Zo kies je het perfecte wachtwoord

goed wachtwoord

P@s$w0ord is geen goed wachtwoord, maar wat dan wel? Complexiteit is niet de sleutel, lengte wel. We doen de beste strategie voor een bruikbaar en sterk wachtwoord uit de doeken.

Iedere eerste vrijdag van mei is het World Password Day, Wereldwachtwoorddag dus. Het wachtwoord is niet de veiligste, maar wel veruit de meest gebruikte techniek om accounts en online identiteiten te gebruiken. Zolang we er collectief gebruik van moeten maken, kunnen we er maar beter voor zorgen dat ze veilig zijn. En let op: veilig betekent niet noodzakelijk onleesbaar of complex.

Websites allerhande hebben ons jarenlang getraind om slechte wachtwoorden te kiezen. Speciale tekens, hoofdletters en cijfers lijken heiligmakend, terwijl een lengte van amper acht tekens doorgaans volstaat. Dergelijke wachtwoorden zijn vreselijk voor mensen om te onthouden maar een peulenschil voor computers om te kraken. Speciale tekens zullen je niet redden van hackers of malware, een gezonde lengte voor je wachtwoord wel. Als bijkomende bonus kan je iets kiezen dat je wel zelf kan onthouden.

Peulenschil met brute kracht

Voor we uitleggen wat een goed wachtwoord precies is, moet je weten wat een slecht wachtwoord zo slecht maakt. Vandaag hebben criminelen exponentieel meer computerkracht ter beschikking dan pakweg tien jaar geleden. Die kunnen ze gebruiken om je wachtwoord te raden. Dat gebeurt niet op een subtiele manier: aanvallers proberen gewoon combinaties, soms op basis van woordenboeken, en dat op goed geluk. Zo’n brute force-aanval kan bij bescheiden wachtwoord erg succesvol zijn.

In 2023 duurt het minder dan een seconde om een wachtwoord van zes tekens te kraken.

Neem R8@bl# als voorbeeld. Dat wachtwoord combineert hoofd- en kleine letters met cijfers en symbolen. Beveiligingsexperts van Hive Systems onderzochten hoelang het in 2023 duurt om zo’n wachtwoord te kraken. Het antwoord: minder dan een seconde.

Speciale tekens helpen, een beetje

Hetzelfde geldt voor eftanvie: een wachtwoord van acht tekens met enkel kleine letters. Variatie in de symbolen maakt wel uit in dit geval. Kies je voor Eft@nv13, dan duurt het een ongeveer vijf minuten voor het wachtwoord wordt gekraakt. Dat is minder dramatisch, maar nog steeds niet zo lang.

Hoe langer je wachtwoord, hoe moeilijker het is om te kraken. Voeg je één teken toe aan bovenstaand wachtwoord, zodat het bijvoorbeeld Eft@nv13A wordt, dan bedraagt de kraaktijd al zes uur. Met een tiende teken wordt dat twee weken, een elfde drie jaar. Enkele weken is misschien voldoende om een onbelangrijk privé-account te beschermen, maar al bij al niet zo lang wanneer het wachtwoord toegang geeft tot echt gevoelige data.

Twaalf tekens of meer

Microsoft raadt aan om een wachtwoord niet korter te maken dan twaalf tekens, en liefst zelfs voor veertien te kiezen. Een wachtwoord van veertien tekens met hoofdletters, kleine letters, maar geen cijfers of symbolen kan gekraakt worden in ongeveer 17.000 jaar. Voeg je wel cijfers of symbolen toe, dan kost een succesvolle aanval al snel een miljoen jaar. Dergelijke wachtwoorden zijn op dit moment praktisch niet te kraken en lijken bovendien relatief toekomstbestendig. Anderszijds: in 2022 duurde het nog zestien miljoen jaar om een gelijkaardig wachtwoord te kraken: de rekenkracht haalt je korte wachtwoord dus wel degelijk in.

Wachtwoorden zijn verleden tijd: je spreekt beter van een wachtzin.

Wachtwoorden zijn daarom verleden tijd: je spreekt beter van een wachtzin. Een ideale wachtzin kan een stuk minder complex zijn om te onthouden dan zelfs maar zes willekeurige tekens. Het is een goed idee om in zo’n zin nog steeds enkele cijfers en symbolen te combineren en je zeker en vast niet te beperkten tot woorden uit het woordenboek. Ga voor een soort van nonsens die niets betekent voor een computer, maar misschien wel voor jezelf.

Snorreke eet brokken van Purina

We geven een voorbeeld. Misschien heb je een kat die Snorreke heet en graag Purina-brokken eet in de keuken. Zelf ben je niet vies van dialect. Met dat in het achterhoofd kan je kiezen voor SnorboeftPuri@keuke1. Dat wachtwoord telt twintig tekens. Hive berekende de kraaktijd tot wachtwoorden met achttien tekens. Combineer je voor zo’n wachtwoord alle tekens, dan bedraagt de kraaktijd 26 biljoen jaar. Voor SnorboeftPuri@keuke1 is het dus nog langer. Een aanval op basis van een woordenboek zal een hacker hier evenmin verder helpen.

lees ook

Cybergevaren aan den lijve ondervinden: hoe Telenet zijn personeel cyberweerbaar maakt

Voor een goed wachtwoord is lengte dus de allerbelangrijkste parameter. Snorboeftpuri, als kortere variant zonder speciale tekens, is nog steeds bestand tegen duizend jaar aan brute force-aanvallen, met dank aan de lengte van dertien tekens.

Vuistregels

Voor een goed wachtwoord kies je dus:

  • Een wachtzin die minstens twaalf tekens bevat, maar liefst meer dan veertien;
  • Een combinatie van hoofdletters en kleine letters, liefst aangevuld met cijfers en speciale tekens;
  • Geen namen van mensen, straten, bedrijven of andere zaken die online op te zoeken zijn of in het woordenboek staan;
  • Een wachtzin die significant verschilt van andere wachtzinnen op een betekenisvolle manier;
  • Een zin die je zelf kan onthouden.

We delen nog enkele voorbeelden ter inspiratie:

  • 1LoveS0ftF@tCat$
  • B00tjeVaren@ZilverLak3
  • @woeL0mpeHackerz
  • H0pelijkOn#baar

Al deze wachtwoorden zijn lang en bevatten complexe tekens, zodat een brute force-aanval het hele spectrum van beschikbare tekens in rekening moet nemen. Je kan je voorstellen dat respectievelijk iemand met een dikke kat, een fan van recreatiedomein Zilvermeer, een hater van domme hackers en een hoopvol persoon deze wachtwoorden toch kunnen onthouden. Stuk voor stuk zijn ze eenvoudiger voor een mens dan het onveilige R8@bl#.

Vergeet bovenstaande tips niet wanneer je een nieuw veilig wachtwoord moet aanmaken, maar vergeet evenmin niet dat wachtwoorden nooit waterdicht zijn. Deel ze in geen geval, zelfs niet met familie en vrienden, en gebruik MFA waar mogelijk. En kom je nog de occasionele website tegen die een foutmelding geeft omdat je wachtwoord te lang is? Mijd die dan of stuur een boze mail wanneer je geen andere keuze hebt.


Dit stuk verscheen origineel als onderdeel van onze securitymaand oktober 2022. We hebben het stuk van updates voorzien op basis van de recentste cijfers rond beveiliging van wachtwoorden.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.