Spring naar inhoud

Sterk

Wie kent het principe van het sterke wachtwoord? Dus een wachtwoord als Ak€?bru5}XZ! dat regelmatig verandert. Er zijn mensen die denken dat dergelijke wachtwoorden veiliger zijn dan een wachtwoord als Tegelsoep of Graaimachine.

Laat ik beginnen bij het begin: is een wachtwoord een goede manier van beveiligen? Ik vind van niet. Het is makkelijk, dat wel. Een wachtwoord is zo makkelijk omdat je er geen ingewikkelde apparatuur voor nodig hebt. Geen vingerafdruk- of irisscanners, stemherkenners, kaartlezers, RFID ontvangers, alleen een toetsenbord.

Het principe van een wachtwoord is dat het geheim is.
Het gevaar van wachtwoorden is dus onder andere:
- het wordt uitgeleend
- het wordt doorverteld
- het wordt vergeten
- het wordt als je het vergeet altijd op dezelfde waarde teruggezet (bijvoorbeeld PIN 0000)
- het wordt opgeschreven
- het wordt afgekeken
- het wordt gekraakt

Een wachtwoord kan alleen maar veilig zijn als het zo vaak verandert dat het -eenmaal in verkeerde handen terecht gekomen- niet meer bruikbaar is. Daarmee is een wachtwoord eigenlijk niet geschikt om door mensen te worden gebruikt, dus alleen door machines.

Over wachtwoorden is veel nagedacht, met name over de versleuteling ervan en het kraken. Een van de dingen die je vaak hoort is dat wachtwoorden sterk moeten zijn. De reden is dat sommige computers je wachtwoord lokaal opslaan, minder of meer versleuteld. Oerdom natuurlijk, daarmee is het in wezen al uitgelekt: dit vraagt gewoon om kraken. Dit moet een heel belangrijk principe zijn: het wachtwoord mag op geen enkele manier aan het systeem te onttrekken zijn en dus ook nergens worden opgeslagen. Vertrouw daarom dus geen enkel systeem dat je op verzoek je wachtwoord kan mailen.

Als het wachtwoord direct na het inloggen verdwenen zou zijn, dan zou de noodzaak van een sterk wachtwoord direct vervallen.

Ik wil dat illustreren aan de hand van de PIN. Ik zal jullie om te beginnen eens een geheimpje verklappen: mijn PIN is maar 4 tekens lang en het nog allemaal cijfers ook! En mijn pasje is in feite een gemakkelijk kopieerbare magneetstrip.
Wisten jullie natuurlijk al lang. Dat geldt immers voor al die PINs en al die pasjes. Toch is die PIN het belangrijkste wachtwoord dat ik heb. Totaal geen sterk wachtwoord, en jaren achtereen hetzelfde. De enige reden dat het goed werkt is dat ik de code aan niemand vertel, en dat de pas definitief wordt geblokkeerd nadat driemaal een verkeerde code is gegeven. Een z.g. brute force attack heeft daardoor weinig kans op succes.

Wie van jullie wordt lastig gevallen met sterke wachtwoorden?

10 gedachten over “Sterk

  1. Mefeja

    Het vreemdste op dit gebied dat mij is overkomen was een mailtje onze afdeling training. Bij het ingebruiknemen van een nieuw systeem werd ik gevraagd met "onderstaand wachtwoord" voor de eerste keer in te loggen. Daar stond gewoon mijn zelfverzonnen en onkraakbare netwerk wachtwoord!

  2. Arend

    Ik lees je weblog al een hele tijd, maar nu vind ik het tijd toch maar te reageren. Wachtwoorden en pincodes kun je niet goed vergelijken. Want een wachtwoord is alleen sterk als niemand anders het heeft.

    Ik vind je foto's sterker dan je argumenten.

  3. plutone

    @arend: Je hebt een punt, want ik heb het belangrijkste argument nog niet genoemd. Dat doe ik dus nu.

    De strijders voor sterke wachtwoorden willen namelijk doorgaans ook nog dat we die sterke wachtwoorden regelmatig wijzigen. Daar komt bij dat iedereen tegenwoordig erg veel wachtwoorden heeft. Die regelmatig veranderde en lastige wachtwoorden moet je dan ook nog eens onthouden, en dat is iets dat maar weinig mensen gegeven is. Dus om te overleven moet je het wel ergens opschrijven, en dus kun je het niet geheim houden. Sterke wachtwoorden in handen van mensen worden al snel zwak.

    Ik ben trouwens nog wel nieuwsgierig naar jouw argumenten, want kennelijk vind je iets anders dan ik. Wat precies kan ik niet goed zien en waarom al helemaal niet.

  4. Chantal

    Je zou per mens maar 1 wachtwoord moeten hebben voor alles... is zoveel makkelijker, net zoiets als je sofinummer

  5. Xiwel

    Ik heb niet veel met passeerwoorden (ik hou niet van wachten). Op mijn pinpas mag ik hem zelf wijzigen. Dat heb ik gedaan waarbij ik een eerdere pincode heb aangemaakt, die ik heel makkelijk kan onthouden maar dus niet zelf verzonnen heb.

