Security Academy Nieuws

Nieuws over de Security Academy en blogs van docenten over het vakgebied Cyber Security en Governance

Wachtwoorden...complex of liever onvoorspelbaar?

13-09-2014

Wij informatiebeveiligers maken dingen graag moeilijk, moeilijk voor kwaadwillenden om ongewenst gedrag te vertonen. Daarbij volgen we graag de boekjes, want wat op papier staat is waar. Toch? Neem nu wachtwoorden. In alle boekjes, en zelfs in standaarden wordt voorgeschreven dat wachtwoorden "moeilijk" moeten zijn. Maar wat is moeilijk? Volgens de boekjes zijn dat complexe wachtwoorden die minimaal uit 3 karakterklassen bestaan en die minimaal 8 karakters lang zijn. U kent ze wel, van die wachtwoorden die naast kleine letters ook hoofdletters, cijfers en liefst ook nog leestekens moeten bevatten. Van die wachtwoorden die een normaal mens niet kan onthouden. Of bent u zo iemand die !Qa@Ws#Ed in één keer kan onthouden? Zo ja, prijs uzelf dan gelukkig met uw gave. Maar ik hoop dat u zich er ook van bewust bent dat u tot een minderheid behoort. En zelfs al zou u een dergelijk wachtwoord in één keer kunnen onthouden, dan nog is het de vraag hoe makkelijk u het kunt invoeren. Het is immers niet echt een "natuurlijke" combinatie van toetsaanslagen. Maar volgens de regels is het in ieder geval een complex wachtwoord en dus is het goed. Toch?

Maar is complexiteit eigenlijk wel een goede graadmeter voor de veiligheid van een wachtwoord? Volgens mij niet. Sterker nog, ik durf te stellen dat het zelfs een erg slechte graadmeter is. Zoals hiervoor aangegeven zijn complexe wachtwoorden in ieder geval moeilijk te onthouden en in te voeren door diegenen die ermee moet werken. Dat lijkt mij een vrij fors minpunt. Toch? En waarom wilden we ook alweer moeilijke wachtwoorden hebben? Oh ja, om ongewenste figuren buiten te houden. Maar die figuren kijken helemaal niet eens naar die zogenaamd willekeurige karaktercombinaties waaruit een sterk, complex wachtwoord zou moeten bestaan. Die weten wel beter. Normale stervelingen zijn niet goed in het verzinnen, onthouden en invoeren van willekeurige karaktercombinaties en dat weten zij maar al te goed. Normale stervelingen kiezen woorden die iets voor ze betekenen. Woorden als de naam van hun kind, vrouw, of huisdier. Toch? Maar ja, die bevatten hoogstens kleine letters en hoofdletters. Wat nu? Ach, dan doen we er toch een makkelijke combinatie van die vervelende cijfers of leestekens voor of achter. Wie heeft niet al een keer een wachtwoord als Schatje123, Hans1984 of Woef!@# gezien? Of misschien zelfs ook gebruikt? En die ongewenste figuren die u zo graag buiten wilt houden? Die zoeken naar voorspelbare patronen in wachtwoorden, want dat is hoe normale stervelingen denken. En waar wij normale stervelingen graag denken dat we heel creatief zijn in het verzinnen van goede wachtwoorden blijkt in praktijk iedere keer weer dat die ongewenste figuren nog veel beter zijn in het voorspellen van onze mooie gedachtenspinsels. (Herkent u het patroon in dat mooie sterke wachtwoord !Qa@Ws#Ed van hierboven?)

Goed, complexiteit maakt een wachtwoord dus niet per se veilig. In ieder geval niet als dat wachtwoord door een normale sterveling wordt verzonnen. En ja, ik weet dat er heel mooie pakketjes zijn die ze voor ons kunnen verzinnen. Sterker nog, ik gebruik ze graag. Maar wees nu eens eerlijk, kunt u de wachtwoorden die daarmee worden gegenereerd onthouden? En ja, ik weet ook dat je diezelfde pakketjes ook kunt gebruiken om die fantastisch sterke wachtwoorden in te voeren, zodat u ze niet hoeft te onthouden. Maar ja, dan moet je dat pakketje wel altijd tot je beschikking hebben. Toch?

Wat maakt een wachtwoord dan wel veilig? Of liever zou ik zeggen veilig genoeg. Volgens mij is voorspelbaarheid daar een veel betere graadmeter voor. Complex is niet hetzelfde als sterk, want ook al is uw wachtwoord nog zo complex, als het voorspelbaar is, dan is het niet sterk. Maar als het niet voorspelbaar is, dan wel. Toch? En weet u wat zo mooi is? Onvoorspelbare wachtwoorden hoeven niet per se complex te zijn. En ze kunnen ook nog eens leuk zijn om te verzinnen, onthouden en in te voeren. Ga eens spelen met taal en kijk eens wat voor gekkigheid u kunt verzinnen die voor u heel normaal is, maar voor andere normale stervelingen helemaal niet. Verwacht u dat één van die ongewenste figuren een wachtwoord als PaarseFrikandellen of PlonsDuisje (afgeleid van DonsPluisje) zal raden? Ik denk het niet. Tenzij u het ze zelf makkelijk maakt om uw keuze te voorspellen (zoals ik zojuist heb gedaan voor de gegeven voorbeelden), maar dan is niet één manier om wachtwoorden te verzinnen sterk genoeg. Toch? En als u door wilt gaan voor de gouden medaille, waarom dan niet gelijk een wachtzin in plaats van een wachtwoord gebruiken? Wat dacht u van "Ik houd niet van rode kloembool"? Lekker lang en sterk. Toch?

Het is niet moeilijk je in te beelden dat de bovenstaande voorbeelden een stuk makkelijker zijn te verzinnen en te onthouden. Maar ja, ze zijn ook wel lang om in te voeren. Dat is vast een nadeel. Toch? Of toch niet? Hoe lang doet u er over om iets als 2WgRT%>= in te voeren? En denkt u dat het korter wordt nadat u dat wachtwoord 10 keer in hebt gevoerd? Voor normale stervelingen valt dat nogal tegen. Maar een stukje natuurlijke tekst (dat uiteraard wel onvoorspelbaar moet zijn) gaat in je tactiele geheugen zitten. Je vingers gaan er als het ware naar staan. Na een paar keer voer je het in zonder erbij na te denken. Wat wil je nog meer? Sterk en gebruikersvriendelijk! Goede informatiebeveiligers maken dingen makkelijk, makkelijk voor goedwillenden om gewenst gedrag te vertonen.

door Hans de Vries   |  13-09-2014

Hans de Vries is al ruim 20 jaar bezig met het verbeteren en borgen van de betrouwbaarheid van bedrijfsprocessen en informatievoorzieningen. Sinds 2007 is Hans,mede-oprichter van de Security Academy.

Meer

Uw Internet Explorer versie is verouderd.

Deze website kan niet met deze browser worden bekeken!

Upgrade uw browser naar de laatste versie van Internet Explorer 8 of installeer een andere browser, zoals Firefox of Google Chrome.