We kunnen allemaal de basics: gebruik "wachtwoord" niet als wachtwoord, gebruik verschillende credentials voor verschillende accounts en stel 2FA in waar mogelijk en gebruik een wachtwoordbeheerder om al die verschillende accounts uit elkaar te kunnen halen.

Sommige adviezen klinken heel plausibel, maar zijn vooral zinvol in de juiste context - niet in alle situaties. En sommige adviezen zijn simpelweg niet gebaseerd op wat er werkelijk aan de hand is. Hier volgen vier veelgehoorde mythes over wachtwoordbeveiliging met uitleg over wat er schort aan het advies.

Mythe 1: Je moet speciale en verschillende tekens gebruiken

Waar: Er is een grens aan hoeveel extra beveiliging je krijgt met complexe wachtwoorden met hoofdletters, speciale tekens en cijfers. Ja, "wachtwoord" is slecht, maar een complexere vorm als "wAchtw00rd!" is niet veel beter, ondanks de mix van tekens die wordt afgedwongen door veel systemen die eisen stellen voor zulke tekens.

Het is altijd een slecht idee om wachtwoorden te baseren op gewone woorden. Tools van aanvallers itereren niet alleen door het woordenboek, maar ook door dezelfde lijsten met aangepaste tekens. "Kwetsbaar" is net zo kwetsbaar als "Kw3tsbAaR", omdat deze variant ook in de lijst staat. Vaak blijkt een hoofdlettereis ertoe te leiden dat vooral de eerste en/of de laatste letter als hoofdletter worden geschreven.

Qua pure brute force is een complex wachtwoord veel beter dan eentje met alleen kleine letters. Het duurt met een moderne computer ongeveer twee dagen om een wachtwoord van 8 tekens te kraken (26^8, oftewel 208.827.064.576 mogelijke combinaties) maar een botnet doet hetzelfde in 1,8 seconden. Meer mogelijke combinaties met alternatieve tekens vertraagt het proces en een speciaal teken of twee verhoogt de mogelijke combinaties.

Dat geldt alleen niet als de gebruikte string niet willekeurig is. In de top 25 van meestgebruikte wachtwoorden in gelekte databases doken "1qaz2wsx" en "1q2w3e4r" op. Dat zijn duidelijk patronen linksboven in een querty-indeling die voldoen aan een aantal eisen, maar dus overduidelijk niet vrijgewaard zijn van kraken. De kraaktools kennen deze patronen ook en ze zijn toegevoegd aan de hashlijsten die ze gebruiken om wachtwoorden op te sporen.