Beheer

Security
Wachtwoord

Hoe maak je een goed wachtwoord?

5 tips om sterkere wachtwoorden te maken die je makkelijker onthoudt.

© pixabay
17 april 2015

5 tips om sterkere wachtwoorden te maken die je makkelijker onthoudt.

De roof van 157.000 wachtwoorden bij Mapp.nl die gisteren bekend werd, laat weer eens zien hoe belangrijk het is om sterke wachtwoorden te gebruiken. Maar hoe houdt je dat hanteerbaar, bij alle wachtwoorden die je onder beheer hebt?

Hackers maakten 157.000 wachtwoorden buit bij Mapp.nl, werd gisteren bekend. De betreffende klanten zijn bijzonder kwetsbaar doordat Mapp.nl geen gebruik maakte van de salt-techniek. Daarbij worden willekeurige tekens toegevoegd aan de versleutelde vorm waarin websites wachtwoorden - als het goed is - opslaan. Zonder zo’n willekeurige toevoeging is het ontcijferen van de wachtwoorden stukken makkelijker.

De weg die bij Mapp.nl is gekozen, is bij hackers steeds populairder aan het worden; het is veel effectiever dan het jagen op individuele inloggegevens. Wie eenmaal een bestand te pakken heeft, kan naar hartelust proberen de logingegevens te kraken. Daarom moet je altijd je wachtwoord wijzigen na zo’n hack; want uiteindelijk is ieder wachtwoord te kraken. Maar in de tussentijd kun je het hackers wel een stuk lastiger maken.

 

Wachtwoordmanagers

Eén van de opties is gebruik van een password manager. Die toepassing beheert alle inloggegevens die je gebruikt en maakt het mogelijk uiterst sterke wachtwoorden te hanteren. Daar zitten wel twee maren aan. De eerste is dat die wachtwoordmanagers zelf kwetsbaar kunnen zijn voor een hack; vorig jaar werd bijvoorbeeld een kwetsbare plek gevonden in vier van de vijf belangrijkste wachtwoordmanagers. De tweede is, dat je je daarmee afhankelijk maakt van één inlogmechanisme. Als je daar niet bij kan – omdat je je wachtwoord vergeten bent, bijvoorbeeld, heb je een gigantisch probleem. Wachtwoordmanagers zijn bovendien niet altijd toegestaan op de werkplek, waar je door het groeiend gebruik van webapplicaties ook steeds meer wachtwoorden moet onthouden.

Wie om die reden afziet van het gebruik van een password manager, of die programma’s simpelweg niet vertrouwt, moet zelf zorgen voor sterke wachtwoorden – en voor het onthouden daarvan. Dat is niet simpel.

1. Gebruik lange wachtwoorden

Een sterk wachtwoord betekent anno 2015 volgens de experts in ieder geval 8 karakters. Met een beetje pc met een sterke grafische kaart duurt het 60 uur om van alle denkbare wachtwoorden van 8 karakters de hash te berekenen. Ter vergelijking: wachtwoorden van 6 karakters zijn binnen een minuut gekraakt. Hardware wordt snel krachtiger, en sommige hackers hebben meer capaciteit tot hun beschikking dan een ‘vette’ pc. 12 karakters of meer lijkt op dit moment de veiligste optie.

2. Gebruik niet zomaar namen of standaardwoorden

Hackers hebben de beschikking over zogeheten rainbow tables waarin alvast de hashes berekend zijn van de woorden in het woordenboek en lijsten van namen. Namen zijn vaak ook te vinden via sociale media, wat wachtwoorden met namen extra kwetsbaar maakt. Want wie een naam gebruikt in een wachtwoord, kiest meestal de naam van een bekende of van een huisdier. Wie deze methode toch het handigst vindt, moet ongebruikelijke woorden kiezen die je niet via Google terugvindt – denk aan rare woorden die je in je kindertijd gebruikte, of merkwaardige koosnaampjes.

