7 tips voor een sterk wachtwoord
- Geplaatst op 28 januari 2021
- Door : Frank van Lieshout | Adviseur Zorg & Retail
Gemiddeld heeft een zakelijke gebruiker 191 wachtwoorden. Hoe ga je veilig met wachtwoorden om? Welke technieken gebruiken kwaadwillenden? Hoe kun je 191 wachtwoorden onthouden?
Uit onderzoek van Lastpass (password tool) blijkt dat een zakelijke gebruiker gemiddeld 191 wachtwoorden heeft. Dit zijn er zoveel, dat het lastig is om deze allemaal te onthouden. Daarom kiest men vaak een makkelijk te onthouden wachtwoord. Ook wordt ditzelfde wachtwoord dan over het algemeen voor meerdere doeleinden gebruikt. Hierdoor loop je natuurlijk enorm veel risico wanneer iemand anders dat wachtwoord weet.
Brute Force Attack
Een methode die gebruikt wordt door hackers om in te kunnen loggen is een Brute Force attack. Een Brute Force attack is een methode waarbij de hacker probeert (geautomatiseerd) het wachtwoord te raden door gebruik te maken van brute kracht oftewel het gebruiken van de rekenkracht van een goede computer. In feite worden er allerlei opties uitgeprobeerd. Maar de computers worden wel voorzien van combinaties die vaak voorkomen om ze op weg te helpen. Denk hier bij aan:
- het proberen van woorden uit een woordenboek,
- het proberen van een lijst met veel gebruikte wachtwoorden of
- een combinatie van cijfers en letters.
3320 biljoen mogelijkheden
Voor een wachtwoord dat uit 8 kleine letters bestaat, zijn er 217 miljard combinaties. Daar hoort namelijk de volgende rekensom bij: 26 + 26² + 26³ + 26 ⁴ + 26⁵ + 26⁶ + 26⁷ + 26⁸ = 217 miljard. Voeg je ook hoofdletters en 10 cijfers aan een wachtwoord toe (totaal 62 tekens) kom je op 222 biljoen mogelijkheden. Neem je ook nog vreemde karakters mee(totaal 87 mogelijke karakters), dan zijn er 3320 biljoen mogelijkheden.
We kiezen echter wachtwoorden die makkelijk te onthouden zijn. Vaak betekent dat, dat we combinaties kiezen die vaker voorkomen. Dat weten hackers ook en daar spelen ze op in. Met andere woorden, ze nemen deze combinaties mee in hun de berekening waardoor ze het wachtwoord sneller kunnen raden.
Snelheid
Het uitvoeren van een Brute Force attack kan een tijdrovende klus zijn. Dat is afhankelijk van de kracht van de machine die het uitvoert. Als we ervan uitgaan dat er tijdens een Brute Force attack 3.000.000 pogingen per seconde gedaan worden, kunnen we berekenen hoe lang het duurt voordat alle mogelijkheden geprobeerd zijn.
Ter illustratie: alle mogelijkheden van een wachtwoord dat bestaat uit 8 kleine letters, kun je met een Brute Force attack hebben geprobeerd in iets meer dan 20 uur. De 217 miljard mogelijkheden delen door 3.000.000 pogingen per seconde betekent het dat alle mogelijkheden in 72.333 seconden zijn geprobeerd.
In vergelijking bij een wachtwoord dat bestaat uit een combinatie van 8 kleine letters, hoofdletters, cijfers en vreemde karakters duurt het 35 jaar om alle mogelijkheden uit te proberen. 3320 biljoen mogelijkheden delen door 3.000.000 pogingen per seconde komt neer op 1.106.666.666,67 seconden waarin alle mogelijkheden geprobeerd kunnen worden. Dat is meer dan 35 jaar.
Het loont dus echt om zoveel mogelijk verschillende karakters te gebruiken.
