Over de sterkte van wachtwoorden
Veel websites beschikken over een mogelijkheid om in te loggen. Meestal doe je dat met een gebruikersnaam (UserId) en een wachtwoord (Password). Soms volstaat alleen een UserId, bijvoorbeeld een e-mailadres. Daarmee log je in op een eigen Account (letterlijk: (bank-)rekening).
Steeds vaker hoor je verhalen over accounts die worden gekraakt. Meestal zijn dan de inlog-gegevens bekend geworden bij lieden die dat helemaal niet horen te weten.
Een methode om achter inlog-gegevens te komen gaat met een keylogger. Dat is een stukje kwaadaardige software dat bijhoudt
welke toetsen van je toetsenbord worden gebruikt. Die gegevens worden ongemerkt naar de site of mailbox van een kwaadwillend persoon
gestuurd. Deze persoon is nu in staat om je inlog-gegevens te achterhalen.
Keyloggers en andere malware kunnen op je PC terechtkomen als de bescherming van je PC onvoldoende is. Zorg dus altijd voor een goed
werkende firewall en up-to-date antivirus-software.
Een andere methode om in te breken op je account is door te proberen het UserId en het Password op een slimme manier te 'raden'. Dat
gaat altijd met behulp van een computer, die steeds herhalend probeert in te loggen op je site.
Het raden van inlog-gegevens kun je voor kwaadwillende lieden moeilijker maken door zorg te besteden aan de keuze van het wachtwoord. Het UserId wordt gewoonlijk opgegeven door de beheerder van de site, of het is een e-mailadres. Daar valt weinig aan te veranderen. Op deze bladzijde beperken we ons daarom tot de wachtwoorden.
De eisen die aan wachtwoorden worden gesteld worden dus steeds zwaarder. Op deze pagina wordt aangegeven welke mogelijkheden er zijn om het raden van wachtwoorden zo moeilijk mogelijk te maken.
Voor de goede orde: Dit verhaal gaat niet over het beveiligen tegen inbraken op de server waar je website wordt gehost. Het gaat wel over de eisen die je als webmaster moet stellen aan de wachtwoorden waarmee gebruikers op jouw site inloggen. Ook worden er tips gegeven om zelf een sterk wachtwoord te verzinnen.
Eigenschappen van sterke wachtwoorden
- Ze bevatten hoofdletters en kleine letters.
- Ze bevatten cijfers en 'speciale' karakters: @ # $ % & + - _ = . *
Speciale karakters zijn niet altijd mogelijk. Dat hangt af van de applicatie. Steeds vaker zie je dat ook letters met accenten kunnen worden gebruikt: à, á, â, ã, ä, å, enz. - Ze zijn minimaal 9 karakters lang.
Sommige applicaties vereisen langere wachtwoorden, bijvoorbeeld minimaal 12 karakters lang. - Ze zijn gemakkelijk te onthouden zodat ze niet hoeven te worden opgeschreven.
Vaak wordt gezegd dat een goed wachtwoord gemakkelijk is om in te typen. Op zich is dat juist, maar het leidt gemakkelijk tot
een verkeerde keus. Zo weet ik van een bedrijf waar het standaard wachtwoord gelijk is aan de naam van dat bedrijf.
Andere gemakkelijk te raden wachtwoorden zijn:
- Naam van je man/vrouw/geliefde, kinderen, hond, kat of kanarie,
- Merk en/of type van je auto, kentekenplaat,
- Merk en/of type van je computer,
- Favoriete vakantiebestemming, voetbalploeg, restaurant,
- Woorden uit (woorden-)boeken,
- Achteruit gespelde woorden,
- Letter- of cijferreeksen, bijv. abcdefg, 1234567.
Sterke wachtwoorden verzinnen
Een goede manier om een sterk wachtwoord te verzinnen is: Neem een bekende zin en neem van elk woord de eerste letter. Voeg
daarbij ook wat cijfers en speciale karakters toe. Voorbeeld (Met dank aan John O'Mill): Het wachtwoord
Jzeph_0aezg.Dtzzbw#&sdvgd
is afgeleid van:
Jantje zag eens pruimen hangen,
Oh, als eieren zo groot;
De tuinman zag zijn bolle wangen
En sloeg de vuile gapper dood.
Test de sterkte van je wachtwoord
Wachtwoord-testers worden door diverse sites op internet aangeboden, bijvoorbeeld:
Er bestaan geen algemeen geldende normen om te bepalen of een wachtwoord sterk genoeg is om te voorkomen dat het wordt geraden. Bestaande algoritmes werken met een puntensysteem waarmee op een aantal van de eerder genoemde eigenschappen wordt getest. De score is een maat voor de 'veiligheid' van het password.