Je kunt er ook voor kiezen bij gewone woorden letterverschuiving toe te passen. Stel dat je grootvader Bram heet, dan kun je daar ‘Mydx’ van maken door op het lettertoetsenbord steeds 2 letters naar rechts op te schuiven. Op een volledig toetsenbord zou dat overigens ‘Myd.’ worden. Dan heb je meteen ook een bijzonder teken. Nadeel daarvan is wel dat dat wachtwoord dan op smartphones en tablets niet zo makkelijk te typen is, en dat je ook wel eens op een teken kunt stuiten dat niet acceptabel is in een wachtwoord.

Bram is natuurlijk veel te kort, maar deze techniek kun je natuurlijk ook toepassen op een zin als‘mijngrootvaderheetteBram’. Een bijzonder teken voeg je dan toe door ‘heette’ te vervangen door ‘= ‘Dan krijg je 'xplzjyqqundty=Mydx'

3. Gebruik bijzondere tekens met overleg

Veel websites eisen het gebruik van hoofdletters, bijzondere tekens en/of cijfers. Die worden door veel mensen op standaardwijze toegepast. Bijvoorbeeld door ieder wachtwoord te beginnen met een hoofdletter, of een jaartal als laatste vier tekens te gebruiken. Analyses van gestolen wachtwoorden hebben laten zien dat de helft van al die wachtwoorden één van 13 structuren volgt. Dat weten hackers ook; die zullen vaak eerst die zogeheten ‘masks’ beproeven om wachtwoorden te kraken, in de hoop zo sneller een kraak te kunnen zetten. Door wat minder voorspelbaar te zijn, zorg je ervoor dat je in ieder geval niet bij de eerste slachtoffers hoort. En dat vergroot dan weer de kans dat je gewaarschuwd wordt dat je wachtwoord gecompromitteerd is en je schade oploopt.

4. Gebruik een langere tekst als basis voor je wachtwoorden

Wie de tekst van een liedje of een gedicht uit zijn hoofd leert, kan dat gebruiken om wachtwoorden te maken. Je inlog bij Mapp.nl zou dan bijvoorbeeld kunnen bestaan uit een aantal woorden uit bijvoorbeeld ons volkslied. Deze methode maakt het ook veiliger om een verwijzing naar je wachtwoord ergens op te schrijven, als je deze lastig te onthouden vindt. Map.nl: 10-3 zou dan staan voor het wachtwoord ‘vaderland-Nassouwe’. Je kunt een wachtwoord makkelijk op lengte maken door meer woorden toe te voegen.

Wellicht dat het eerste couplet van het volkslied nog relatief makkelijk te raden is voor een hacker, en wellicht dat de begintekst van de Bijbel ook niet zo handig is, maar bij de meeste andere teksten wordt het al snel ondoenlijk om uit de aantekening op te maken welk wachtwoord bedoeld is. Nog lastiger wordt als je vervolgens ook nog letterverschuiving toepast, zodat de hash die opgeslagen ligt bij de website geen bruikbare woorden bevat.

5. Gebruik de domeinnaam als sleutel voor het kiezen van woorden uit een tekst

Wie het opschrijven van de sleutel tot zijn wachtwoord ook te riskant vindt, kan de naam van de site gebruiken als geheugensteuntje. De site Mapp.nl bevat de 13e, 1e en twee maal de 16e letter uit het alfabet. Dat leidt dan tot wachtwoord krijgen ‘ikWilhelmusdenden’. Je moet daarbij dan nog wel een oplossing verzinnen voor het geval dat de website gebruik van een cijfer of een leesteken verplicht stelt. Dat kan bijvoorbeeld door alleen voor het laatste woord - of bij de tweede instantie van een woord dat dubbel voorkomt -  de positie in het alfabet van de letter van de naam op te nemen. “ik Wilhelmusden16den’. Nadeel is wel dat je zo minder controle hebt over de lengte van het wachtwoord. Bij sites met lange namen moet je je beperken in het aantal letters, korte sites kunnen je in verlegenheid brengen.

Zie ook Beheer op AG Connect Intelligence
1
Reacties
Atendolle 18 december 2016 14:33

Ellodneta

Reactie toevoegen