Als internetter heb je al gauw enkele tientallen wachtwoorden nodig om in verschillende omgevingen in te loggen. In deze blog sta ik uitgebreid stil bij de complexe wereld van wachtwoorden en geef ik achtergrondinformatie en tips om het wachtwoord op een optimale manier te gebruiken om zo maximale bescherming te bieden.

Wat is een wachtwoord?
De term wachtwoord komt uit het verleden. Oorspronkelijk werden accounts op kantoorsystemen beschermd door een wachtwoord van vaak 8, en soms slechts 6 tekens. Tegenwoordig kunnen wachtwoorden veel langer zijn, soms tot 256 tekens of zelfs ongelimiteerd. Hoewel we dus van wachtwoord spreken, zouden we ook wachtzin of wachtstring kunnen zeggen. Verderop leg ik uit hoe belangrijk de lengte van het wachtwoord is.

Als het goed is worden wachtwoorden niet rechtstreeks opgeslagen in de omgeving waar ze gebruikt worden. Meestal zit er een ingewikkelde wiskundige bewerking op (hash function) die van het originele wachtwoord een ander “woord” maakt – een verhaspelde vorm.

De sterkte van een wachtwoord en het kraken ervan
Hoe gaat het kraken van wachtwoorden in zijn werk? De indringers gaan, geautomatiseerd en systematisch, alle mogelijkheden af tot ze het juiste wachtwoord hebben gevonden. Deze methode noemen we trial-and-error en het kan razendsnel. Met sommige tools kun je miljarden wachtwoorden per seconde proberen. Hoe langer een wachtwoord is, hoe meer tijd een wachtwoord-cracker nodig heeft om alle mogelijkheden te proberen.

Een rekenvoorbeeld: Als we uitgaan van 90 keuzes -per teken in een wachtwoord- en een lengte van 12 tekens van het wachtwoord, doet een cracker er 9012 pogingen over om alle combinaties te proberen, ofwel 282429536481000000000000 pogingen. Een aanvaller die er een miljard per seconde uitprobeert, is dan 282429536481000 seconden bezig om alle mogelijke combinaties uit te proberen, wat neerkomt op bijna negen miljoen jaar!

In hoeverre hebben lengte en variatie van een wachtwoord invloed op de tijd dat het kost om een wachtwoord met trial-and-error te achterhalen? Zie de tabel. Daarbij ga ik uit van 1 miljard pogingen per seconde, en dat de treffer waar naar gezocht wordt min of meer in het midden van de test valt. Door de waardes te verdubbelen, krijgt men de absolute bovengrens: in die tijdsspanne zijn alle mogelijke combinaties getest.

wachtwoordsterkte
(lengte en variatie)
lengte = 6 lengte = 8 lengte = 10 lengte = 12
variatie = 26 0,15 seconden 1,75 minuten 19,5 uur 1,5 jaar
variatie = 52 10 seconden 7,5 uur 2.29 jaar 62 eeuw
variatie = 62 28 seconden 30,5 uur 13.3 jaar 511 eeuw
variatie = 90 4,5 minuten 25 dagen 552 jaar 4.500 millennia

 

Naast lengte helpt het om de gebruikte tekens te variëren (kies dus niet alleen kleine of hoofdletters, maar ook cijfers en leestekens). Maar de lengte van het gekozen wachtwoord is doorslaggevend voor de sterkte ervan. Size does matter! Dat leidt tot tip 1:

TIP 1
KIES EEN LANG WACHTWOORD
(of wachtzin; een spatie is net zo goed een geldig teken als alle andere tekens). Op dit moment is een lengte van 12-16 tekens een goede standaardkeuze, maar langer is veiliger. Een lengte van 8 is volkomen ongeschikt.

Wachtwoorden, wachtwoorden. En nog meer wachtwoorden
We hebben steeds meer wachtwoorden nodig. Het dilemma is: overal hetzelfde wachtwoord gebruiken (met alle risico’s van dien als dat alomvattende wachtwoord op straat belandt), of het gebruik van verschillende wachtwoorden, die je allemaal moet onthouden. Dit laatste kun je oplossen met een tool die al je wachtwoorden administreert. De tool is afgeschermd met 1 eigen wachtwoord. De voordelen zijn legio: alle wachtwoorden worden bewaard inclusief de omgeving waar ze betrekking op hebben, ze zijn afgeschermd tegen onbevoegd gebruik, en vele uitvoeringen van deze tool bieden extra functionaliteit zoals het genereren (“verzinnen”) van veilige wachtwoorden, en het plaatsen in de juiste context van eventuele verdere invulgegevens. Het is uiteraard wel zaak om het wachtwoord van de tool zelf een zeer veilig wachtwoord te laten zijn, van voldoende lengte (liefst 16 of meer) en samengesteld uit een brede variatie van tekens.

