Je mag alles van me weten... behalve m'n wachtwoord!

Computergebruikers denken vaak dat hackers allerlei obscure bugs en achterdeuren proberen in de hoop ergens binnen te komen. Het verontrustende feit is echter dat het grootste deel van alle hacks mogelijk wordt doordat gebruikers eenvoudig te raden wachtwoorden gebruiken. Wie dus veilig wil surfen, doet er goed aan om er verzekerd van te zijn dat zijn wachtwoorden niet te raden zijn.

Het raden van iemands wachtwoord gebeurt meestal door een computerprogramma te voorzien van een grote lijst met mogelijke wachtwoorden en dit programma dan elk wachtwoord te laten uitproberen bij de server. In het simpelste geval is deze lijst een woordenboek, vandaar de term ``dictionary attack'' voor deze methode. Veel van deze woordenboeken zijn echter voorzien van varianten op woorden, met foutieve spelling, leestekens er voor of achter toegevoegd, en met bepaalde letters vervangen door cijfers.

Wanneer de hacker de persoon kent wiens wachtwoord hij wil achterhalen, zal hij ook meer persoonlijke woorden toevoegen. Voornamen, achternamen, meisjesnamen en geboortedata van familieleden zijn populair, maar ook nummerborden van auto's, termen uit het bedrijf waar de persoon werkt, woorden die voorkomen op of bij de computer, populaire TV-programma's en films worden vaak als wachtwoord gebruikt. En ook deze woorden achterstevoren geschreven, opzettelijke spelfouten en combinaties van meerdere geboortedata of nummerborden kunnen snel getest worden. Al deze woorden zijn dus sterk af te raden als wachtwoord. De tekst in het kader bevat een uitgebreidere lijst.

Inhoudsopgave

• Onzinnige zin
• Makkelijk te onthouden
• X7,[$a5
• Lekken van wachtwoorden
• VIJF TIPS voor wachtwoordbeheer
• Staat JOUW wachtwoord hier in... ?
• Links met meer informatie

Onzinnige zin

Een eenvoudige en toch krachtige manier om een niet te raden wachtwoord te maken, is het kiezen van een zin, liefst een beetje een onzinnige. Van elk woord kies je dan de eerste letter, leestekens blijven staan en bepaalde woorden vervang je door cijfers of andere tekens.

Zin afkorten

Een wachtwoord moet zo moeilijk mogelijk te raden zijn. Alles wat in een woordenboek staat, is eenvoudig te raden. Je kunt dus beter willekeurige tekens bij elkaar zetten. Alleen is dat weer erg lastig te onthouden. Een tussenoplossing is een onzinnige zin nemen en die afkorten. Een beetje fantasie is hierbij een vereiste.

Neem bijvoorbeeld de zin: ``Ongelofelijk, ik betaal hier geld voor?'' Met het bovenstaande recept, waarbij we het woord ``geld'' vervangen door een dollarteken, ontstaat het volgende wachtwoord: ``O,ibh$v?'' Knappe jongen die dat zomaar raadt, en toch is het makkelijk in te typen als je bij jezelf de zin zegt terwijl je hem intypt.

Veel servers accepteren geen wachtwoorden die langer zijn dan acht tekens. Dit beperkt de keuze voor een ``wachtzin'' tot korte zinnetjes. Het zal niet altijd meevallen om er een te kiezen waar een paar leestekens en andere vreemde tekens in verwerkt kunnen worden.

Naam van site gebruiken

Wanneer je veel wachtwoorden hebt, wordt het erg lastig om te onthouden welke zin of welke woorden je moet gebruiken bij welke site. Een handige truc is dan om een zin te kiezen waarin je ergens de naam van de site kunt verwerken. Hierdoor hoef je nog maar ééen zin te onthouden, en heb je toch een ander wachtwoord voor elke site. Het nadeel van deze methode is natuurlijk dat als een hacker een wachtwoord te pakken krijgt, en hij ziet dat er ergens de naam van de bijbehorende site in zit, hij meteen al je wachtwoorden weet.

Het is dus zaak om dit verwerken zo onopvallend mogelijk te doen. Je zou bijvoorbeeld de eerste en laatste letter van de naam van de site apart in de zin kunnen verwerken. ``Ongelofelijk, geld betalen voor Hotmail!'' wordt dan ``O,$bvHl!'' Het wachtwoord voor Demon zou dan worden ``O,$bvDn!''

Makkelijk te onthouden

Een andere bekende truc is het kiezen van twee woorden, met elkaar verbonden door een leesteken. Dit is nog steeds te raden, maar voor simpele wachtwoorden bij registraties van websites vaak veilig genoeg.

Door twee losse woorden aan elkaar te koppelen, is het wachtwoord niet meer te raden door simpelweg elk woord uit een woordenboek te proberen. De twee woorden kunnen het beste niets met elkaar te maken hebben. Bijvoorbeeld ``hardcore?bloembed''. Het voordeel van deze methode is dat de woorden zelf makkelijk te onthouden zijn, maar dat het resulterende ``woord'' niet voorkomt in welk woordenboek dan ook. Omdat de woorden niets met elkaar te maken hebben, is het resultaat zo gek dat je het makkelijker onthoudt.

Heel veilig is deze techniek niet. Allebei de woorden staan in het woordenboek, en er zijn maar een stuk of twintig leestekens. Met iets meer geduld is dit wachtwoord dus nog steeds te kraken. Maar voor een simpel wachtwoord bij een site die graag registratie wil (bijvoorbeeld om te mogen stemmen in een verkiezing) is dit een prima techniek.

X7,[$a5

Een echt goed wachtwoord is zo goed als willekeurig.

