Sesam, open u!

Het wachtwoord waar het allemaal mee begon is natuurlijk "Sesam, Open u", de beroemde passphrase uit het sprookje Ali Baba en de veertig rovers uit de vertellingen van Duizend-en-één nacht. Voor degenen die het zich niet herinneren, Ali Baba hoorde hoe rovers deze zin gebruikten om een grot magisch te openen, waar ze vervolgens hun buit in opsloegen.

Mooi detail in dit wachtwoordentijdperk uit het oude verhaal is dat de broer van Ali Baba, overrompeld door het goud in de grot, zich het wachtwoord niet kon herinneren toen hij de grot wilde verlaten. (Het liep slecht met hem af.) Het wachtwoord 'opensesame' dook enkele jaren geleden nog vaak op in lijstjes van meestgebruikte wachtwoorden, maar is nu vaak vervangen door het wat directere 'letmein'.

Mellon

De westpoort van Moria in de In de Ban van de Ring-trilogie was normaal gesproken gesloten voor mens en dwerg. De elven Celebrimbor en Navi bouwden een deur die onzichtbaar in de rots was verwerkt. Alleen in het licht van de maan was de inscriptie leesbaar: "De Deuren van Durin, Heer van Moria. Spreek, vriend, en treed binnen. Ik Narvi en Celembrimbor maakten deze tekens."

Met die informatie opende Gandalf de poort (na een suggestie van Merijn) door letterlijk 'vriend' uit te spreken, maar dan in elventaal Sindarijns, waar "mellon" het woord voor "vriend" is.

In de LotR-verfilming was deze scène ook meegenomen:

Swordfish

De naam verwijst niet naar die voor IT'ers tenenkrommende film, maar naar een beroemd wachtwoord. Het is oorspronkelijk afkomstig uit de komedie Horse Feathers uit 1932. Komiek Groucho Marx 'raadt' het wachtwoord ("het is de naam van een vis" - "is het Mary?") om een ondergrondse kroeg binnen te komen ten tijde van de drooglegging.

Sinds 1932 is het wachtwoord Swordfish groot geworden en duikt het als grap op in allerlei hoeken en gaten van onze cultuur. Je zag het in The Net, Harry Potter, Mad Men, Star Trek, die film die we proberen te vergeten, Scooby Doo, de lijst is lang. Het gebruik van 'Swordfish' is een cliché gewortden. De site TV-tropes, die clichés in de populaire cultuur verzamelt, noemt het gebruik van een voorspelbaar wachtwoord zelfs ThePassWordIsAlwaysSwordfish.

De sketch waar dit cliché mee begon.

Buddy

De toenmalige Amerikaanse president Bill Clinton toonde zich niet zo bekend met de regels van goed wachtwoordbeleid. In 2000 tekende de president voor het eerst een wet digitaal. Toepasselijk genoeg ging deze over het gebruik van elektronische handtekeningen, de Electronic Signatures in Global and National Commerce Act (E-SIGN).

Hij gebruikte daarvoor een smartcard die was versleuteld op basis van de naam van zijn hond, Buddy. Niet alleen is de naam van je huisdier wel erg makkelijk te raden, hij vertelde de aanwezige gasten en journalisten ook nog eens dát 'Buddy' het wachtwoord was. Gelukkig heeft hij de wet ook nog eens op de ouderwetse manier getekend - met een pen.

Xyzzy

Zeggen de volgende woorden je iets? 'You are in a debris filled room filled with stuff washed in from the surface. A low wide passage with cobbles becomes plugged with mud and debris here, but an awkward canyon leads upward and west.' Als het antwoord 'ja' is, verraadt dat waarschijnlijk je leeftijd, want dit is de eerste tekst die je ziet in Colossal Cave Adventure (eind jaren 70 populair) als je de grot betreedt en je de eerder meegenomen lamp ontsteekt.

In dat venster staat ook: 'A note on the wall says, "Magic word XYZZY."' Met de code XYZZY spring je terug naar die ruimte aan het begin van het spel waar je de sleutels, het water, het eten en de lamp moest pakken.

Op specifieke locaties brengt XYZZY je ofwel naar die ruimte, of naar de 'debris filled room', daarmee is de code een handig magisch woord om door de tekstgebaseerde adventure te navigeren. XYZZY werd wel eens als standaardwachtwoord gebruikt door admins die even een vlugge simpele credential wilden gebruiken.

Joshua

Hét voorbeeld van slecht wachtwoordgebruik zit in de geeky film WarGames uit 1983. Het personage van Matthew Broderick ontdekt een interessant computerspel op een server waarvan hij denkt dat het die van een gameproducent is. Maar eigenlijk is hij ingebroken bij het Amerikaanse ministerie van defensie, en wel het nucleaire commandosysteem van NORAD.

