Spijt van moeilijke wachtwoorden

Word jij ook gek van die veel te ingewikkelde wachtwoorden die je tot overmaat van ramp ook nog eens regelmatig hoort te vervangen? Dan is er goed nieuws voor jou, want de richtlijnen voor wachtwoorden zijn stukken eenvoudiger geworden.

Bill Bur, de man die bedacht dat we complexe wachtwoorden nodig hebben met cijfers, hoofdletters en speciale tekens, heeft nu spijt van die aanbevelingen. In de Wall Street Journal excuseert hij zich aan iedereen die hij ‘wachtwoordstress’ heeft bezorgd met zijn strenge regels.

Security Blanket, machine quilted, digitally printed cotton fabric, 63.5"x39"

In 2003 was Bill Burr werkzaam was bij het National Institute of Standards and Technology (NIST). Daar schreef hij in een document van acht pagina’s dat wachtwoorden hoofdletters, speciale tekens en cijfers moeten bevatten en ook dat ze regelmatig moeten worden veranderd. Dit epistel werd dé internationale referentie voor wachtwoordbeveiliging.

Maar Bill – die inmiddels 72 jaar oud en gepensioneerd is – geeft toe dat die richtlijnen waren gebaseerd op weinig empirische data en dat hij onder druk stond om zijn stuk snel op te leven. Maar er wat op  dat moment niets anders en het was beter dan niets.

Regels waren te rigide

In het WSJ-interview geeft hij ruiterlijk toe dat de richtlijnen te rigide waren. “Mensen worden gek van die regels en dus kiezen ze uiteindelijk toch wachtwoorden die gemakkelijk te kraken zijn”, aldus Bill.

In juni publiceerde het NIST nieuwe richtlijnen voor wachtwoordbeveiliging in de Digital Identity Guidelines, waarin nog weinig van de oorspronkelijk richtlijnen van Burr bewaard zijn gebleven. Zo eisen de nieuwe regels niet langer het gebruik van speciale tekens.

En ook helemaal niet veilig

Experts wijzen er al langer op dat je beter een lang en gemakkelijk te onthouden wachtwoord kunt gebruiken dan een kort wachtwoord met moeilijk te onthouden tekens. In een beroemde cartoon berekent Randall Munroe dat het wachtwoord ‘Tr0ub4dor&3’ in drie dagen kan worden gekraakt, terwijl het wachtwoord ‘correcthorsebatterystaple’ 550 jaar computerrekenkracht vereist.

Oftewel: De afgelopen drie decennia is iedereen getraind in het bedenken van wachtwoorden die voor mensen heel moeilijk te onthouden zijn, maar voor computers heel makkelijk te raden zijn.

wachtwoord troubadour

Nog meer goed nieuws: De nieuwe richtlijnen van NIST stellen ook geen limiet meer aan de levensduur van een wachtwoord. Geef het door aan je systeembeheerder!

Simpele wachtwoorden blijven een slecht idee

Maar dit betekent niet dat we nu met z’n allen ‘maandag01’ als wachtwoord kunnen gebruiken. Het blijft een slecht idee om één wachtwoord voor alles te gebruiken. En al helemaal als dat een wachtwoord is, dat door zowat de hele mensheid wordt gebruikt. Zoals … “password”.

Carnegie Mellon professor Lorrie Cranor heeft duizenden echte wachtwoorden bestudeerd en zij vond verrassende, veelgemaakte fouten die gebruikers – en ‘beveiligde’ websites – maken en de veiligheid in gevaar brengen.

Lorrie Cranor had al langer in de gaten dat de strikte regels van Bill in de prakijk contraproductief zijn. Uit haar onderzoek blijkt dat met name regelmatig – afgedwongen – aanpassen van bestaande wachtwoorden tot meer en meer ellende leidt.

Creatief met wachtwoorden

Lorrie was zelf verrast door de simpele wachtwoorden die mensen verzinnen. Zo is “123456” is een kaskraker. Dit te simpel voor woorden wachtwoord wordt niet door een handjevol mensen gebruikt, maar door honderdduizenden mensen! Daar begint een beetje hacker dus zijn kraakpogingen mee.

Deze resultaten inspireerden Lorrie om een quilt te maken van de meestgebruikte wachtwoorden. En ze heeft nu zelfs een stof ontworpen waar mensen kleding van kunnen maken. Lorrie schrijft in haar blog: “The fabric is available from Spoonflower in three sizes and both with and without the naughty words.”

Zelf draagt ze op evenementen een jurk van haar design met wachtwoorden als ‘Playboy’, ‘Tinkerbell’, ‘Spongebob’ en ‘friends’. Dit trekt veel bekijks bij mensen en de media.  Misschien zit jouw wachtwoord er ook bij?

password lorrie cranor

Zoek je gestolen wachtwoord!

Securityonderzoeker Troy Hunt – van de website Have I been Pwned die vertelt of je e-mailadres of account is gehackt – heeft een nieuwe, doorzoekbare database van gestolen wachtwoorden online gezet. Zolang je wachtwoord daar niet in terug te vinden is, hoef je het niet aan te passen. Maar een wachtwoord dat “pwned” is, kun je beter maar direct vervangen door een beter (nog) niet gehackt alternatief.

password pwned

Nog even volhouden

Het blijft een gehannes met wachtwoorden, ook bij eenvoudiger regels. Hackers zitten niet stil, want het is niet alleen een leuke uitdaging om wachtwoorden te kraken. Het is ook enorm lucratief.

Zelf gebruik ik een speciale app om wachtwoorden versleuteld op te slaan. Dat vergt de nodige discipline, maar het is echt aan te raden. Het beschermt je echter niet tegen organisaties die jouw gegevens laten lekken door hun beveiliging niet op orde te hebben.

Wat dat betreft biedt de nabije toekomst misschien hoop. Dan zullen wachtwoorden meer en meer worden vervangen door biometrische controle, zoals vingerafdrukherkenning en irisscans. Daarbij wellicht gebruikmakend van Blockchain-technologie.