Om het een hacker zo moeilijk mogelijk te maken, is het het verstandigste om een volstrekt willekeurig wachtwoord te gebruiken. Dat wil zeggen dat er echt geen enkele manier is om een bestaande zin, woord of wat dan ook naar het wachtwoord te herleiden. Het wachtwoord ``X7,[$a5'' is hiervan een voorbeeld. Wie zulke wachtwoorden gebruikt, kan er in ieder geval zeker van zijn dat ze niet te raden zijn.

Inbelwachtwoord

Nu zullen de meeste mensen er veel moeite mee hebben om een dergelijk wachtwoord te onthouden, laat staan het een beetje snel in te typen. Zulke wachtwoorden zijn dan ook het meest geschikt voor inbelaccounts en mailservers. Het wachtwoord wordt dan door jouw computer verzonden, je hoeft het dan niet zelf in te typen. In dit geval is het overigens wel een goed idee om het wachtwoord ergens op te schrijven en dit goed op te bergen, zodat je na een crash alles weer in kunt stellen.

Opschrijven van wachtwoorden

Het opschrijven van wachtwoorden is erg verstandig, zeker voor wachtwoorden die je zelden zelf in hoeft te voeren. Een groot nadeel is dat de lijst nu gestolen kan worden, of dat iemand anders langs kan komen en de lijst in kan kijken. Het is dus zaak deze lijst zo goed mogelijk te beveiligen. Een palmtop of organizer is een goede plek, als je deze altijd bij je hebt en als deze beveiligd is met een wachtwoord.

Alle wachtwoorden op een kaartje schrijven en in je portefeuille bewaren is ook een oplossing. De kans op diefstal van een portefeuille is echter groter, maar de meeste dieven zullen eerder geinteresseerd zijn in de credit card of cheques dan in het wachtwoord voor je mailserver.

Lekken van wachtwoorden

Hoe veilig een wachtwoord ook is, het kan op straat komen te liggen. De meest voorkomende oorzaak is dat de site waar je het wachtwoord gebruikt, gehackt wordt. De lijst met wachtwoorden is dan vaak snel te achterhalen.

In principe is de site aansprakelijk voor de schade die je dan lijdt. Alleen is vaak moeilijk te bewijzen welke schade je hebt geleden. Hoe erg is het dat iemand kan inloggen op jouw account op een discussiefourm?

Er wordt gewerkt aan een 'datalekmeldplicht', waarmee sites verplicht worden je te informeren dat je wachtwoord (of andere data) gestolen is. Maar het zal nog wel even duren voordat deze van kracht is.

Om deze reden is het verder belangrijk om niet voor alle sites hetzelfde wachtwoord te gebruiken. Neem in ieder geval een ander wachtwoord voor belangrijke zaken zoals e-mail of Facebook dan voor simpele sites waar je je registreert (bv. een forum of receptensite). Zo kan een gestolen wachtwoord van dat forum niet worden gebruikt om je Facebook te hacken.

VIJF TIPS voor wachtwoordbeheer

1. Wijzig al je wachtwoorden regelmatig, bijvoorbeeld elke twee of drie maanden. Let er op dat het nieuwe wachtwoord echt verschilt van het oude, en niet bijvoorbeeld slechts op een ander cijfer eindigt.
2. Vertel nooit aan anderen wat voor manier je gebruikt om wachtwoorden te verzinnen. Onthul ook geen oude wachtwoorden. Hieruit kunnen anderen gemakkelijk afleiden wat je huidige wachtwoord is.
3. Gebruik nooit hetzelfde wachtwoord voor verschillende systemen, zeker niet als een van die systemen een Website is. Die wachtwoorden zijn veel kwetsbaarder dan de wachtwoorden van je inbelaccount.
4. Controleer regelmatig of je al je wachtwoorden nog weet. Dit is de beste manier om er voor te zorgen dat je niks vergeet.
5. Probeer wachtwoorden nooit in de buurt van je computer te bewaren. Vernietig brieven met wachtwoorden die je van je provider krijgt, nadat je het wachtwoord hebt ingevoerd.

Staat JOUW wachtwoord hier in... ?

Als jouw wachtwoord in de volgende lijst staat ...

• Voornaam/namen van jou of een familielid/vriend
• Achternaam van jou of een familielid/vriend
• Meisjesnaam van jou of een familielid/vriend
• Geboortedatum van jou of een familielid/vriend
• Je trouwdatum
• Nummerbord of naam/type van je huidige auto
• Nummerbord of naam/type van een eerdere auto
• Een woord dat op of bij je computer staat
• Naam van een school waar je op zit of hebt gezeten
• Naam van je werkgever
• Naam van een favoriet TV-programma of film
• Naam van een personage of acteur
• Term uit een (computer)spelletje
• Een woord uit een woordenboek (maakt niet uit welke taal)
• Naam van een tijdschrift of boek
• Een van de bovenstaande woorden, achterstevoren
• Een van de bovenstaande woorden, foutief gespeld
• Een van de bovenstaande woorden, met een cijfer of leesteken er voor of achter
• Een wachtwoord dat in een artikel over wachtwoorden is gegeven als voorbeeld

... dan is het zo geraden!

Links met meer informatie

• The passphrase FAQ (Engelstalig) Veel gestelde vragen over wachtwoorden, met uitgebreide antwoorden, tips en voorbeelden van goede en slechte wachtwoorden.
• Diceware: Met behulp van dobbelstenen en een woordenboek zelf moeilijk te raden wachtwoorden genereren.
• Uw nieuwe wachtwoord: "gemutileerde zeehond"

Gerelateerde artikelen

• REFERENTIE ONTBREEKT ()