Wachtwoord van het onbekende woord
Een goed wachtwoord gebruiken. Voor de meeste computergebruikers is het nog steeds geen onderwerp. Ik ken iemand die voor alles waar een wachtwoord nodig is, hetzelfde wachtwoord gebruikt. Alleen voor zijn bank en beleggersaccount gebruikt hij een apart wachtwoord. Iedereen in zijn omgeving kent inmiddels dat ene veelgebruikte wachtwoord.
‘Het is nog nooit fout gegaan’, zegt hij, wanneer ik hem aanraad betere en meer verschillende wachtwoorden te gebruiken. Maar het gaat een keer fout. Als dat al niet, zonder dat hij het merkte, is gebeurd.
Wachtwoord te eenvoudig
Gelukkig zijn er mensen die inzien dat het beter is verschillende wachtwoorden te gebruiken. Voor elk account gebruiken ze een ander wachtwoord. Maar vaak is het te eenvoudig. De tijd van het raden van een wachtwoord door kwaad willenden, wat we nog wel eens in films zien, is al lang voorbij.
Criminelen, want dat zijn het, gebruiken tegenwoordige programma’s die razendsnel allerlei combinaties van letters, cijfers en tekens proberen. Vaak gebruiken ze daarbij een botnet. Dat zijn met een virus geïnfecteerde computers, van een onschuldige burgers, die gezamenlijk de rekenkracht vergroten.
Sneller
Ga eens uit van een wachtwoord van 8 letters. Met ons alfabet van 26 letters, kun je daarmee ruim 200 miljard verschillende lettercombinaties maken van 8 letters. Je zou denken dat het onmogelijk of buitengewoon toevallig is als een crimineel erachter komt welk wachtwoord je hebt gemaakt. Met een botnet heeft hij binnen een paar minuten alle, of in ieder geval de meest voor de hand liggende, combinaties geprobeerd.
Moeilijker wachtwoord door meer
Je maakt het wat moeilijker, denk je, wanneer je ook hoofdletters gebruikt en enkele letters vervangt door getallen en speciale tekens. Die laatste groep bestaat weliswaar uit 27 verschillende tekens, maar bij de meeste accounts zijn slechts enkele tekens toegestaan.
Globaal heb je dan 26 (kleine letters) + 26 (hoofdletters) + 10 (getallen) + ca. 18 (tekens) = 82 tekens. Daarmee kun je 2.044.140.858.654.976 (= 2 biljard) combinaties van 8 tekens maken. Zelfs wanneer je elk teken maar een keer gebruikt, blijven er heel erg veel combinaties over. Het zou toch voldoende moeten zijn.
Gewoontegedrag
Helaas heeft de crimineel met die vele combinaties al lang rekening mee gehouden. Of je oomkarel of o0mKaR3l gebruikt, het maakt maar een klein verschil. De crimineel weet hoe we onze wachtwoorden kiezen, dus zoekt hij eerst op gangbare woorden en varianten daarop.
Dat we bekende woorden of varianten gebruiken is niet helemaal onlogisch. We willen het wachtwoord immers zelf ook makkelijk kunnen onthouden en intypen. Daarom gebruiken veel mensen dagelijkse woorden, handige getallenreeksen of eigen vaste formules. Dat laatste is wellicht wel een slimme combinatie van twee kwaden (moeilijker te raden/ontsleutelen en toch onthoudbaar).
Vaste formules
Een vriend gebruikt een vaste formule. Hij neemt het eerste lettergreep van de site-/bedrijfsnaam, daarbij begint hij met een hoofdletter. Daar zet hij het getal van het aantal letters achter, dan twee procenttekens en hij vult het wachtwoord aan tot tien tekens met x-en. Bij de website van Wehkamp is zijn wachtwoord dus: Weh3%%xxxx
Het is geen gangbaar woord en het geeft een grillig patroon dat minder makkelijk is te kraken. Maar de vriend kan het eenvoudig herleiden vanuit zijn ‘unieke’ formule.
Wachtwoord lengte
Doet het aanvullen tot tien tekens er iets toe? Ja. 9 tekens in plaats van de 8 van hierboven vergroot het aantal combinaties bij 52 mogelijke tekens tot 172 biljard (bij 8 was het nog 2 biljard). Je kunt je voorstellen hoeveel meer combinaties er zijn bij 10 tekens.
Lengte maakt dus uit. Tenminste als het wachtwoord is opgebouwd uit een willekeurige combinatie. Qwerty1234 is echter niet echt handig. Waarom niet?
Onderzoek
De crimineel kijkt niet alleen naar gangbare woorden. Hij gebruikt in zijn zoeklijst ook voor-de-hand-liggende of handige combinaties. Deze komen bijvoorbeeld tevoorschijn in onderzoek naar wachtwoordgebruik.
Er zijn verschillende organisaties die zulke onderzoeken doen. Regelmatig worden de resultaten daarvan gepubliceerd. Kijk maar eens op de site van Splashdata. Zij stellen jaarlijks een top-25 samen van slechte wachtwoorden. Zie hiernaast, ook te zien op de website van wachtwoord manager TeamsID
Triest
Heb je gezien dat 4% van de computergebruikers het wachtwoord 123456 gebruikt. Het is al jaren het meest gebruikte, en slechtste, wachtwoord. En ongeveer 10% van de computeraars gebruikt minstens een wachtwoord uit de top-25
Het wachtwoord van de vriend met de vaste formule is wellicht niet super. Maar het komt zekere niet voor in de top-100, als die al zou bestaan.
Meer informatie:
- Inzichten in wachtwoordgebruik veranderen regelmatig. Berichten spreken elkaar soms tegen, met andere woorden deskundigen zijn het niet altijd met elkaar eens wat veilig is. Bovenstaande informatie is behoorlijk actueel.
- Als je zelf geen wachtwoord of -formule kunt bedenken, kun je gebruik maken van wachtwoordbedenkers (password-generator). Er zijn goede en slechte, er zijn gebruikersvriendelijke en onhandige. Een gebruikersvriendelijke Nederlandse is die van VPN-mentor
- Het NEN (Nederlands Normalisatie Instituut) heeft een NEN-norm of bericht over wachtwoordgebruik. Maar zij leveren hun ‘Staandaarden’ alleen tegen betaling. Het is een loze opmerking, die ik slechts maak omdat ik het belachelijk vind dat normeringen niet vrij beschikbaar zijn en/of de overheid niet zorgt dat ze vrij beschikbaar zijn.
- Het NIST (de Amerikaanse ‘National Institute of Standards and Technology’) heeft gratis aanbevelingen en standaarden. Zij adviseren oa. een middenweg te vinden tussen een veilig en niet te moeilijk te onthouden wachtwoord. Bovengenoemde formule zoals hierboven, die alleen bekend is bij de gebruiker, kan daarbij handig zijn.
- Zie ook berichten ‘Zin en Onzin rond wachtwoorden‘ en ‘WordPress beveiligen‘
Vorige en volgende berichten
« Ouder: Suikervrij en de Stevia-leugenNieuwer: Postbezorger, Harry’s succesvolle carrièreswitch »Een willekeurig bericht
Ik schrijf op deze site over allerlei onderwerpen. Soms is het heel persoonlijk, soms vooral informatief of beschouwend. Hieronder een willekeurig bericht uit ruim 2000 berichten.