Centric connect.engage.succeed

Goede wachtwoorden, slechte wachtwoorden

Geschreven door Randolph Widjaja - 24 november 2017

Randolph Widjaja
Eindgebruikers en wachtwoorden; het is nog altijd een actueel vraagstuk. Want hoe verzin je een wachtwoord dat niet bij de eerste de beste poging wordt gehackt? En moeten gebruikers nu wel of niet gedwongen worden hun wachtwoord periodiek te wijzigen en speciale tekens te gebruiken?

Verander je wachtwoord dagHackers proberen altijd bepaalde patronen te ontdekken. Zo kiezen gebruikers nog weleens wachtwoorden in combinatie met speciale tekens. Denk hierbij aan P@ssW0rd! en W3lc0m3. Dit zijn volgens de standaard security policies van Microsoft geldige wachtwoorden. En voor de eindgebruiker zijn ze ook nog eens makkelijk te onthouden. Het nadeel is alleen, dat kwaadwillenden ze al van mijlenver zien aankomen.

Wat ook niet goed werkt, is eindgebruikers opleggen periodiek hun password te laten wijzigen. Vaak wordt er dan namelijk maar één teken aangepast om het account weer te openen. Zo wordt Welkom1 als snel Welkom2 et cetera. Hackers herkennen deze patronen en programmeren hun software erop. Het is dan ook achterhaald om gebruikers te dwingen speciale tekens te gebruiken en hun passwords te vernieuwen. Zelfs Bill Burr, die deze policies ooit heeft verzonnen, heeft er nu spijt van.

Zinnen

Maar wat moet je als eindgebruiker dan doen om het hackers moeilijk te maken? Je zou ervoor kunnen kiezen om zinnen of meerdere woorden te gebruiken. Want hoe meer tekens je in een password verwerkt, hoe moeilijker het wordt voor de hacker om jouw password te raden. Je kunt in dat geval zelfs relatief eenvoudige zinnen gebruiken. Maar helaas kiezen mensen, vaak uit gemakzucht, al snel voor zinnen of woordcombinaties met patronen die hackers snel doorzien, bijvoorbeeld LetMeIn of SecretPassword. Het is dan ook verstandiger een zin of combinatie te kiezen die specifiek op je omgeving gericht is en wat je met een simpel ezelbruggetje terug kunt halen.

Pas de moeilijkheidsgraad aan

Een andere tip is: gebruik voor registratie op websites van bijvoorbeeld retailers als Albert Heijn en Jumbo een makkelijk te onthouden wachtwoordcombinatie en voor websites als DigiD een ingewikkeldere combinatie (of zin). Zo zorg je ervoor dat hackers niet direct je DigiD-wachtwoord hebben of raden, mocht een site als www.ah.nl gehackt worden.

Manager

Vind je het lastig om passwords te verzinnen? Dan kun je ook een passwordmanager gebruiken. De meeste passwordmanagers hebben een optie voor Single Sign-On integratie, zodat je op meerdere websites maar een keer een persoonlijk wachtwoord hoeft in te voeren. Goede apps op dat gebied zijn KeePass of Keepers.

Meer informatie

Voor meer informatie over welke patronen makkelijk te herkennen zijn, ga je naar Troyhunt. Kijk ook op Wachtwoordbewust voor meer tips over sterke wachtwoorden.

Over Randolph

Craft expert Randolph is onderdeel van het Team Cloud binnen Craft, hét groeiprogramma voor IT'ers (powered by Centric). Wil je zijn blog volgen? Schrijf je in voor de Craft-update.

Wil je meer weten over Craft? Lees meer over hét groeiprogramma voor IT'ers.

Tags:Cloud

     
Reacties
  • Centric
    Arnoud van Bokkem
    24 november 2017
    Leuk en relevant artikel, op verander-je-w8chtwoord-dag.

    Bij wachtwoorden denk ik direct aan "correct horse battery staple", een informatief stripje over de zin en onzin van wachtwoordregels: https://xkcd.com/936/. Ik vind het nog altijd een briljant concept, ook al zul je nu - met de huidige processorkracht - meer en/of langere woorden moeten gebruiken. Er zijn zelfs tools die dit soort wachtwoorden kunnen genereren, bijvoorbeeld
    http://correcthorsebatterystaple.net/. Maar ook voor wachtwoordmanagers bestaat vaak een plugin.

    Alleen jammer dat heel veel security policies dit soort wachtwoorden nog altijd niet goed vinden...
Schrijf een reactie
  • Captcha image
  • Verzenden