We kunnen allemaal de basics: gebruik "wachtwoord" niet als wachtwoord, gebruik verschillende credentials voor verschillende accounts en stel 2FA in waar mogelijk en gebruik een wachtwoordbeheerder om al die verschillende accounts uit elkaar te kunnen halen.

Sommige adviezen klinken heel plausibel, maar zijn vooral zinvol in de juiste context - niet in alle situaties. En sommige adviezen zijn simpelweg niet gebaseerd op wat er werkelijk aan de hand is. Hier volgen vier veelgehoorde mythes over wachtwoordbeveiliging met uitleg over wat er schort aan het advies.

Mythe 1: Je moet speciale en verschillende tekens gebruiken

Waar: Er is een grens aan hoeveel extra beveiliging je krijgt met complexe wachtwoorden met hoofdletters, speciale tekens en cijfers. Ja, "wachtwoord" is slecht, maar een complexere vorm als "wAchtw00rd!" is niet veel beter, ondanks de mix van tekens die wordt afgedwongen door veel systemen die eisen stellen voor zulke tekens.

Het is altijd een slecht idee om wachtwoorden te baseren op gewone woorden. Tools van aanvallers itereren niet alleen door het woordenboek, maar ook door dezelfde lijsten met aangepaste tekens. "Kwetsbaar" is net zo kwetsbaar als "Kw3tsbAaR", omdat deze variant ook in de lijst staat. Vaak blijkt een hoofdlettereis ertoe te leiden dat vooral de eerste en/of de laatste letter als hoofdletter worden geschreven.

Qua pure brute force is een complex wachtwoord veel beter dan eentje met alleen kleine letters. Het duurt met een moderne computer ongeveer twee dagen om een wachtwoord van 8 tekens te kraken (26^8, oftewel 208.827.064.576 mogelijke combinaties) maar een botnet doet hetzelfde in 1,8 seconden. Meer mogelijke combinaties met alternatieve tekens vertraagt het proces en een speciaal teken of twee verhoogt de mogelijke combinaties.

Dat geldt alleen niet als de gebruikte string niet willekeurig is. In de top 25 van meestgebruikte wachtwoorden in gelekte databases doken "1qaz2wsx" en "1q2w3e4r" op. Dat zijn duidelijk patronen linksboven in een querty-indeling die voldoen aan een aantal eisen, maar dus overduidelijk niet vrijgewaard zijn van kraken. De kraaktools kennen deze patronen ook en ze zijn toegevoegd aan de hashlijsten die ze gebruiken om wachtwoorden op te sporen.

Mythe 2: Een goed wachtwoord is lang

Waar: langer is beter, maat acht tot twaalf tekens kan al toereikend zijn. Deze mythe is niet verkeerd, omdat - zoals we net zagen - kortere strings minder tijd kosten om te kraken dan langere. Een complexe string van 8 tekens met verschillende tekencombinaties duurt op een moderne computer 5,9 jaar om te kraken, maar 31 minuten in een botnet.

Het verhogen van het aantal van 8 naar 10 zorgt ervoor dat een botnet 83 dagen nodig heeft. Een wachtwoord van 10 tekens met willekeurige letters, cijfers en symbolen kan tot drie jaar duren om te kraken via een botnet. Je hoeft niet eens afwijkende tekens te gebruiken: een willekeurige string van letters zonder hoofdletter van 40 tekens duurt met de huidige capaciteit meer dan 1000 jaar om te kraken. Dus het is duidelijk beter om een lang wachtwoord te gebruiken, dus we moeten lange wachtwoorden afdwingen.

Ho, niet zo snel. Welk probleem pakken we hiermee aan? Als de grootste dreiging is dat iemand aan de haal gaat met een database van wachtwoordhashes dan zijn complexe wachtwoorden de oplossing. Maar het gemiddelde bedrijf heeft meer te duchten van phishing en wachtwoordrecycling en in dat geval maken complexiteit en lengte niet uit.