    In dat laatste zit ook de zwakte. Het beste kan je een wachtwoord verzinnen met een dobbelsteen. Toch doen mensen dat niet en zie je namen van kleindochters, honden en automerken met daarbij een jaartal als toevoeging. Bij veel collega's heb ik dan ook wachtwoorden geraden.

    In het bedrijf waar ik werkte moest iedereen elke maand een ander wachtwoord gebruiken en mochten de laatste 10 niet 1x een dubbeling hebben. Lastig en vervelend. Net als de meeste bedacht ik iets als hanneke67 en dat liep door tot hanneke76 waarna ik weer met hanneke67 begon. Ik raakte daar wel eens van in de war dus schakelde ik over van het stijgende geboortejaar naar het maandnummer. In januari dus hanneke01 tot hanneke12 in december.

  6. plutone

    Ik was aanvankelijk geheel overdonderd 😎 door de vele en felle reacties, dat was nou het laatste dat ik had verwacht om zo'n onderwerp. Maar ze komen bijna allemaal van hetzelfde IP-adres :evil:. Iemand heeft dus een nep-discussie zitten voeren. Ik heb er daarom een aantal verwijderd: de minst inhoudelijke in elk geval. Voor zover ze nodig zijn voor de lijn van de discussie heb ik ze laten staan en de grootste onzin eruit gehaald.

    @chantal: ken jij je sofinummer dan uit je hoofd? En wie kent het nog meer? Niet geschikt dus.
    Maar wat je bedoelt is er eigenlijk al: DigID. Dat is een naam met een wachtwoord die gekoppeld is aan je fiscaal nummer, pardon sofinummer, pardon burgerservicenummer. Dat ene nummer dus dat je al jaren op je loonstrookje ziet staan. De naam kun je zelf kiezen en het wachtwoord ook, maar het moet wel aan bepaalde eisen voldoen.

    Met DigId kun je inloggen op verschillende plekken, maar nog lang niet overal.

    @xiwel: dat inbouwen van een volgnummer is iets wat ik heel vaak hoor, als middel om te ontsnappen aan een opgelegd wijzigregime. Het is natuurlijk zonneklaar dat een dergelijk wachtwoord geen steek sterker is dan het zelfde wachtwoord zonder dat nummer dat nooit verandert.
    Je had natuurlijk ook Hanneke elke maand kunnen inwisselen voor een ander :twisted:!

  7. frans54

    Ik gebruik voorzover mogelijk overal dezelfde twee wachtwoorden, een simpele voor inloggen op nieuwssites e.d., zaken waar dus geen enkel financieel belang aan zit, en een wat ingewikkelder voor overige zaken. Die twee kan ik uit het hoofd nog wel onthouden. Als wijzigingen worden vereist noteer ik ze op dezelfde manier als pincodes: versleutelt op een manier die hopelijk alleen voor mij te begrijpen is. Zo zou bv 1632 kunnen worden pc+4/6.*2 of 2m4/id5 (en nee, dat is geen bestaande code van mij en in de praktijk zou ik het toch weer anders doen, deze voorbeelden zijn denk ik voor anderen nog wel enigszins te doorgronden)

  8. annabee

    Ik doe niet al te moeilijk met wachtwoorden, hou er mijn eigen rare systeempje op na en dat zit in m'n hoofd. Regelmatig kom ik ergens niet meer in, omdat ik tóch afgeweken was mijn systeem (bij vlagen meen ik soms opeens dat het anders, 'beter', moet), pech gehad dan.
    Om wachtwoorden zoals van internetbankieren of DigID maak ik me niet extra druk, je kunt altijd nieuwe aanvragen.
    Ik gebruik tegenwoordig voor vrijwel alles een ander wachtwoord, in tegenstelling tot 'vroeger', toen ik maar twee of drie verschillende had. Moet er niet aan denken dat iemand op mijn ene wachtwoord stuit (zou niet weten hoe, want ze staan nergens opgeschreven, maar toch) en overal namens mij in kan loggen.
    Waar ik me nog steeds over verbaas is het feit dat zeer veel internetgebruikers hun wachtwoorden laten onthouden door hun pc, soms zelfs met behulp van programmaatjes. Doodeng! Die programmamakers kunnen best te goeder trouw zijn, maar stel dat ze hun product verkopen of dat het in verkeerde handen komt?

  9. Jeroen

    Wachtwoorden zijn heel makkelijk te achterhalen zowel in firefox als met IE. Kijk maar is in het menu Extra > opties > tabblad: beveiliging en dan wachtwoorden tonen en nog is wachtwoorden tonen.... Kijk is hoe mooi ze op een rijtje staan. Het zelfde geld voor het systeem wachtwoord, ik ken verschillende programma’s die zonder moeite een paswoord achterhalen. Zelfs een beginner zou dit kunnen doen. Stel dat een van deze passwoorden het passwoord is die je gebruikt om je geld te beheren.... tja dan ben je de lul. Een combinatie van meerdere beveiliging methode is het veiligst. Mijn pc kun je niet inkomen met alleen een paswoord en een gebruikersnaam. Al is volgens de computer totaal vingerscans ook niet 100% veilig aangezien je heel makkelijk een vingerafdruk achterlaat.

Reacties zijn gesloten.