Zijn we wachtwoorden verkeerd aan het aanpakken?
Minstens acht tekens, voeg er wat cijfers en leestekens bij, en vervang je wachtwoorden om de zoveel maanden. De regels die veel bedrijven en websites hanteren voor een veilig wachtwoord, komen steeds meer onder druk te staan.
Wie voor een groter bedrijf werkt met een security policy krijgt het mailtje om de zoveel tijd: ‘Uw wachtwoord vervalt binnenkort!’ Het geldt al jaren als ‘best practice’ dat je best vaak je wachtwoord vervangt, en dat ook redelijk complex moet maken, met een minimumlengte en een hoeveelheid speciale leestekens. Maar daar komt ook kritiek op, want geen enkele policy blijft in security jaren aan een stuk veilig. Ook deze kan ondertussen achterhaald zijn.
Zo’n 83% van de gekraakte wachtwoorden voldoet namelijk aan de gangbare regels voor complexiteit en lengte, moet blijken uit een onderzoek van securitybedrijf Specops. Het zijn dus lang niet alleen de mensen met ‘wachtwoord’, ‘hallo’ of ‘blackie’ die gehackt worden, maar ook degenen met ‘!wachtwoord123’, ‘halloapril2023?’ of ‘(blackie47)’
De menselijke factor
Het probleem, zo redeneert het rapport, kan zitten in een combinatie van regels en de menselijke factor. Wat gebeurt er als je elke drie maanden een nieuw wachtwoord met specifieke vereisten moet maken, dat je ook nog eens moet onthouden? Dan komen de meeste mensen met een ‘systeem’. Een of andere combinatie van een kernwachtwoord met daar voor en na de nodige cijfers en leestekens om aan de regels te voldoen. En dat kernwachtwoord verandert dan elke paar maanden lichtjes . Meestal wordt dat systeem dan ook nog eens uitgebreid naar de 35 andere diensten en apps met gelijkaardige wachtwoordregels, zoals je webmail en sociale media-accounts.
En cybercriminelen weten dat ook. Specops meldt dat zij nu steeds vaker ‘woordenboekaanvallen’ gaan gebruiken, waarbij ze niet via brute kracht alle mogelijke iteraties van cijfers, letters en leestekens moeten gebruiken, maar zich concentreren op die kernwoorden, met voorspelbare cijfers en leestekens voor en na. Op die manier kunnen ze sneller dat type wachtwoord kraken.
Achterhaald
De standaardregels die momenteel nog vaak worden gebruikt, werden opgesteld door Bill Burr, een medewerker van het Amerikaanse nationale instituut voor standaarden (NIST) in 2003. De man heeft zich daar ondertussen voor verontschuldigd, maar echt mis had hij het op een technisch vlak nu ook weer niet.
Voor de duidelijkheid: lange, complexe wachtwoorden zoals degene die door een wachtwoordmanager worden gegenereerd zijn een pak moeilijker te kraken dan minder complexe wachtwoorden. Het is maar wanneer je gevraagd wordt om elke ochtend ‘5m6zPYBls@j4’ in je laptop in te tikken om aan het werk te gaan, dat het lastig wordt voor de gebruiker. Meerdere studies hebben ondertussen geleerd dat voor gebruikers het creëren van complexe, lange wachtwoorden die je ook kan onthouden frustrerend is, wat mogelijk bijdraagt tot minder secure wachtwoorden en systemen met geheugensteuntjes.
Wat doe je dan wel?
Het is om die reden dat hetzelfde NIST in 2020 overigens nieuwe regels heeft uitgevaardigd. Die baseren zich op zo’n twintig jaar extra ervaring met wachtwoordgebruik en vragen onder meer om niet langer op regelmatige basis wachtwoorden te vervangen (tenzij er een breach is geweest waarbij mogelijk wachtwoorden werden buitgemaakt, uiteraard).
Verder raadt NIST ook aan om de complexiteitsvereisten te schrappen, ten voordele van lengtevereisten. Het idee is hier dat het makkelijker is een wachtwoord van minstens twaalf letters te verzinnen en onthouden. Standaard is dat dan bijvoorbeeld een zin. Dat wachtwoord moet dan wel gescreend worden op vaak gebruikte termen in een woordenboek, en tegen een lijst met al gekraakte wachtwoorden.
Voor bedrijven en organisaties die de mogelijkheid hebben, zijn er ondertussen uiteraard ook systemen zoals wachtwoordmanagers en, vooral, meerstapsverificatie, die een veiliger alternatief bieden. Maar om bestaande software te beveiligen is een nieuwe wachtwoordrichtlijn misschien aan de orde.
Fout opgemerkt of meer nieuws? Meld het hier