Een goed wachtwoord heeft hoofdletters, kleine letters, cijfers en speciale tekens. Het is onmogelijk te onthouden, mag nooit opgeschreven worden en moet om de paar maanden veranderd worden. Hoe je dat allemaal moet klaarspelen, vertellen beveiligingsexperts er meestal niet bij. Wij wagen een poging. Eigenlijk kent iedereen de klassieke regels om een sterk wachtwoord te […]

Advertentie

Een goed wachtwoord heeft hoofdletters, kleine letters, cijfers en speciale tekens. Het is onmogelijk te onthouden, mag nooit opgeschreven worden en moet om de paar maanden veranderd worden. Hoe je dat allemaal moet klaarspelen, vertellen beveiligingsexperts er meestal niet bij. Wij wagen een poging.

Eigenlijk kent iedereen de klassieke regels om een sterk wachtwoord te verzinnen wel, maar toch kiezen we met zijn allen slechte wachtwoorden zoals ‘wachtwoord’, ‘RSCAnderlecht’, ‘laatmebinnen’ of ‘123456’. De voornaamste reden? Ze zijn makkelijker te onthouden.

Er is alleen één groot probleem: makkelijke wachtwoorden zijn meestal ook makkelijk te raden. Wachtwoorden zoals ‘Wachtwoord1’ volgen dan wel de klassieke regels die voorschrijven dat je altijd een combinatie van cijfers, hoofd- en kleine letters moet gebruiken, maar ze zijn wel in een wip gekraakt.

Hackers gaan op twee manieren achter je wachtwoord aan: ze gooien er ofwel brute rekenkracht tegenaan of ze gaan meer gericht te werk.

Brute rekenkracht
Voor we een goed wachtwoord kunnen kiezen, moeten we weten hoe zo’n aanval met brute rekenkracht in zijn werk gaat. Dat gaat veel nauwkeuriger dan zomaar willekeurige cijfer- en lettercombinaties uitproberen. Het zou heel veel kostbare tijd kosten om alleen al de 308 miljoen lettercombinaties tussen aaaaaa en zzzzzz te proberen.

Het is voor een kraker zinvoller om meer gericht te gaan zoeken, schrijft beveiligingsspecialist Bruce Schneier in zijn blog. En daarvoor moet je weten hoe de meeste wachtwoorden zijn opgebouwd. In veel gevallen bestaat een wachtwoord uit een stam met een voor- of achtervoegsel.

De stam hoeft niet noodzakelijk in het woordenboek te staan, maar het is wel een uitspreekbare opeenvolging van letters. In 90 procent van de gevallen is er een achtervoegsel, in tien procent een voorvoegsel.

Met die wetenschap is het al een stuk eenvoudiger om te gaan raden. Eerst jaagt de kraker er een lijst van de duizend vaakst gebruikte wachtwoorden door. Daarna doet hij hetzelfde met de honderd vaakst voorkomende achtervoegsels zoals 1, 69, abc en een uitroepteken. Op deze manier wordt al 24 procent van de wachtwoorden geraden.

Vervolgens probeert de kraker moeilijkere combinaties uit: stammen met voor- en achtervoegsels zoals combinaties van twee cijfers of jaartallen sinds 1900. In een paar weken tot een maand raadt hij zo tot 65 procent van de wachtwoorden.

Persoonlijke wachtwoorden
Niet alleen computers kunnen raden, maar ook mensen. Dat is vooral een bedreiging als uw wachtwoordkeuze geïnspireerd is door uw dagelijkse omgeving: de liefde van uw leven, uw kinderen of uw huisdier bijvoorbeeld.

Door de populariteit van sociale netwerken is het makkelijker geworden om gericht wachtwoorden te gaan raden. Aspirant-krakers kunnen rustig alle namen van geliefden of van hobby’s opzoeken en uitproberen. Op LinkedIn vinden ze de namen van bedrijven. Vooral beveiligingsvragen zijn makkelijk te kraken dankzij Facebook. Vragen zoals ‘wat is de naam van uw moeder?’ zijn een lachertje tegenwoordig.

Wat dan kiezen?
Nu we weten welke wachtwoorden makkelijk te achterhalen zijn, kunnen we op zoek naar een wachtwoord dat moeilijk te raden is. De eerste regel is eenvoudig: kies geen bestaand woord of een variant met een cijfer. Om het voor computers moeilijker te maken om een wachtwoord te raden, kiest u het best een lang wachtwoord.

Kies ook geen wachtwoord dat geïnspireerd is door uw onmiddellijke omgeving. Die zijn te eenvoudig te raden. Heet uw kat Minneke Poes, dan is er een reële kans dat een hacker als eerste poging ‘minnekepoes’ probeert.

In beveiligingsmiddens is er een mooie paradox: een wachtwoord moet onmogelijk te onthouden zijn en mag nooit opgeschreven worden. Combinaties van hoofd- en kleine letters en punctuatietekens helpen alvast met het eerste deel van die paradox.

Er is een eenvoudig trucje om zo’n wachtwoord te maken. Begin met een geheime zin die je kunt onthouden en neem de eerste letter van elk woord. “Ik voer goudvis Blubje elke dag om 18 uur!” wordt dan ‘IvgBedo18u!’. Dat is een sterk wachtwoord dat zo goed als onmogelijk is om te raden.

Waarom wisselen?
Je denkt nu dat je ervan af bent, maar toch verwachten beveiligingsexperts dat je je onkraakbare wachtwoord na enkele maanden opnieuw verandert. Zijn die lui dan nooit tevreden?

Toch is er een goede reden om regelmatig van wachtwoord te veranderen. Stel dat een bedrijfsspion je wachtwoord onderschept. Die kan dan plots aan alle klantengegevens en hij kan in het CRM nagaan hoe vaak je hen belt en wat je probeert te verkopen. Een goudmijn voor de concurrentie met andere woorden. En je komt het nooit te weten, want zo’n spion laat zich niet makkelijk betrappen.

Als je eeuwig hetzelfde wachtwoord aanhoudt, dan droogt de bron van de bedrijfsspion nooit op. Als je je wachtwoord na twee maanden wijzigt, stopt ook het informatielek. Vaak van wachtwoord wisselen is dus gewoon een vorm van schadebeperking.

Verschillende wachtwoorden
Nog een andere typische aanbeveling is een ander wachtwoord te kiezen voor elke dienst. Je e-mailaccount moet dus een ander wachtwoord krijgen dan je computers of zakelijke toepassingen.

Wees vooral paranoïde over je e-mail. Wie toegang krijgt tot je mailbox, kan immers op een heleboel diensten zoals Facebook een nieuw wachtwoord aanvragen dat terechtkomt in je e-mailaccount.

Vraag is: hoe kun je dan alles nog onthouden? Het antwoord is simpel: niet. Gelukkig bestaat er software die de wachtwoorden voor je bijhoudt. Zorg alleen dat je die software beveiligt met het allerbeste wachtwoord dat je kunt verzinnen.


Geen velden gevonden.