Willekeur
Naast het aantal mogelijke karakters is het ook verstandig om een willekeur te gebruiken in de karakters bij het kiezen van een wachtwoord. Vaak wordt er geprobeerd om binnen te dringen door bepaalde woorden te proberen die vaak als wachtwoord voorkomen. Daarnaast past een hacker ook grammaticaregels toe om het aantal mogelijkheden naar beneden te brengen. Het lijkt daarom verstandig om karakters te wijzigen, maar dat is niet altijd zo. In de praktijk blijkt het al dat er vaak dezelfde variaties worden gekozen, bijvoorbeeld een o wordt een 0 (nul) en een e wordt een 3. Een hacker zal hier dus rekening mee houden.
Lengte; lang, langer, langst
Wanneer je een lang wachtwoord toch wil kunnen onthouden kan je het beste voor een passphrase gaan. Dit is een combinatie van verschillende woorden waardoor het eenvoudiger te onthouden is. Dan neig je er al snel naar om een bepaalde zin of spreuk te gebruiken. Dat maakt het raden voor hackers natuurlijk weer makkelijker. Je kunt beter verschillende woorden gebruiken die niets met elkaar te maken hebben.
Periodiek wijzigen is meer schijnveiligheid
Vaak wordt er gevraagd om een wachtwoord periodiek te wijzigen. Er wordt dan aangegeven dat dit de veiligheid ten goede komt. Toch kan dit ook het tegenovergestelde effect hebben. Doordat men een volgnummer aan hun wachtwoord toevoegt en dit nummer ophoogt wanneer het wachtwoord weer veranderd moet worden. In het ergste geval wordt het wachtwoord ergens opgeschreven. Nooit doen dus!
Periodiek laten wijzigen van wachtwoorden biedt dus eigenlijk schijnveiligheid. Het probleem blijft namelijk nog steeds bestaan, de gebruiker heeft een onveilig, zwak wachtwoord. Zorg er daarom altijd voor dat je een sterk wachtwoord gebruikt!
Sterk wachtwoord
Maar wat maakt een wachtwoord sterk? 7 tips voor een sterk wachtwoord:
- Complexe wachtwoorden gebruiken
- Account blokkeren wanneer het aantal foute inlogpogingen wordt overschreden
- Passphrase gebruiken met daarin woorden uit meerdere talen die niets met elkaar te maken hebben
- Gebruik geen bekende uitspraken
- Gebruik een wachtwoord nooit meerdere keren
- Gebruik een (lokale) Password Vault om wachtwoorden in op te slaan.
- Sla geen wachtwoorden op in je browser
Tools
Er bestaan veel tools waarin wachtwoorden opgeslagen kunnen worden. Hierdoor hoef je niet meer alle wachtwoorden zelf te onthouden, en kan je zeer complexe wachtwoorden gaan gebruiken zoals bijvoorbeeld QU-SLK:Ak]W3. Een dusdanig wachtwoord is bijna onmogelijk om te onthouden. Wat je dan kunt doen is dit opslaan in een zogenaamd password vault. Dit is een kluis waarin je kunt inloggen met een wachtwoord om andere wachtwoorden in op te vragen. Wanneer je gebruik maakt van een password vault hoef je dus in feite maar 1 wachtwoord te onthouden. Dat klinkt toch beter dan 191, vind je niet?
Multifactorauthenticatie (MFA)
Vaak is zo’n password vault ook nog extra beveiligd door middel van multifactorauthenticatie (MFA). Daarbij moet je jouw inlogpoging bevestigen door middel van bijvoorbeeld een app.
MFA is een methode om de authenticiteit van een gebruiker te verifiëren met behulp van meerdere factoren. Dergelijke factoren bestaan doorgaans uit: iets dat de gebruiker weet, zoals een wachtwoord of pincode en iets dat de gebruiker heeft, zoals een app op de telefoon.
Door meerdere factoren te combineren wordt de beveiliging aangescherpt!