TIP 2
GEBRUIK EEN WACHTWOORDTOOL
(password manager) om de wachtwoorden voor web-omgevingen, accounts of andere omgevingen op 1 centrale plek op te slaan. Stel een zeer veilig wachtwoord in voor de tool zelf en maak op gezette tijden een back-up van de gegevens die in de tool zijn opgeslagen. Er zijn momenteel verschillende goede wachtwoordtools beschikbaar, sommige betaald, sommige zonder vereiste betaling. Enkele bekende zijn:

o   1Password
o   KeePass
o   iCloud-sleutelhanger
o   LastPass

Op de website van de Consumentenbond staat een vergelijkende test van vijf wachtwoordmanagers.

Ben ik nu veilig?
Bovenstaande tips helpen in belangrijke mate om je gegevens veiliger te laten zijn, maar ze geven geen volledige garantie. Ze beschermen niet tegen aanvallen zoals:

  • De installatie van kwaadaardige software die (bijvoorbeeld) het toetsenbord afluistert op het moment dat je wachtwoorden intoetst. De beste bescherming hiertegen biedt nog altijd een optimaal onderhouden systeem, met up-to-date virusscanners e.d.
  • Het ontfutselen van inloggegevens op vervalste websites. Controleer dus altijd goed of een omgeving wel echt de vertrouwde plek is waar je denkt te zijn. Ziet het er anders uit? Voer dan niet zomaar je wachtwoord in! Controleer de navigatiebalk en verifieer dat de URL ook die is die je kent van eerdere bezoeken.

TIP 3
VERIFIEER DE ECHTHEID
van een site alvorens een wachtwoord in te voeren. Let daarbij op allerlei kenmerken, zoals vorm, tekst, en de exacte samenstelling van het eerste deel van het webadres.

Wachtwoord kwijt – wat nu?
De meeste omgevingen hebben een methode voor wachtwoordherstel. Vaak komt dat neer op een specifieke vraag die alleen de gebruiker kan beantwoorden (de achternaam van je opa van moeders kant, de roepnaam van je eerste huisdier). Een andere methode is via een vooraf ingesteld contactgegeven (e-mailadres, mobiel nummer), waar je dan een reset-link o.i.d. op ontvangt. Let hierbij goed op. Immers, hoe sterk het wachtwoord ook is (was), het enige dat een indringer hoeft te doen is het herstel-geheim kennen om een nieuw wachtwoord in te (laten) stellen.

Stuurt een omgeving het originele wachtwoord opnieuw toe? Dat is zeer risicovol: zij hebben het wachtwoord kennelijk in onverhaspelde vorm opgeslagen, met alle risico’s van dien. Als gebruiker kun je je afvragen of, en zoja welke gegevens je aan zo’n omgeving toevertrouwt.

Sommige omgevingen kunnen niet aan wachtwoordherstel doen, zoals webmaildiensten die de mail automatisch en onherroepelijk versleutelen. Ofschoon zij ironisch genoeg een risico vormen voor de houdbaarheid van de opgeslagen gegevens, zijn zij wel het veiligste in termen van gegevensbescherming. Er kan niemand bij de gegevens, ook de dienstverlener zelf niet, en ook de wachtwoorden zijn niet opgeslagen.

Komt er ooit iets anders?
In feite zijn wachtwoorden als beveiligingsmechanisme enigszins achterhaald. In opkomst is wat we noemen multi-factor authenticatie. Deze methode gebruikt ook iets dat de gebruiker in bezit moet hebben, naast iets wat hij of zij moet weten. Een extra stap is een biometrische factor – een biologisch en onlosmakelijk element van de gebruiker zelf, zoals de iris of een vingerafdruk.

Een voorbeeld van multi-factor authenticatie is wat banken doen. Al sinds jaar en dag gebruiken zij 2-factor authenticatie: bij het elektronisch bankieren heeft de gebruiker zowel een logincode nodig als een aparte omgeving of apparaatje dat eenmalige codes genereert. Deze trend zal ook in andere omgevingen zichtbaar worden.

Ook XS4ALL is op dit moment bezig met voorbereidingen om aan gebruikers een 2-factor authenticatie als alternatief aan te bieden voor de klassieke gebruikersnaam/wachtwoord combinatie. Totdat dergelijke nieuwe en veiligere methodes op grote schaal zijn ingevoerd zullen we het beste moeten maken van de oude vertrouwde wachtwoorden. Dat is, mits bewust gebruikt, nog steeds een behoorlijk veilige methode.

