Makkelijke wachtwoorden worden gehackt, maar moeilijke ook …

Spendeer een uurtje achter je pc en je wordt er overal mee geconfronteerd: wachtwoorden. Maar vaak zijn ze ineffectief. Een goed wachtwoord is: makkelijk te onthouden en moeilijk te raden. Maar de meeste voldoen vaak alleen aan de eerste, en maar zelden ook aan de tweede ‘vereiste’.

Toen Anonymous vorig jaar een lijst met de 50 meest door informatici gebruikte wachtwoorden vrijgaf, bleek niet ‘wachtwoord’, maar ‘123456’ de vaakst gebruikte combinatie. Onderzoekers (en hackers) gebruiken deze voorspelbaarheid om woordenboeken te maken van veel gebruikte wachtwoorden. Het laatste onderzoek over het onderwerp, van de hand van Joseph Bonneau van Cambridge University, was gebaseerd op een lijst van maar liefst 70 miljoen anonieme wachtwoorden en demografische informatie over hun gebruikers. Bonneau ontdekte een aantal erg interessante zaken:

– Oudere gebruikers hebben betere wachtwoorden dan jongeren.
– Koreanen en Duitsers hebben de veiligste, en Indonesiërs de minst veilige wachtwoorden.
– Wachtwoorden die belangrijke informatie beschermen, zoals credit card gegevens, zijn niet veel veiliger dan meer triviale wachtwoorden.
– Een scherm dat waarschuwt dat je gekozen wachtwoord onveilig is, maakt amper verschil.

Het meest opmerkelijke resultaat van het onderzoek is dat een wachtwoord woordenboek erg succesvol kan. Bonneau: “Een hacker die 10 pogingen krijgt per gebruiker, kan 1% van alle wachtwoorden raden.“

Sommige websites, zoals Google en Microsoft, beperken dan ook het aantal pogingen, maar de overgrote meerderheid doet dit niet. Vele websites zijn niet bereid om in extra veiligheid te investeren; anderen vinden het simpelweg geen prioriteit.

Een tweede oplossing is de passphrase: het gebruik van meerdere wachtwoorden. Meer woorden betekent meer letters, wat tot meer veiligheid leidt. Maar uit een experiment van Amazon met passphrases bleek dat deze niet zo veilig zijn als oorspronkelijk werd gehoopt. Vier of vijf willekeurige woorden zijn erg veilig. Maar met een woordenboek van filmtitels en andere veel gebruikte zinnen, slaagde Bonneau er in om 1,13% van alle Amazon-passphrases te raden.

Nog een manier om je wachtwoord veiliger te maken is het gebruik van de mnemotechniek. (Zo kan een reeks letters en symbolen die op het eerste zicht geen steek houden toch makkelijk worden onthouden). Zkerlesd0hezgshtmw0 is dus de mnemotechnische samentrekking van de zin tussen haakjes waarbij de o wordt vervangen door een 0. Maar zelfs dit soort wachtwoorden zijn niet onkraakbaar: in 2006 kraakte een studie 4% van de mnemonische wachtwoorden in een steekproef.

De uiteindelijke conclusie is dat er geen antwoord op de wachtwoordproblematiek is. Er bestaat een duidelijk conflict tussen de vraag naar veiligheid en die naar eenvoud. Hackers zullen dit conflict hoe dan ook blijven uitbuiten.

Toch bestaat de kans dat de problematiek vanzelf verdwijnt en wachtwoorden in de toekomst volledig overbodig worden. Dat was één van de vijf technologische voorspellingen die wetenschappers van het Amerikaanse concern IBM voor de volgende vijf jaar hebben gedaan, gebaseerd op economische en maatschappelijke trends en ontwikkelingen die werden gerealiseerd binnen de eigen laboratoria. De onderzoekers merkten daarbij op dat op basis van biometrische gegevens – zoals gezichtsherkenning, irisscans en stemtechnologie – aan elk individu een uniek online wachtwoord zal worden toegekend. Via