Natuurlijk is er altijd het compromis tussen veilig en gemakkelijk. De beste, veiligste wachtwoorden zijn door gewone mensen niet te onthouden. Dus schrijven die hun complexe, sterke wachtwoord op een geel plakbriefje, dat ze aan hun monitor hangen. En een goed te onthouden wachtwoord is te makkelijk en dus zo te kraken, of simpelweg te raden. Het is zaak om een goede balans te vinden, op basis van deze vuistregels.

1: Lengte telt

Een goed wachtwoord is tenminste 8 tekens lang. Elk aanvullend teken maakt het kraken exponentieel moeilijker. Dit is natuurlijk, net zoals bij bijna alle security-zaken, een kwestie van tijd. Processors worden sneller en multicore, grafische kaarten zijn te programmeren en door hun ontwerp erg goed in staat parallelle rekentaken te doen zoals wachtwoordkraken. In de Verenigde Staten heeft de Georgia Tech-universiteit afgelopen zomer slechts twee uur nodig gehad om een 8-tekenwachtwoord te kraken.

De oplossing is simpel: langere wachtwoorden. Dat hoeft niet eens heel veel langer te zijn. Een wachtwoord van 12 tekens kost met een ‘brute force’-aanval ruim 17.000 jaar om te kraken, aldus de onderzoekers van Georgia Tech. Een wachtwoord van maar 11 tekens zou ‘slechts’ 180 jaar kosten om te kraken met snelle systemen, zoals de grafische processors (gpu’s) op moderne videokaarten.

Beter nog is een wachtwoordzin, zegt beveiligingsexpert Frank van Vliet, van Certified Secure. Dat is én lang én voor een mens goed te onthouden. "Als je een goed wachtwoord kiest met een zinnetje is de beveiliging zodanig dat je er bijvoorbeeld duizend jaar mee bezig bent om van een versleutelde versie in de database terug te rekenen naar wat het wachtwoord was”, vertelt hij aan Webwereld. “En duizend jaar is toch best een acceptabele tijd."

2: Kleine letters én hoofdletters

Een ander belangrijk element is het gebruik van hoofdletters én kleine letters: zogeheten case sensitive wachtwoorden. Dat scheelt namelijk een factor 2 per teken. Dus bij een wachtwoord van (slechts) 8 tekens zorgt gebruik van hoofd- en kleine letters ervoor dat het 256 keer veiliger is. Een standaardadvies van bijvoorbeeld banken is dan ook om zowel hoofdletters als kleine letters te gebruiken. Een inlogsysteem moet daar dan natuurlijk wel ook gebruik van maken.

Van Vliet relativeert tegenover Webwereld de grotere veiligheid van case sensitive wachtwoorden. "Ter vergelijking: als je een extra teken toevoegt aan je wachtwoord wordt het een factor 40 veiliger. Als ik gewoon technisch kijk heeft het dus zeker wel invloed, maar is het minimaal."

3: Cijfers en tekens

Het Amerikaanse zakenblad Business Week ziet dat toch anders. Het kraken van een 8-teken wachtwoord met alleen kleine letters kost 4 dagen, maar met ook hoofdletters drie jaar. Vul een 8-teken wachtwoord met ook nog eens cijfers en symbolen en dan lukt kraken pas na zo’n 463 jaar.

Ook het gebruik van cijfers, naast hoofd- en kleine letters maakt wachtwoorden sterker en dus veiliger. Doe dat overigens niet simpelweg ter vervanging van letters; het zogeheten l33tsp34k (leetspeak). Want ook voor dat ‘dialect’ bestaan er digitale woordenboeken om ‘brute force’-hackaanvallen sneller mee te ondernemen. Hoewel eenvoudige lettervervanging door cijfers het kraken toch wel wat bemoeilijkt. Zie deze vergelijking, weliswaar stammend uit juli 2009 dus neem de genoemde tijden met een korreltje zout: computerhardware is sindsdien flink krachtiger.

En naast hoofdletters en cijfers zijn er natuurlijk nog de aparte tekens. Gebruik daarvan maakt een wachtwoord weer wat veiliger. Denk aan de tilde (~), het uitroepteken, (al dan niet vierkante) haakjes, het dollarteken, enzovoorts. Let wel op: bij veel computersystemen zijn bepaalde tekens weer niet toegestaan, omdat die bijvoorbeeld commando’s kunnen zijn. Dit zijn vaak spaties, apenstaartjes (@), het vraagteken, de dubbele punt en vraagtekens.

4: Niet te raden

En natuurlijk, de meest voor de hand liggende vuistregel: neem als wachtwoord niet iets wat makkelijk is te raden. Zoals je achternaam, je login-id, de naam van je hond, je geboortedatum, of andere zaken die met wat speurwerk zijn te achterhalen. Of zaken die je zelf domweg de wereld in schreeuwt door ze op je Facebook-profiel prominent te noemen.

Het lijkt overbodig, maar gebruik ook niet gebruikersnamen als Administrator of admin, en wachtwoorden als password, 123456, changeme, of abc123. Klinkt belachelijk? Nou, deze open deuren stonden in november 2009 nog in de top 10-lijsten van echt in de praktijk geprobeerde combinaties bij hackaanvallen. Blijkt uit een toen maandenlang lopend analyseproject van Microsoft.

Deze basisregel van niet-raadbare wachtwoorden (en accouontnamen) geldt natuurlijk niet alleen voor het wachtwoord zelf, maar ook voor het antwoord op de ‘geheime vraag’ waarmee het wachtwoord valt te resetten. Maar al te vaak is dat een vraag die op de persoon zelf slaat, over wie veel informatie online is terug te vinden. Bovendien is die info vaak door de gebruiker zelf gepost.

Verzin en test

Goed, nu een veilig(er) wachtwoord verzinnen en eens testen. Bijvoorbeeld bij Microsoft, hoewel de password checker van dat softwarebedrijf ‘administrator’ een medium veilig wachtwoord vindt en ‘Administrator’ een sterk wachtwoord. En het beste is ‘AdministratorAdministrator’. Hm. Gelukkig neemt Microsoft nog een slag om de arm: “Dit geeft geen garantie voor de veiligheid van het wachtwoord. Dit is alleen voor je persoonlijke referentie.”