Een wachtwoord is sterk als het kraken ervan meer tijd (en dus geld) kost dan het opbrengt. Dit is het geval als een computercrimineel te veel pogingen moet doen om het wachtwoord te achterhalen. Het aantal pogingen dat nodig is, hangt af van de totale hoeveelheid mogelijke wachtwoorden. Deze totale hoeveelheid werd in de vorige blogpost de 'wachtwoordruimte' genoemd.

De wachtwoordruimte hangt af van het aantal verschillende lettertekens waaruit een wachtwoord kan bestaan, en de lengte van het wachtwoord. De lengte is van grotere invloed op de ruimte dan het toevoegen van bijvoorbeeld speciale tekens. Ook willekeur is van belang. Criminelen maken namelijk gebruik van het feit dat mensen voorspelbaar gedrag vertonen. Zo hoeven ze maar een klein gedeelte van de wachtwoordruimte daadwerkelijk te doorzoeken. Een willekeurig gekozen wachtwoord voorkomt deze voorspelbaarheid.

Het risico van een lang en willekeurig wachtwoord is alleen dat u dit snel vergeet. Het menselijk brein is nu eenmaal gemaakt om te werken in patronen en structuren, niet om rijtjes letters en symbolen te onthouden. In deze blogpost krijgt u een aantal praktische tips om dit te voorkomen en toch gebruik te maken van sterke wachtwoorden.

Diceware

De eerste tip is om uw wachtwoorden niet samen te stellen uit letters en symbolen, maar uit hele woorden. Hiervoor zijn online genummerde woordenlijsten beschikbaar. Ideaal zijn woorden met een lengte van ongeveer 6 letters. Deze aanpak wordt ook wel de 'diceware'-methode genoemd.

U gooit een aantal keer met een dobbelsteen en zet alle worpen achter elkaar, zodat u 1 nummer krijgt. Dit nummer zoekt u op in een woordenlijst. U ziet dan wat het bijbehorende woord is. U kunt ook een computer een willekeurig getal laten genereren, dan heeft u geen dobbelsteen nodig. Zo kiest u willekeurig een aantal woorden uit de lijst, bijvoorbeeld 6, en zet u deze achter elkaar. Deze 6 woorden achter elkaar vormen samen uw wachtwoord.

In de vorige blogpost hebben we uitgelegd dat de sterkte van een wachtwoord afhangt van de lengte en van het aantal mogelijke lettertekens. Het alfabet geeft u bijvoorbeeld 26 lettertekens om uit te kiezen, of 52 als u ook hoofdletters gebruikt. In plaats van lettertekens gebruikt u bij de diceware-methode hele woorden. Ieder woord als geheel heeft dezelfde functie als een enkel letterteken. Het aantal mogelijkheden is alleen niet 26, zoals bij het alfabet, maar alle woorden uit de woordenlijst. Dat kunnen er makkelijk vele duizenden zijn.

Ook willekeur is belangrijk bij het maken van een sterk wachtwoord. Het gebruiken van hele woorden klinkt minder willekeurig. Maar omdat een woordenlijst zoveel groter is dan het alfabet, is de wachtwoordruimte – en dus het totaal aantal mogelijke wachtwoorden dat een crimineel moet doorzoeken – toch groot.

Een wachtwoord bestaande uit 5 woorden uit een lijst van 10.000 heeft ongeveer evenveel mogelijkheden als een van 12 (hoofd)letters, ongeveer 10²⁰. Mijn computer doet daar 3 miljoen jaar over. Dat wil niet zeggen dat zo’n wachtwoord altijd afdoende is. Mijn pc is vele malen zwakker dan wat criminelen tot hun beschikking hebben.

Wachtwoorden die u met de diceware-methode maakt, bevatten over het algemeen minder elementen dan conventionele wachtwoorden. Dat is ook wat ze makkelijker maakt om te onthouden. In plaats van 10 of meer lettertekens hoeft u maar enkele woorden te onthouden. Bovendien zit het met de totale lengte ook goed: een wachtwoord dat bestaat uit 6 woorden van 6 letters telt al een totale lengte van 36 lettertekens. 

