Ingewikkelde wachtwoord-regels zijn zinloos, zegt uitvinder

Ingewikkelde wachtwoord-regels zijn zinloos, zegt uitvinder

Stop de wachtwoord-terreur!

Vorig artikel Volgend artikel

De man die verantwoordelijk is voor onze dagelijkse wachtwoord stress heeft spijt. "Sorry," zegt Bill Burr, die in 2003 als manager werkte bij het National Institute of Standards and Technology (NIST). Hij kwam met het idee dat het goed was om speciale tekens in een wachtwoord te stoppen en nog beter om ze periodiek te veranderen.

Helaas heeft dat memo ook partijen als Microsoft bereikt en sindsdien zitten we allemaal te klooien met onze wachtwoorden. Voor eigen gebruik zijn veel mensen al overgestapt op een passwordmanager die het voor je bijhoudt, maar zeker op het werk zit je er maar mee.

Het resultaat laat zich raden: als je wachtwoord (met verplichte cijfers en hoofdletters) begon als KoffieJunk01 zit je inmiddels op KoffieJunk47 en als de gemakkelijke manier niet mag heb je ergens anders je lastige wachtwoord opgeschreven. Het werkt allemaal voor geen meter.

Ik heb spijt van het meeste wat ik toen heb gedaan. De richtlijnen waren te ingewikkeld en eigenlijk alleen bedoeld voor systeemadministrators.
- Bill Burr

Oude data

Het probleem is dat het onderzoek waar de richtlijnen op gebaseerd zijn nog uit een tijd komen waar menselijk gokken het enige was dat voorkomen moest worden, namelijk de jaren '80. Inmiddels zijn we al een aantal stations verder wat betreft wachtwoorden.

Een tijd lang was het veel slimmer om een heel lang wachtwoord te hebben, zoals briljant beschreven is in de XKCD-strip van een aantal jaar geleden. Computers kunnen relatief simpel een zogenaamde brute-force aanval doen op een wachtwoord door domweg elke verschillende karaktercombinatie er tegenaan te gooien. Hoe minder karakters, hoe makkelijker. Dan is er geen effectief verschil tussen het wachtwoord '12345' en 'u#M9q'.

u3dmr8btucvn1hey2u7w
Afbeelding: XKCD

Dreiging van buitenaf

Maar zelfs dat is inmiddels al minder belangrijk. De meeste wachtwoorden worden buitgemaakt via phishing mails, malware die je toetsenbord uitleest en doorstuurt naar hackers en het openbreken van grote containers vol met niet al te goed beveiligde wachtwoorden en gebruikersnamen online. Dan maakt het niks meer uit wat je wachtwoord is.

Voor de goede orde: ik wil niet zeggen dat het verstandig is om '123456 'of 'password' als wachtwoord te hebben, dat is in elk scenario een stom idee. Er zijn genoeg dingen te bedenken die niet makkelijk te raden zijn maar wel makkelijk te onthouden, dus neem er zo een en blijf er bij.

Het wordt dan dus wel tijd dat de wachtwoord-terreur van je IT-afdeling een halt toegeroepen wordt, want als de man die het bedacht heeft kan toegeven dat hij het mis had, dan kan Sjoerd van IT dat ook. Of moeten we nog iets langer doorgaan met post-its met wachtwoorden? Één goed wachtwoord zou voldoende moeten zijn, totdat we allemaal met onze biologie bewijzen dat we onszelf zijn.

[Afbeeldingen © Designer491 - Adobe Stock]

Patrick Smeets

Game-enthousiast, tech blogger en presentator. Was ooit rockster. Local celebrity in Limburg maar ziet graag veel van de wereld. Er zijn niet genoeg kattenGIFjes...

Reageren is uitgeschakeld omdat er geen cookies opgeslagen worden.

Cookies toestaan Meer informatie over cookies