Wachtwoord op de schop
NIST
Volgens de NIST is het namelijk mogelijk om heel simpel wachtwoorden te verzinnen die maar liefst 1 miljoen keer moeilijker te kraken zijn dan Luuk, Emma en Sofie. Waarschijnlijk zegt die hele NIST je niet zoveel. En dat terwijl het wereldwijd de meest gerenommeerde organisatie is als het gaat om wachtwoordveiligheid. De afkorting staat voor National Institute of Standards and Technology; het instituut dat wachtwoordveiligheidsadvies uitgeeft aan de Amerikaanse overheid. Vrijwel altijd wordt dat overgenomen in wereldwijde beveiligingsstandaarden. In hun nieuwe richtlijnen maken ze, wetenschappelijk onderbouwd, gehakt van een aantal opvattingen over veilige wachtwoorden. De belangrijkste daarvan is de ideale opbouw van een wachtwoord.
Moeilijk wachtwoord is niet veiliger
Bijzonder genoeg blijkt een wachtwoord als ‘jyPFERdtl*598’ helemaal niet zo veilig te zijn als gedacht werd. Dat komt niet zozeer door het wachtwoord zelf, maar door de manier waarop onze hersenen werken. Probeer het bovenstaande wachtwoord namelijk maar eens te onthouden. Aangezien er totaal geen samenhang is tussen de verschillende letters, cijfers en tekens is dat erg moeilijk. Dat is alsmede de reden waarom we wel het hele alfabet achter elkaar op kunnen dreunen, maar niet op commando de twintigste letter kunnen opdreunen. We hebben namelijk nooit geleerd om - op chronologische volgorde na - de letters in verband te brengen.
Associëren helpt
En juist dat begrip associatie is volgens de NIST de sleutel tot een veiliger wachtwoord: een dat je wel kunt onthouden. De kunst is om op zoek te gaan naar een wachtwoord dat je altijd terug kunt inbeelden, maar tegelijkertijd niet voor de hand ligt. Dus niet Luuk, Emma en Sofie, maar doek, rek, bord, koffie. Precies in die volgorde, van rechts naar links, zoals je ze terugvindt in je keuken. Door deze woorden achter elkaar te zetten, krijg je blijkbaar een vrijwel onkraakbaar wachtwoord. De reeks is namelijk voor iedere hacker willekeurig, maar voor jou makkelijk te onthouden. Ook al zou de eventuele hacker weten dat het wachtwoord met je keuken te maken heeft, is het onmogelijk te achterhalen welke associatie jij in het hoofd veiligstelt.
1 miljoen keer veiliger
Het verschil in sterkte tussen willekeurige wachtwoorden en associatieve is enorm groot. De NIST gebruikt de waarde ‘entropy’ om de veiligheid van een wachtwoord te kenmerken. Een wachtwoord van tien karakters met willekeurige letters, cijfers en tekens heeft daarbij een waarde van gemiddeld 65 bits. Een net zo lang wachtwoord, op basis van associatie heeft een waarde van 85 bits. Na flink wat rekenwerk komt dat erop neer dat een hacker 1,050,000 keer meer moeite moet doen om dat wachtwoord te kraken. De conclusie lijkt dan ook duidelijk: snel dat wachtwoord veranderen!