Feedback helpt bij het kiezen van een sterk wachtwoord

Dit is de top-5 van meest gebruikte wachtwoorden in 2017:

1. 123456
2. password
3. 12345678
4. qwerty
5. 12345

Eindgebruikers zijn onwetend, gemakzuchtig en worden gek van de onophoudelijke verzoeken weer eens een nieuw wachtwoord te kiezen. Het algemeen geldende advies is dan ook om een password manager te gebruiken en die van een sterk wachtwoord te voorzien. Dat is alleen niet in alle bedrijven toegestaan, en dan nog – hoe zorg je dat de gebruiker daar niet weer 12345 voor kiest?

Feedback

Een veel gebruikte methode is om de sterkte van het wachtwoord visueel weer te geven terwijl het ingetypt wordt. Met een rood, geel of groen balkje, met een :( of :| of :) of met een duimpje dat omlaag of omhoog kan wijzen. Een groep onderzoekers van de Britse universiteiten McGill, Purdue en Plymouth onder leiding van professor Steve Furnell keek of dat werkt. En inderdaad: zonder feedback koos driekwart van de 300 geteste gebruikers een zwak wachtwoord voor hun nieuwe internetaccount, en met feedback nog 'maar' 100 mensen. In dat experiment begreep dus nog steeds een derde van de mensen het belang van de waarschuwingen niet.

Ondersteuning

Furnell ziet de oorzaak daarvan in gebrekkige uitleg en begeleiding, en ontwierp een tweede experiment waarin bij de grafische feedback informatie werd gegeven die een stuk minder abstract was. Hoe lang het een hacker kost om dit wachtwoord te kraken. Waar dit wachtwoord staat op een ranglijst met alternatieven. Hoe waarschijnlijk het is dat dit wachtwoord gekraakt wordt. Zo maakte hij het nut van een sterk wachtwoord veel beter invoelbaar, en met resultaat: deze 500 proefpersonen kozen significant langere en tot 10 keer sterkere wachtwoorden. De conclusie gaat volgens hem op voor alle beveiliging aan de kant van de eindgebruiker: het soort sturing dat mensen zelf inzicht verschaft, werkt het best. De resultaten zijn gepubliceerd in Computers & Security vol. 75.