Privacy en veiligheid zijn op dit moment een groot en belangrijk onderwerp. Steeds vaker staan onze gegevens op internet en gebruiken we wachtwoorden om deze gegevens op te slaan. Tegenwoordig adviseren sites ook hoe we een veilig wachtwoord moeten maken. Maar is het wel veilig zoals de meeste mensen denken dat het veilig is?
De bekendste manier van een veilig wachtwoord is op dit moment een wachtwoord van 8 tekens, met minimaal 1 cijfer 1 hoofdletter en een symbool, dit symbool mag dan geen uitroepteken of vraagteken zijn. Vaak gebruiken mensen hierdoor bijvoorbeeld hierdoor de naam van iemand met een hoofdletter en een postcode gevolgt met een punt (de punt komt het meest voor in een wachtwoord.). Het wachtwoord dat je dan krijgt is natuurlijk compleet random? Nee, niet dus.
De manier zoals op bedrijven adviseren een wachtwoord te maken zorgt er eigenlijk voor dat het simpeler word om een wachtwoord te kraken, alle wachtwoorden zijn een soort van gelijk. En vergeet daarbij niet dat mensen dit soort wachtwoorden ingewikkeld vinden en daardoor hun wachtwoord juist op veel sites gaan gebruiken in plaats van voor elke site een ander wachtwoord. En ja, hier maak ik mezelf soms ook schuldig aan.
Sinds het bestaan van wachtwoorden op computers en op het internet hebben we eigenlijk iedereen getraind om een wachtwoord te maken die moeilijk is voor mensen om te onthouden maar eigenlijk weer heel gemakkelijk door computers geraden kan worden. Het is dus heel belangrijk dat we niet meer doen wat website van ons verwachten. Maar juist onze wachtwoorden op een andere manier gaan maken. Om dat te doen moeten we natuurlijk weten hoe wachtwoorden gehacked worden, zodat we dit dus kunnen voorkomen.
Hoe gemakkelijk een wachtwoord te kraken is berekenen we met Entropy. Ik ga hier geen moeilijk natuurkundig verhaal neerzetten anders raak ik alle lezers kwijt. Entropy is simpel gezegd gewoon een berekening over de ingewikkeldheid de lengte en hoe uniek een wachtwoord is. Mensen denken al vrij snel dat het gebruiken van een woord uit het woorden boek vrij onveilig is. Dit klopt op het moment dat je een woord gebruikt. Dit hoeft echter niet altijd waar te zijn.
Als ik op dit moment op mijn Engelstalige computer kijk dan heeft mijn woordenboek 234.937 woorden. Dit betekent dat als je wachtwoord uit 1 woord zou bestaan dat een computer maximaal door een lijst van 234.937 woorden zou moeten gaan om het wachtwoord te kraken. Op dit moment zou je een Entropy hebben van 10. Als je de manier volgt die website gebruiken zou je een Entropy hebben van 17 tot maximaal 25 hebben op een goede dag. Een gewone huis tuin en keuken computer zou dan minder dan ongeveer een dag bezig zijn om dit wachtwoord te raden.
Maar als je nu vier compleet onafhankelijke woorden gebruikt dan word het interessant. Als ik een wachtwoord zou maken in het Engels die er bijvoorbeeld zo uitziet: “ComputerTabletEvaRack” dan zou volgens Entropy het ongeveer 3.500 jaar duren voordat een super snelle computer dit wachtwoord heeft gekraakt. Daarbij is het wachtwoord dat ik in het voorbeeld noem niet eens helemaal willekeurig, alle termen komen uit de ICT wat de zoektocht voor computers weer net iets makkelijker maakt. Een wachtwoord zoals ik hier noem mag dan alleen weer niet voor website gebruikt worden, de meeste sites eisen immers een cijfer en een symbool. Niet getreurd hiermee word het wachtwoord alleen maar nog sterker!
Maar waarom maken we toch die wachtwoorden die moeilijk te onthouden zijn maar gemakkelijk te kraken? Dat is gewoon menselijk. We doen graag wat de website van ons vraagt. De website adviseert dit en zou dan toch wel gelijk hebben. Het komt er eigenlijk op neer dat mensen kudde dieren zijn. En dit maakt het juist gemakkelijk voor de hackers. Daarnaast verbieden grote websites ons om veilige wachtwoorden te maken. Het voorbeeld wachtwoord is namelijk al 22 tekens groot en zou 24 tekens worden met 1 cijfer en een symbool. De meeste websites stellen de grens qua grootte op 20 tekens. Dit heeft vaak te maken omdat het wachtwoord anders teveel serververmogen vraagt om te encrypten de decrypten elke keer als je het invoert.
Maar het is dus heel belangrijk om te weten dat de adviezen die websites geven en het beeld dat wij hebben van een veilig wachtwoord helemaal geen veilig wachtwoord is. De wachtwoorden die moeilijk zijn voor mensen zijn niet automatisch ook moeilijk voor computers. Gelukkig kennen Windows, Linux en Apple geen limiet op de tekens voor de computer. Dus negeer hun advies en gebruik een wachtwoord die voor jou gemakkelijk te onthouden is en een computer gaat er echt wel moeite mee krijgen.
Voor de websites die een onveilig wachtwoord eisen blijft er eigenlijk maar een oplossing over. Het wordt tijd dat de grote bedrijven stoppen met hun idee van veilig en overstappen om een systeem dat waarschijnlijk iets meer geld kost voor het serververmogen maar dan ook veilig is. Want zeg nou eerlijk: Zou je niet liever 2 seconden langer wachten voordat je ingelogd bent op een website als je dan zeker weet dat je een goed en veilig wachtwoord heb? Vooral nu verschillende grote sites in de problemen zijn gekomen (Adobe, Twitter, Facebook) is het moment aangebroken om te gaan investeren in echte veiligheid.
1 thought on “Howto: Wat is nu eigenlijk een veilig wachtwoord?”