Hij ontdekt de naam van de maker van een van de 'spelletjes' en gebruikt vervolgens de naam van diens overleden zoon, Joshua, als wachtwoord in het defensiesysteem. Het spelletje blijkt een simulatie te zijn, waardoor ze bij NORAD denken dat de VS wordt aangevallen door de Russen en waardoor bijna de derde wereldoorlog begint.

WarGames heeft in elk geval bijgedragen dat het fenomeen backdoor bij een groter publiek bekend is.

Chuck Norris

Een anonieme Facebook-ontwikkelaar onthulde in 2010 dat er een masterwachtwoord was om alle Facebookpagina's in te komen. Dat wachtwoord was overigens niet breed bekend. Alleen een kleine groep van originele ontwikkelaars kende de backdoor, dus zelfs iemand die bij Facebook in dienst was kon niet zomaar in privépagina's van klanten komen.

Ze zei er ook bij dat twee werknemers de optie onheus hadden gebruikt om de gegevens van andere gebruikers aan te passen en zij werden prompt ontslagen. Het wachtwoord werkt inmiddels niet meer, maar is vervangen door een tool waarmee Facebook-werknemers in kunnen loggen op elke pagina - als ze daar een goede reden voor hebben.

Oh ja, het wachtwoord. Dat was een variant op Chuck Norris. Het befaamde wachtwoord was een combinatie van letters, symbolen en cijfers, waardoor je uiteindelijk 'chucknorris' zag staan.

00000000

Overal in de VS staan raketsilo's met kernwapens en in 1962 werden deze aan een gecentraliseerd autorisatiesysteem gekoppeld. Bij de overheid bestond de angst dat anders landen zo'n silo konden overnemen en de nucleaire wapens zich tegen de VS zouden kunnen keren. Voor autorisatie werd een achtcijferige code vereist en deze toevoeging werd overzien door de toenmalige minister van defensie Robert McNamara.

De top van luchtdefensie vond deze maatregel helemaal niks, want het betekende dat de reactietijd bij een eventuele aanval werd verlengd. Als generaals zelf raketten kunnen afvuren, hoeft er niet gewacht te worden op een groen licht van bovenaf en tijdens de Koude Oorlog-paranoia was dat een groot goed. Toen McNamara aftrad, grepen ze hun kans en werden de codes gereset. Vervolgens was de lanceercode bijna twintig jaar lang 00000000. Wat kan daar nou mis mee gaan?

Stanley Kubrick belichtte al eens de gevaren van door paranoia ingegeven autonomie als het gaat om kernwapens.

Tiger

Als je ooit met een Oracle-database hebt gewerkt, is de kans groot dat je het Scott schema bent tegengekomen. Dit is een demonstratiedatabase met een aantal tabellen (bijvoorbeeld EMP en DEPT) die ontworpen is door Oracle-legende Bruce Scott. Hij was een van de eerste werknemers van het databasebedrijf (de vierde zelfs) en heeft onder meer Oracle V1 medeontworpen.

Scott schema zat tot en met Oracle v8 standaard ingebouwd, vanaf de negende versie moet je hem erbij installeren. Het wachtwoord is weer zo'n standaardwachtwoord, maar dat is in dit geval niet erg, want het moet eenvoudig toegankelijk zijn en bevat geen bruikbare gegevens. Het wachtwoord van de demo is Tiger. Dat was de naam van de kat van Scotts dochter.

Z1ON0101

In het tweede deel van de Matrix-trilogie zit een stuk waarin personage Trinity een energiecentrale hackt. Het interessante van de scène is dat Trinity hier een daadwerkelijke SSH-kwetsbaarheid gebruikt. Deze is reeds gepatcht, maar aangezien The Matrix de tijd zo rond het einde van de twintigste eeuw zet, blijft het een leuk detail. En de hack is op deze manier al een stuk realistischer dan de meeste onzin die op het witte doek voorbij komt.

Via het gat reset ze het rootwachtwoord van het systeem. Dat nieuwe wachtwoord is Z1ONN0101, een verwijzing naar Zion, wat in de film het laatste bolwerk van de overlevende mensheid is na de vernietigende oorlog tussen mens en machine. Hè, alweer zo'n wachtwoord waarvan je zin krijgt een dvd uit de kast te trekken.

Trinity scant het netwerk met Nmap en gebruikt een SSH-exploit om het wachtwoord te resetten.

