouwt omdat je wachtwoorden meestal in de cloud worden opgeslagen.
Uiteraard bieden lange wachtwoorden en wachtwoordmanagers geen bescherming tegen keylogging, phishing en collega’s die over je schouder meekijken. En ja, hackers zijn natuurlijk bezig met het aanleggen van lijsten met wachtwoordzinnen en computers worden steeds sneller waardoor ook lange wachtwoordzinnen sneller gekraakt kunnen worden. Het blijft een kat-en-muisspel.
Wil je echt veilig inloggen maak dan gebruik van tweetraps authenticatie waarbij je naast je wachtwoord een tweede authenticatiemiddel gebruikt zoals een via sms ontvangen code.
Kijk eens op https://howsecureismypassword.net om de sterkte van een wachtwoord te testen. Natuurlijk gebruik je hiervoor niet je eigen wachtwoorden!