De grootste uitdaging zit in het onthouden van de volgorde. Een goede manier om dat te doen, is een verhaaltje te bedenken waar de woorden in de juiste volgorde in voorkomen.

Wachtwoordzinnen

Als het u te zwaar valt een reeks willekeurige woorden te onthouden, kunt u het proces ook omdraaien. In dat geval begint u met een verhaal of een zin. Dit heeft als voordeel dat een lopende zin makkelijk te onthouden is. De zin kan bestaand zijn, bijvoorbeeld uit een boek. Of u kunt er zelf een bedenken.

Een nadeel van deze methode is dat u inlevert op willekeur. Juist als de zin logisch is, biedt dit kansen voor een crimineel om de zin te voorspellen of op te nemen in een lijst van 'te proberen wachtwoorden'. Bekende spreekwoorden, uitdrukkingen of songteksten zijn dus ongeschikt.

Kiest u ervoor een lopende wachtwoordzin te gebruiken? Compenseer dit risico dan door de wachtwoordzin extra lang te maken.

Wachtwoordkluizen

Een punt waar eerdergenoemde methoden geen rekening mee houden, is dat u in het dagelijkse leven vele wachtwoorden gebruikt. Ook makkelijk te onthouden wachtwoordzinnen uit elkaar houden is moeilijk als het er te veel zijn. Het hergebruiken van een wachtwoord of dit op een post-it aan uw scherm plakken is natuurlijk geen optie. 

Gelukkig zijn uw eigen computer en smartphone goed in staat wachtwoorden veilig op te slaan. Programma's die dit doen, worden ook wel wachtwoordkluizen genoemd. Een wachtwoordkluis kunt u, afhankelijk van de uitvoering, online en offline gebruiken.

Naast het gemak dat een wachtwoordkluis biedt, zijn er andere voordelen. Zo hebben wachtwoordkluizen functionaliteiten om snel volledig willekeurige, en dus sterke, wachtwoorden te genereren. Dan hoeft u nooit meer na te denken over een nieuw sterk wachtwoord.

Het belangrijkste nadeel is natuurlijk dat u, als ieder account een volledig willekeurig wachtwoord heeft, zonder toegang tot de kluis ook uw andere accounts niet meer kunt benaderen. Zorg daarom voor een bijgewerkte (offline) backup. Zo kunt u ook tijdens een storing bij uw accounts.

De wachtwoordkluis zelf beschermt u met – u raadt het al – een wachtwoord. Het spreekt voor zich dat dit 'hoofdwachtwoord' aan de strengste eisen moet voldoen. Gebruik hiervoor bijvoorbeeld de diceware-methode met minstens 8 woorden. Maar soms is een wachtwoord alleen zelfs niet genoeg. Schakel daarom ook meerfactorauthenticatie in. Hierover leest u meer in de volgende blogpost.

Conclusie

Het lijkt soms alsof sterke wachtwoorden niet praktisch zijn. Gelukkig zijn er verschillende manieren om sterke wachtwoorden te maken die wel te onthouden zijn. Wachtwoordzinnen en oplossingen als diceware halen een last van uw schouders.

Ook op het onthouden van vele wachtwoorden is iets gevonden. Door al uw wachtwoorden in een wachtwoordkluis op te slaan, hoeft u alleen het hoofdwachtwoord te onthouden.

Toch zijn wachtwoorden, hoe sterk ook, altijd kwetsbaar voor vele soorten aanvallen. Ook een wachtwoordkluis zal u niet beschermen tegen phishing. En ook een sterk wachtwoord kan geraden worden. Door wachtwoorden te combineren met andere authenticatiemiddelen, zorgt u voor een nog betere bescherming.

Hierover leest u meer in de derde en laatste blogpost over wachtwoorden.