IAcceptTheRisk

In 1981 werd de Star 8010 geboren, het werkstation van Xerox. Het revolutionaire comnputersysteem was verdergebouwd op het eerdere Alto-prototype en was bedoeld voor bedrijven als onderdeel voor een vooruitstrevend documentbeheersysteem van computers die met elkaar waren verbonden via ethernet.

De Star bevatte een aantal interface-ideeën die veel later populair werden, zoals een GUI, een bitmapscherm en pictogrammen waar je op kon klikken. Als je adminfuncties wilde uitvoeren (bijvoorbeeld een recovery) dan moest je de helpcode 911 intoetsen met het wachtwoord 'IAcceptTheRisk'. Dat maakte het systeem niet alleen veiliger, het was ook een extra bevestiging dat de gebruiker wist wat hij deed en was op die manier een soort ad hoc ToS.

Sher

In de eerste aflevering van het tweede seizoen van de BBC-serie Sherlock, krijgt de beroemde detective een smartphone in handen met daarop compromitterende foto's van een lid van het koninklijk huis. Het enige probleem is dat er een vierletterig wachtwoord op zit, met de mededeling "I am locked", en dat hij maar drie pogingen heeft om deze te raden.

Het toestel is afkomstig van Irene Adler die bang is dat ze haar nieuwsgierigheid met de dood moet bekopen en het wachtwoord is dan ook een raadsel speciaal voor Sherlock. In de climax van het verhaal ontgrendelt Sherlock het toestel met Sher, als in "I am Sher Locked". Nu gebruiken tienduizenden hardcore Sherlockians dat wachtwoord natuurlijk op hun telefoon.

Sherlock Holmes weet welke vier letters tussen "I am" en "Locked" moeten staan.

Parc

Xeroc bouwde in het famueze en toen nieuwe Palo Alto Research Center (PARC) een kloon van DEC PDP-10, omdat DEC het bedrijf geen PDP-10 wilde verkopen. Dat werd de Multiple Access Xerox Computer (MAXC) die ze verbonden met het militaire netwerk Arpanet (waar in de jaren 80 ook een publieke versie van verscheen, waaruit internet zoals we het nu kende groeide).

Gasten konden inloggen op Arpanet via de MAXC met een gastaccount. Het wachtwoord daarvan was 'parc' (en soms 'maxc', omdat de twee wachtwoorden periodiek elkaar vervingen). Dat bewijst dat de ontwikkelaars bij Parc dan wel behoorlijk slim en vooruitdenkend waren, maar dat ze niet altijd even creatief waren.

12345

Dit is een befaamd (of eerder berucht) wachtwoord om meerdere redenen. Ten eerste is de versie met één cijder meer het sinds kort het meestgebruikte wachtwoord ter wereld. Daarmee heeft '123456' het veelgebruikte 'password' van de troon gestoten. De reden dat 123456 groter is dan 12345 ligt waarschijnlijk in het simpele feit dat de meeste plekken een wachtwoord van zes karakters vereisen. Ten tweede kennen veel mensen hem van de komedie Spaceballs als het wachtwoord tot het planetaire schildsysteem van Druida.

Ten derde was '12345' het wachtwoord van de Syrische president Assad, zo ontdekte hackers die zichzelf als Anonymous-leden omschreven toen ze in 2012 het account binnen hackten. De les is simpel. Gebruik 12345 gewoon niet meer. Of qwerty. Of iets anders wat erg voor de hand ligt.

Het domste wachtwoord allertijden.

173467321476c32789777643t732v73117888732476789764376

Als tegenhanger van dat laatste wachtwoord een wel een heel veilig wachtwoord, ware het niet dat juist deze enorm sterke string tegenwoordig op diverse plekken online terug te vinden is. Als je hem tegenkomt, weet je dat je te maken hebt met een Trekkie. In de TNG-aflevering uit het vierde seizoen 'Brothers' kaapt Data de Enterprise omdat hij wordt aangestuurd door zijn maker (spoilers) en schermt hij de besturingsfuncties af met een heel sterk wachtwoord.

Leuk detail overigens uit Nitpickers Guide for Next Generation Trekkers - Volume One: de computer noteert een andere string dan wat Data opgeeft: met een hardop uitgesproken drie die ontbreekt en een extra één op een plek waar de androïde 117888 zei, en niet one - one - seven - one - eight- eight- eight, zoals het scherm weergeeft. De oplettende kijker zal wellicht ook opmerken dat de code bestaat uit de buitenste ring cijfers op het numerieke toetsenbord, nooit terugspringend en dus alleen met de klok mee bewegend.

Wij kunnen een kleine commissie krijgen als je een aankoop doet via onze links, dit kost je verder niks extra's en is niet van invloed op onze journalistieke onafhankelijkheid.