Wachtwoorden – Size does matter!

De lengte van een wachtwoord bepaalt voor een groot deel de veiligheid

Eigenlijk zijn we het allemaal beu … wachtwoorden. Ik ken niemand die er enthousiast van kan worden. En de meesten weten stiekem best wel hoe het zou moeten. Een wachtwoord moet uniek en moeilijk zijn. Maar we handelen daar zelden naar, met alle gevolgen van dien. In de trainingen die ik geef, merk ik toch nog vaak dat bij velen ook een gebrek aan kennis en inzicht een rol speelt bij het gebruik van wachtwoorden. In de basis is een wachtwoord namelijk niet zo veilig, laat staan een slecht wachtwoord.

Een stelling die ik graag deponeer tijdens een Security Awareness Training is: “Een wachtwoord is als een tandenborstel… Je deelt ‘m nooit uit, en af en toe heb je een nieuwe nodig”. En ook bij tandenborstels heb je goede en slechte versies, daarbij merk je zelf als snel het verschil. Maar ja, weet jij wat een slecht wachtwoord is?

Waarom is de lengte van een wachtwoord zo belangrijk?

Even een test: Welk van onderstaande twee wachtwoorden is in jouw ogen het zwakste?

  1. IkLoopOpStraat
  2. 1EaB3!#

Zoals de titel van dit blog doet vermoeden is het 1e wachtwoord het sterkste en de tweede het zwakste. En dat had je waarschijnlijk niet verwacht toch? Voor ons mensen is het tweede wachtwoord een rare combinatie van tekens die niet zomaar iemand zou proberen als ze onder jouw naam zouden proberen in te loggen. Laat staan dat ze het zouden onthouden als ze het per ongeluk onder ogen krijgen. En misschien denk je nog dat het wel mee zal vallen met de zwakheid van dat tweede wachtwoord, maar niets is minder waar.

Wanneer ik (als ik hacker was) mijn hypermoderne/snelle laptop de opdracht geef gewoon alle mogelijke wachtwoorden te proberen, dan doet de computer er een tijdje over om alle mogelijke wachtwoorden te proberen. In het 2e wachtwoord, 1EaB3!#, zou de computer er ongeveer 31 seconden voor nodig hebben het wachtwoord te raden. Een computer kijkt namelijk niet woordcombinaties, maar probeert gewoon alle tekens. En daar komt dus de lengte van een wachtwoord in beeld, want bij het 1e wachtwoord zou de computer ca. 64.000 jaar nodig hebben.

Dat de verschillen zo groot zijn, heeft te maken met machtsverheffen. Immers heeft een wachtwoord van 1 teken uit het alfabet 26 mogelijke posities en van 2 tekens 26×26 mogelijkheden. Met één hoofdletter en één kleine letter zou het 52×52 zijn. En dan reken ik dus alle cijfers, speciale tekens en leestekens nog niet mee.

Hoe lang doet een computer over het hacken van een wachtwoord?

Een beetje hacker gebruikt speciale software (al dan niet zelf geschreven) voor het kraken van je wachtwoord. De computer doet dus al het werk voor ze. En hoe snel dat gaat, hangt dus vooral af van de lengte van het wachtwoord en niet zozeer welke tekens je gebruikt. Onderstaande afbeelding laat zien hoe lang een computer erover doet om alle mogelijke combinaties af te gaan van het aantal tekens dat je hebt gebruikt, afhankelijk van welke soort tekens je door elkaar gebruikt.

De tijd die een hacker nodig heeft om je geforceerd je wachtwoord te achterhalen in 2022

Bron: https://www.hivesystems.io/blog/are-your-passwords-in-the-green

De 10 wachtwoord geboden van Bouke

Nu je dit weet, geef ik je nog graag mijn 10 geboden voor het kiezen van een zo veilig mogelijk wachtwoord.

  1. Een wachtwoord moet minimaal 12 karakters hebben, meer is beter.
  2. Gebruik hoofdletters, kleine letters, minimaal één cijfer en één speciaal teken.
  3. Voorkom het gebruik van een enkel woord uit het woordenboek.
  4. Gebruik liever niet het cijfer 1, want dat is het meest gebruikte cijfer.
  5. Gebruik liever niet het uitroepteken, want dat is het meest gebruikte speciale teken.
  6. Maak een makkelijker te onthouden wachtzin in plaats van wachtwoord, voorbeeld: “IkLoopOpStraat4@”.
  7. Gebruik MFA (Multi Factor Authenticatie) zoals de “Authenticator app”, SMS code of token om in te loggen in voor je belangrijke accounts. Doe dit altijd voor je (privé) e-mail, werk-account, social media accounts, bank login etc.
  8. Voorkom hergebruik van wachtwoorden en maak sowieso unieke wachtwoorden voor de onder punt 7 genoemde accounts.
  9. Schrijf wachtwoorden niet op, maar gebruik liever een wachtwoorden manager zoals keepass.
  10. Voor sites waar je weinig gebruik van maakt, gebruik liever de knop “wachtwoord vergeten” en stel elke keer een nieuwe in, dan wachtwoorden proberen/raden.

Zo, nu weet je een beetje meer over hoe je jouw wachtwoorden veiliger kunt maken. Wil je meer weten over hoe je bewuster omgaat met online veiligheid? Bekijk dan eens onze training Security Awareness en wie weet zie ik je daar!

Bouke van Kleef
AVK coach en trainer Privacy & Security Awareness