Als een aanvaller reeds de bedrijfswachtwoorden heeft uit een gehackte LinkedIn-database of via een succesvolle phishingaanval, maakt het niet uit of je "wachtw00rd" of "dw_o381kfOPnaXdw;[email protected]@ellakdlkhwd" hebt gebruikt. De aanvallers hoeven alleen maar te knippen en te plakken. Als werknemers worden verplicht 40 tekens te gebruiken en geen wachtwoordbeheerders hebben, gaan ze gegarandeerd dezelfde string op meerdere plekken gebruiken.

Ook is het belangrijk om te kijken naar wát je beschermt. Iets met weinig risico, misschien de lokale bieb, zijn wachtwoorden van 8 tekens duidelijk genoeg. Iets dat je hele financiële geschiedenis bevat heeft een complexer, langer wachtwoord nodig. Security draait altijd om het zoeken naar de juiste maatregel voor de juiste toepassing.

Nog een probleem: wachtwoorden worden zo ingewikkeld voor de meeste gebruikers, dat sommige de 'wachtwoord vergeten'-optie gebruiken en dan het wachtwoord resetten via geheime vragen. En het is zoveel makkelijker voor een aanvaller om te achterhalen hoe je eerste huisdier heette of wat de meisjesnaam van je moeder is dan om een wachtwoord te raden.

Mythe 3: Schrijf wachtwoorden niet op

Waar: Het gaat meer om hoe je het doet. Wachtwoorden opschrijven is in principe een heel slecht idee. Schrijf het niet op een post-itje om aan je beeldscherm te hangen. Maar een lang, complex wachtwoord opschrijven omdat het even duurt voor de string in je motorisch geheugen zit, is in de regel geen groot probleem.

Dat geldt wellicht zelfs voor de verfoeide wachtwoordenschrijfboekjes. Ja, al je wachtwoorden zijn op één plek, maar in ieder geval op één plek waar een aanvaller op afstand niet bij kan. We zullen nooit aanraden om zulke overduidelijke wachtwoordsteuntjes te gebruiken, maar lastige woorden opschrijven en secuur bewaren is verre van het grootste probleem met wachtwoorden. Ook is het handig om belangrijke wachtwoorden bijvoorbeeld in een geldkistje te bewaren zodat je familie of vrienden er bij kunnen als je bijvoorbeeld een ongeluk hebt gehad.

Mythe 4: Wachtwoordwijzigingen verbeteren beveiliging

Waar: Dit beleid werkt in de praktijk averechts, want het maakt het waarschijnlijker dat gebruikers zwakke wachtwoorden kiezen. Een wachtwoordreset is uiteraard op z'n plek bij het vermoeden van phishing of een ander security-incident, maar het routinematig om de X maanden een wachtwoord wijzigen blijkt niet zo zinvol.

Gebruikers kiezen voor "wAchtwoord21" en "wAchtwoord22" bij deze verplichting. Als reactie dwongen systemen gebruikers om te kiezen voor wachtwoorden die niet leken op de vorige, maar dat leidde ertoe dat werknemers sneller kiezen voor woordenboekwoorden met een teken hier of daar om te voldoen aan de wachtwoordeisen.

De huidige richtlijnen van NIST zeggen dat wachtwoorden minder complex gemaakt moeten te worden, omdat uitgebreide eisen gebruikers in de weg staan om hun werk te doen en ondersteuningskosten verhogen (vanwege tickets van personeel dat het wachtwoord is vergeten). Het idee van wijzigingen klinkt goed, maar in de praktijk leidt het tot slechtere wachtwoordhygiëne.

Het bedenken van goede wachtwoorden is natuurlijk maar een klein onderdeel van algehele computerbeveiliging, lees daarom ook: Zo timmer je Windows 10 Creators Update dicht Wil je weten hoe lang het duurt voordat jouw eigen wachtwoord gekraakt is? Lees dan: Zo lang (of kort) duurt het om je wachtwoord te kraken