Wat is een goed wachtwoord?

De kunst van het kiezen

09 september 2011 | Jibbe Van Oost

Een goed wachtwoord heeft hoofdletters, kleine letters, cijfers en speciale tekens. Het is onmogelijk te onthouden, mag nooit opgeschreven worden en moet om de paar maanden veranderd worden. Hoe je dat allemaal moet klaarspelen, vertellen beveiligingsexperts er meestal niet bij. Wij wagen een poging.

Eigenlijk kent iedereen de klassieke regels om een sterk wachtwoord te verzinnen wel, maar toch kiezen we met zijn allen slechte wachtwoorden zoals ‘wachtwoord’, ‘RSCAnderlecht’, ‘laatmebinnen’ of ‘123456’. De voornaamste reden? Ze zijn makkelijker te onthouden.

Er is alleen één groot probleem: makkelijke wachtwoorden zijn meestal ook makkelijk te raden. Wachtwoorden zoals ‘Wachtwoord1’ volgen dan wel de klassieke regels die voorschrijven dat je altijd een combinatie van cijfers, hoofd- en kleine letters moet gebruiken, maar ze zijn wel in een wip gekraakt.

Hackers gaan op twee manieren achter je wachtwoord aan: ze gooien er ofwel brute rekenkracht tegenaan of ze gaan meer gericht te werk.

Brute rekenkracht
Voor we een goed wachtwoord kunnen kiezen, moeten we weten hoe zo’n aanval met brute rekenkracht in zijn werk gaat. Dat gaat veel nauwkeuriger dan zomaar willekeurige cijfer- en lettercombinaties uitproberen. Het zou heel veel kostbare tijd kosten om alleen al de 308 miljoen lettercombinaties tussen aaaaaa en zzzzzz te proberen.

Het is voor een kraker zinvoller om meer gericht te gaan zoeken, schrijft beveiligingsspecialist Bruce Schneier in zijn blog. En daarvoor moet je weten hoe de meeste wachtwoorden zijn opgebouwd. In veel gevallen bestaat een wachtwoord uit een stam met een voor- of achtervoegsel.

De stam hoeft niet noodzakelijk in het woordenboek te staan, maar het is wel een uitspreekbare opeenvolging van letters. In 90 procent van de gevallen is er een achtervoegsel, in tien procent een voorvoegsel.

Met die wetenschap is het al een stuk eenvoudiger om te gaan raden. Eerst jaagt de kraker er een lijst van de duizend vaakst gebruikte wachtwoorden door. Daarna doet hij hetzelfde met de honderd vaakst voorkomende achtervoegsels zoals 1, 69, abc en een uitroepteken. Op deze manier wordt al 24 procent van de wachtwoorden geraden.

Vervolgens probeert de kraker moeilijkere combinaties uit: stammen met voor- en achtervoegsels zoals combinaties van twee cijfers of jaartallen sinds 1900. In een paar weken tot een maand raadt hij zo tot 65 procent van de wachtwoorden.

Persoonlijke wachtwoorden
Niet alleen computers kunnen raden, maar ook mensen. Dat is vooral een bedreiging als uw wachtwoordkeuze geïnspireerd is door uw dagelijkse omgeving: de liefde van uw leven, uw kinderen of uw huisdier bijvoorbeeld.

Door de populariteit van sociale netwerken is het makkelijker geworden om gericht wachtwoorden te gaan raden. Aspirant-krakers kunnen rustig alle namen van geliefden of van hobby’s opzoeken en uitproberen. Op LinkedIn vinden ze de namen van bedrijven. Vooral beveiligingsvragen zijn makkelijk te kraken dankzij Facebook. Vragen zoals ‘wat is de naam van uw moeder?’ zijn een lachertje tegenwoordig.