password is geen wachtwoord: 3 regels voor veilige wachtwoorden

door Gijs van Dam op 04-01-2010 | Categorie Webdevelopment

Twitter heeft onlangs 370 wachtwoorden in de ban gedaan. Eigenlijk waren het er maar 369, want het wachtwoord ‘password’ kwam twee keer in de lijst voor. De reden is dat deze wachtwoorden te makkelijk te raden zijn voor iemand die zichzelf oneigenlijke toegang wil verschaffen tot een Twitter-account.

Als je nu een van deze wachtwoorden wil gebruiken, dan krijg je de melding dat het wachtwoord wel heel makkelijk te raden is.

Dit is wel heel makkelijk te raden

Andere wachtwoorden worden wel toegelaten, maar krijgen wel tijdens het invoeren al een kwalificatie mee. In oplopende volgorde van geweldigheid krijgen de wachtwoorden de kwalificatie ‘weak’, ‘good’, ‘strong’ of ‘very strong’.

Dit is nog steeds heel matig

Maar wat zijn nu goede wachtwoorden, en wat niet? En hoe kun je er voor zorgen dat de kans zo klein mogelijk is dat een account gehackt wordt.

Gebruik geen woorden als wachtwoorden

Je kunt een wachtwoord beter zien als een wachtcode, of een wacht-willekeurige-opeenvolging-van-cijfers-tekens-en-letters. Woorden (werkwoorden, zelfstandige naamwoorden, bijvoegelijke naamwoorden, kortom woorden die in een woordenboek staan) maken het wachtwoord erg gevoelig voor een dictionary attack. Een dictionary attack maakt gebruik van een lijst van mogelijke wachtwoorden en probeert die allemaal uit. In tegenstelling tot een normale brute force attack die elke mogelijk combinatie van cijfers en letters uitprobeert, gaat een dictionary attack uit van een lijst van meest waarschijnlijke wachtwoorden (zoals de 369 die Twitter in de ban heeft gedaan). Dictionary attacks slagen omdat de gemiddelde internetter een neiging heeft om korte wachtwoorden te kiezen die bestaan uit één simpel woord dat gevonden kan worden in een woordenboek, of op makkelijk voorspelbare varianten van zulke woorden, door bijvoorbeeld één cijfer er aan toe te voegen.

Maak wachtwoorden niet te kort en gebruik cijfers en leestekens

De Zware JongensAls de dictionary attack niet werkt, dan kunnen de zware jongens nog altijd de brute force taktiek hanteren. Hierbij worden alle mogelijke combinaties van tekens uitgeprobeerd. Als je alleen maar cijfers gebruikt in je wachtwoord dan kan een beetje PC een wachtwoord van 8 cijfers in 10(!) seconden kraken. Als je daarentegen cijfers, hoofd- en kleine letters en leestekens door elkaar gebruikt heeft diezelfde computer er 23 jaar voor nodig om alle mogelijkheden uit te proberen.

Gebruik (zoveel mogelijk) verschillende wachtwoorden

In Lord of the Rings had de Dark Lord Sauron er goed aan gedaan om niet één administrator-ring te maken. “One Ring to rule them all, One Ring to find them, One Ring to bring them all and in the darkness bind them”; vanuit een beveiligingsperspectief is dat ongelooflijk stom niet raadzaam. Hetzelfde geldt voor wachtwoorden. 70% van de internetters gaf in een onderzoek aan geen gebruik te maken van een uniek wachtwoord per website. Eén wachtwoord gebruiken voor alle accounts, betekent ook dat maar één wachtwoord gekraakt moet worden om alles te kraken. En wellicht is daar niet eens een dictionary attack voor nodig, want niet elke website slaat wachtwoorden op in de database op een manier waarbij het onmogelijk is om te achterhalen wat het wachtwoord is en zelfs dan ben je nog niet 100% safe.

Wachtwoorden onthouden

OK, dus je maakt gebruik van unieke wachtwoorden en ze zijn allemaal lang en complex genoeg. Maar je moet ook nog een boodschappenlijstje onthouden (vergeet de melk niet), de verjaardag van je schoonmoeder en zinloze dingen zoals “Rensenbrink … tegen de paal!” Wachtwoorden ga je vergeten, zeker die wachtwoorden die je niet vaak gebruikt. een methode om unieke wachtwoorden te onthouden is om alle wachtwoorden via bepaalde regels die alleen jijzelf snapt en onthoudt, (deels) af te leiden uit de naam van de website of service waarop je probeert in te loggen. Bijvoorbeeld: De laatste letter van de website, de eerste letter, de eerstvolgende letter uit het alfabet ten opzichte van de derde letter, SHIFT + 4 getallen van een oud telefoonnummer en de karakters 2EZ.

Een tweede manier is om gebruik te maken van een password manager. En alhoewel je dan alle wachtwoorden weer beveiligt met 1 overall-wachtwoord en dit dus in principe wel een zwak punt is, is dit nog altijd heel veel beter dan voor  alles een en hetzelfde wachtwoord te gebruiken, bijvoorbeeld: password

  • Print
  • Digg
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • eKudos
  • email
  • Hyves
  • LinkedIn
  • NuJIJ
  • RSS
  • Twitter

Gerelateerde blogposts:

  1. De officiële Twitter-buttons zijn het net niet
  2. De coolste url shortener ooit
Tags: , , ,

Een reactie op “password is geen wachtwoord: 3 regels voor veilige wachtwoorden”

  1. Kerel says:
    22/04/2010 at 18:35

    Mooi artikel Gijs. Ik heb zonet een artikel afgerond dat een paar extra technieken kan toevoegen aan het jouwe, je kan niet gedocumenteerd genoeg zijn tegenwoordig !
    Bekijk http://nick.breens.be/blog/veilige-wachtwoorden eens.

Plaats een reactie