Mijn wachtwoord is ‘wachtwoord’

Mensen kiezen over het algemeen voor een makkelijk te onthouden wachtwoord. Vaak met (familie-)namen, geboortedata of makkelijke toetsenbordcombinaties zoals ‘asdfasdf’. Deze wachtwoorden zijn erg simpel te raden voor kwaadwillenden. Persoonlijke informatie is makkelijk te vinden en er bestaan uitgebreide lijsten met veelvoorkomende wachtwoord-combinaties.

Daarnaast is het volgens Microsoft zo dat een gemiddeld persoon zo’n 25 online accounts heeft en daarbij maar 6,5 verschillende wachtwoorden gebruikt. Dit betekent dus dat het grootste deel van de mensen één en dezelfde sleutel gebruikt voor meerdere (online) deuren. Dit maakt het gevaar van een makkelijk wachtwoord nóg groter. Als iemand jouw wachtwoord voor je (onschuldige) bibliotheekregistratie kraakt, kan hij binnen no time bij je e-mails komen en zo weer via andere websites wachtwoorden opvragen of aanpassen. Dat wil je niet!

Hoe kraakt u het?

Hack attack

Zoals hierboven geschreven worden veel wachtwoorden simpelweg geraden door wachtwoord-krakers, oftewel crackers. Veel mensen gebruiken persoonlijke data die makkelijk te vinden zijn, of simpele toetsencombinaties. Ook door middel van phishing worden veel wachtwoorden buit gemaakt. Verrassend genoeg is dit eigenlijk niks anders dan simpelweg mensen om hun wachtwoorden vragen; zowel via telefoon als e-mail. Kwaadwillenden doen zich voor als iemand anders (een medewerker van de bank bijvoorbeeld).

Een cracker kan naast het simpelweg raden en vragen van wachtwoorden ook andere aanvalsplannen hebben. Zo worden wachtwoorden achterhaald door brute force aanvallen. Hierbij probeert hij met een automatisch script eindeloos in te loggen met verschillende tekenvariaties. Als je wachtwoord bijvoorbeeld ‘ben’ is zal dit script eerst proberen in te loggen met ‘aaa’, ‘aab’ en ‘abb’, etc. Vervolgens komt hij uit op ‘bel’, ‘bem’ en ‘ben’ (BINGO!). Ditzelfde wordt gedaan met dictionary- en common word attacks. Zoals de termen al verklappen wordt hier gebruik gemaakt van een lijst met veelvoorkomende woorden, of zelfs een heel woordenboek, waarmee een script continu probeert in te loggen.

M@@k 33n v3i1ig w@chtw00rd

Maar hoe zorg je dan voor een wachtwoord dat optimaal bestand is tegen crackers? Veel experts roepen dat veilige wachtwoorden bestaan uit zowel kleine- als hoofdletters, cijfers, speciale tekens en dat ie minimaal acht tekens lang moet zijn. Om een voorbeeld te geven zou ‘K(:Ejx8!’ dus een goed wachtwoord zijn. Volgens Gibson Research Corporation zou dit wachtwoord 2,13 duizend eeuwen stand houden bij ongeveer 1,000 inlogpogingen per seconden. Best prima! Maar wie kan er nou het wachtwoord ‘K(:Ejx8!’ onthouden? Veel online gebruikers zullen dit wachtwoord ergens moeten opschrijven, wat toch weer zorgt voor meer risico’s.

Hoe zorg je dan voor een wachtwoord dat wel enorm sterk is en ook gemakkelijk te onthouden? Oplossing: doe niet moeilijk en maak ‘m lang! Verzin twee of drie willekeurige woorden en plak die achter elkaar. Bijvoorbeeld het wachtwoord ‘PaardMetBaard’. Makkelijk te onthouden toch? Dit wachtwoord is dertien tekens lang, en doordat het zowel kleine- als hoofdletters bevat hebben al deze tekens 52 mogelijkheden. Dit zorgt al voor 285 quadriljoen mogelijke combinaties en een brute force kraaktijd van 7 miljoen eeuwen. Dát is pas indrukwekkend!

Tabel ww

Combinaties en kraaktijd bij een wachtwoord met (hoofd-)letters én cijfers

Eén wachtwoord, maar toch anders

Nu heb je een makkelijk en praktisch onkraakbaar wachtwoord, eentje die met een normale brute force aanval niet te kraken is. Maar toch zijn er manieren hoe anderen je wachtwoord te weten kunnen komen. Hoe? Doordat je ze het zelf vertelt, ze het kunnen afkijken of op een andere manier opvangen. Dan wil je voorkomen dat ze direct toegang hebben tot ál je accounts. Zorg er dus voor dat je wachtwoord specifiek wordt voor iedere website waar je het moet invullen. Dit kan je doen door (een aantal letters uit) de naam van de website toe te voegen. Voeg bijvoorbeeld aan het begin van je wachtwoord de eerste letter van de website toe, en aan het eind van je wachtwoord de laatste letter. Voor Facebook zou dit betekenen ‘fPaardMetBaardk’. Hierdoor zorg je ervoor dat het invullen van je wachtwoord óveral hetzelfde is, maar toch nét anders (en niet te kraken met een dictionary- of common word attack).

Tot slot zijn er sommige websites die tijdens het aanmaken van je wachtwoord eisen dat er een speciaal teken of cijfer in voorkomt. Helaas is het bijna niet te onthouden welke website dit nou wel vroeg, en welke niet. De beste manier om dus te voorkomen dat je alsnog meerdere wachtwoordcombinaties moet uitproberen is om dit speciale teken of cijfer standaard toe te voegen. In mijn wachtwoordvoorbeeld kan dit leuk toegepast worden als ‘PaardMet1Baard’. Voor een website als Facebook zou je wachtwoord uiteindelijk ‘fPaardMet1Baardk’ worden. In totaal zorgt dit voor 476 sextiljoen (dat is met 36 nullen) mogelijkheden en een kraak-tijd van 15,000 triljoen eeuwen. Un-kraak-able!

Zelf een website? Maak het veilig!

Niet alleen gebruikers zijn verantwoordelijk voor het aanmaken van veilige wachtwoorden. Ook als website- en webshopeigenaar is het belangrijk om voor extra veiligheid te zorgen. Er zijn al een paar voor de hand liggende, en erg effectieve, manieren om dit te doen:

  • Zorg ervoor dat er maar maximaal iedere vijf seconden één keer ingelogd kan worden,
  • Zorg ervoor dat na een aantal mislukte inlogpogingen een strafperiode wordt gehouden waardoor de gebruiker moet wachten met inloggen.
  • Bekijk meer tips voor een veilige website

Met in ieder geval één van deze veiligheidsmaatregelen zorg je al voor een stevig hek rondom je site zodat brute force aanvallen makkelijk af te weren zijn. Zo komen crackers in ieder geval niet door de voordeur van je site binnen. Veilig voor jou, veilig voor je bezoeker!

*) Dit artikel is tevens gepubliceerd op het blog van Byte.nl.