 

Deel dit:

Reacties

  1. R says:

    Ik doe regelmatig pasword-audits en wat me opvalt is dat veel gebruikers herkenbare patronen hebben, of wachtwoorden welke in wordlists voorkomen, of gebaseerd zijn op woorden welke in wordlists voorkomen (nu zeg ik bewust wordlists en geen woordenboek, want qwerty is geen woord, en ook geen sterk wachtwoord.. evenals qazwsxedc etc…). Gemiddeld kraak ik 90% van alle wachtwoorden (gemiddeld zo’n 15000-40000 per set) binnen een halve dag. En ja, daar zitten soms ook wachtwoorden van +20 tekens tussen (LangeHuppeldepubweg12a) o.i.d.

    Ja, lengte is belangrijk, maar zorg vooral dat die lengte niet komt uit ‘n standaard woord (en o vervangen door 0 helpt een beetje, maar is 1 van de word-mangle-rules die op de wordlists worden losgelaten…)

    • Wagwoordt says:

      Een halve dag voor het kraken van een wachtwoord…

      Veel mensen haken al af na 5 minuten.

      Waarschijnlijk gebruikt je ook nog eens een ‘tool'(software), gezien het feit dat je praat over wordlists…

      Dus handmatig (zonder brute force attack + wordlists) valt het allemaal wel mee :-)

  2. Arno says:

    Iedereen begrijpt het waarschijnlijk wel. Een type-fout. Tagcode moet zijn Tancode.

  3. Pierre Wolters says:

    Wat ik niet snap, is dat er geen limiet gesteld wordt aan het aantal pogingen om in te loggen. XS4All kan toch blokkeren als er een of ander computerprogramma vele pogingen doet? Er zijn sites die hier gebruik van maken. Wat maakt dat XS4All dit niet kan of niet wil doen?

  4. Arno says:

    Natuurlijk is er de angst voor misbruik door anderen bij gebruik van een minder veilig wachtwoord. Bedenk dat alleen bij websites waarmee je financiële transacties kan doen (koopsites, bank, iDeal etc.) het extra van belang is om een sterk wachtwoord te kiezen. Voor andere sites is dat van minder belang. Dus het aantal wachtwoorden kan beperkt zijn. Wanneer iedereen mobiel bereikbaar zou zijn dan zou het versturen van een tagcode(banken) een extra beveiliging kunnen zijn. Helaas is dat nog niet de oplossing.

  5. Dirk Z says:

    NB Gewoon een moderne vingerafdruklezer toepassen. Die kosten niet veel en zijn op redelijk wat laptops al ingebouwd.

  6. Dirk Z says:

    En bij welk systeem kun je een miljard wachtwoorden per seconde testen? Je kan er toch van uit gaan dat de gecrypte string niet bij de krakers bekend is.
    Overigens werken zinnen als wachtwoord beter dan doorwrochte korte wachtwoorden.

  7. BoekMarc says:

    Naast dat ik een wachtwoord tool gebruik, en dus nauwelijks iets hoef in te tikken of te onthouden, en mijn wachtwoorden 24 tekens of meer zijn, heb ik ook een domein met email, speciaal voor inlog-email bij wachtwoorden.
    Alle mail komt op 1 adres binnen, en ik kan onbeperkt email adressen aanmaken.
    Bij elke nieuwe inlog gebruik ik dus naast het nieuwe wachtwoord, ook een nieuw emailadres.
    Dus als er eens 1 bekend raakt doordat een site lek is, is die niet direct te koppelen aan alle andere inloggevens.
    Simpel maar doeltreffend. Wel alleen in combinatie met de wachtwoordtool, die alle inlogggevens opslaat en invult wanneer nodig.

  8. Bewaarplicht says:

    Met de bewaarplicht kun je altijd nog je wachtwoord bij de AIVD opvragen, handig ! :-)

  9. Johan says:

    De Kat Van De Buren Op 16 Heet Jimmy – DkVdBo16Hj
    In 1980 Heeft Tante Jo Een Dwarslesie Gehad – I198OhTjEdG
    Oom Jan Rijdt In Een Volvo 340 Uit 1973 – 7391u043VeIrJo
    17 Januari Ging Ik om 12 Uur met Lijn 13 Naar De Tandarts – 17JgIo12UmL13nDt
    In De Zomer Van 2010 Heb Ik In Rio Angelique Ontmoet die Cupmaat 85c Had – IdZv2010HiIrAoDc85cH

    En zo kun je eindeloos vaste zinnen die je eenvoudiger kan onthouden, in behoorlijk sterke wachtwoorden omzetten.

  10. woud says:

    Lange wachtzinnen hebben zo hun voordelen. (Als je ze maar 1x hoeft in te typen en niet iedere keer)