De man die bedacht dat een wachtwoord cijfers, hoofdletters en speciale tekens moet bevatten, heeft nu spijt van die aanbevelingen. In de Wall Street Journal excuseert hij zich aan iedereen die hij daarmee kopzorgen heeft bezorgd.
In 2003, toen Bill Burr werkzaam was bij het National Institute of Standards and Technology (NIST), schreef hij een document dat later zou uitgroeien tot de referentie voor beveiliging met wachtwoorden. In de tekst van acht pagina’s beschreef hij dat wachtwoorden hoofdletters, speciale tekens en cijfers moeten bevatten. Hij legde ook de eis vast dat wachtwoorden regelmatig moeten veranderd worden.
Nu Burr (72) op pensioen is, verontschuldigt hij zich daarvoor in een opmerkelijk interview in The Wall Street Journal. Hij geeft toe dat die richtlijnen destijds gebaseerd waren op weinig empirische data en dat hij onder druk stond om zijn paper snel af te werken. ‘Mensen worden zot van die regels en ze kiezen uiteindelijk toch wachtwoorden die gemakkelijk te kraken zijn’, vertelt hij.
‘W@chtw00rd!’
In juni publiceerde het NIST een nieuwe versie van het document, waarin nog weinig van de oorspronkelijk richtlijnen van Burr bewaard zijn gebleven. Zo eisen de nieuwe regels niet langer het gebruik van speciale tekens.
Experts wijzen er al langer op dat je beter een lang en gemakkelijk te onthouden wachtwoord kan gebruiken dan een kort wachtwoord met moeilijk te onthouden tekens. In een beroemde cartoon berekent Randall Munroe dat het wachtwoord ‘Tr0ub4dor&3’ kan gekraakt worden in drie dagen, terwijl voor ‘correcthorsebatterystaple’ 550 jaar nodig is.
De nieuwe richtlijnen van NIST stellen ook geen limiet meer aan de levensduur van een wachtwoord. Vorige week heeft securityonderzoeker Troy Hunt, de man achter de website Have I been Pwned, een nieuwe, doorzoekbare database van gestolen wachtwoorden online gezet. Zolang je wachtwoord daar niet in terug te vinden is, hoef je het niet aan te passen.
In de nabije toekomst zullen wachtwoorden meer en meer vervangen worden door biometrische controle, zoals vingerafdrukherkenning en irisscans.
