Wachtwoorden moeten meer tekens krijgen. Een wachtwoord van zes tekens is binnen een paar minuten gekraakt. Beter is een wachtwoord van minimaal acht telkens of liever 26 tekens. Dit stelt Rob van der Staaij, adviseur bij Atos Consulting & Technology Services, in de Computable rondetafeldiscussie over cloudbeveiliging tijdens de InfoSecurity.
Tijdens de discussie werd gesproken over beveiliging van cloudomgevingen onder andere door het gebruik van wachtwoorden. Rob van der Staaij vindt dat it-afdelingen beter beveiligde wachtwoorden aan hun gebruikers moeten geven. ‘Neem een onkraakbaar wachtwoord met 27 tekens. Hoe langer het wachtwoord des te moeilijker het is om te kraken. Verzin een ezelsbruggetje om het wachtwoord te onthouden. Een wachtwoord van zes tekens is makkelijk te kraken. Neem een wachtwoord van minimaal acht tekens of liever nog meer.'
Andere deelnemers tijdens de discussie wezen Van der Staaij op de mogelijkheid dat werknemers geen lang wachtwoord willen. Ze kunnen ook korte wachtwoorden blijven gebruiken als ze een password manager of een token hebben. Of een pincode met een gebruikersnaam.
De Computable-Experts zeiden verder dat internetgebruikers een ander wachtwoord in cloudomgevingen moeten gebruiken dan op de pc thuis of op het werk. Van belang is wel het aantal wachtwoorden in de hand te houden. Gebruikers hebben soms wel tien wachtwoorden. Beter is om maximaal vier tot vijf wachtwoorden te gebruiken, aldus de experts.
Uitstekende expertsessie, die ook voor de minder deskundige bezoeker goed te volgen was.
Bij menigeen bekend:
http://xkcd.com/936/
Je kan dat systeem ook nog eens aanvullen door je basiswachtwoord aan te vullen met een of meer letters afgeleid van de site waarop je in moet loggen.
Dan voorkom je dat als je basiswachtwoord gecompromitteerd is je geen last hebt dat dit misbruikt kan worden voor andere sites.
Dat is in theorie natuurlijk leuk. In de praktijk gaan gebruikers hun wachtwoorden dan opschijven en op papiertjes onder hun toetsenbord leggen.
Ik ben het er wel mee eens dat een wachtwoord van 6 karakters wel erg klein is. 27 karakters is gewoon niet haalbaar in de meeste omgevingen.
Een wachtwoordlengte alleen is niet genoeg, het moet naast een minimum van 8 tekens ook sterk zijn, door het gebruik van hoofd en kleine letters, cijfers en andere tekens te verplichten.
@Peter, het is door de hacker makkelijk om het basiswachtwoord na compromittering te achterhalen. Zij hoeft alleen de letters van de site weg te halen.
Wachtwoorden moeten ook weer niet te complex worden, mensen gaan ze dan opschrijven. Iets wat voorkomen moet worden.
Inderdaad, het is ook nog veel veiliger om voor elk platform die gebruikt wordt verschillende wachtwoorden te gebruiken. Ik heb al zo’n 15 verschillende platformen waar ik een user id heb. Dan moet ik voor al die verschillende platformen dus ook 15 verschillende wachtwoorden hebben die ik allemaal moet onthouden…. eh, volgens mij heb je dan een ontzettend veilig systeem en geen gebruikers meer.
Wachtwoorden zijn nodig en moeten inderdaad ook veilig zijn, maar wachtwoorden die onbruikbaar zijn gemaakt door de lengte leiden weer tot onveilige situatie waar gebruikers hun wachtwoorden elders vastleggen (in agenda’s, met geeltjes in de bureaula, als je mazzel bent in een externe wachtwoordkluis, etc.) waar ze dan weer gestolen kunnen worden.
Theoretisch een juist verhaal, maar practisch slecht uitvoerbaar (zie inderdaad http://xkcd.com/936/).
Maar als het gekraakt is, dan ziet de hacker toch ook welke ‘structuur’ je hebt gebruikt? Is je ww bijv ‘Abcdefg01ggl’ voor je google site, dan is het echt niet moeilijk om te raden wat je ww is voor je YaHoo site.
En een ww van 27 letters is makkelijker mee te lezen dan een korte. Haal de helft van de letters er uit en nog kan je bedenken wat er tussen had moeten staan. J brpgt wlsrchk wl wt k bdl.
Zo zie je maar weer dat ELK systeem dat je bedenkt, zowel zijn sterkte kan zijn maar ook zijn zwakte is.
Mijn systeem? Neem een deel van een beroemde uitspraak van iemand en vertaal die naar een ww. Voorbeeld: “I have a dream that one day even the state of Mississippi will be transformed into an oasis of freedom and justice” wordt dan ‘Ihadt1detsoM’. Heel makkelijk te onthouden, heel moeilijk te raden. Neem dan niet steeds uitspraken van dezelfde persoon want dan wordt dat weer een zwakte in het systeem. Laat de site je hierin inspireren. 🙂
Je kunt natuurlijk wel eindeloos doorgaan met het ingewikkelder maken van wachtwoordbeveiligingen, maar er zijn grenzen aan wat je van een gebruiker kunt vragen.
In situaties waarin een redelijk eenvoudig wachtwoord als onvoldoende veilig wordt beschouwd moet je een andere beveiliging toepassen. Daar ligt m.i. de echte uitdaging: in het verzinnen van gebruiksvriendelijke beveiligingen, en niet in het verzinnen van nog meer en nog ingewikkelder wachtwoord-truuks.
Haha, 26 tekens. En dat niet kraakbaar?
04maart1982geboreninRotterdam
29 tekens, hoofd- en kleine letters en cijfers. Beetje cruncher trekt dat in een uurtje bruteforcen wel. En dan heeft de cracker nog niet de moeite genomen om even op Facebook te kijken bijvoorbeeld 🙂
Kansloze opmerking van iemand die beter zou moeten weten. En dan staat nog niet genoteerd dat het authenticatiesysteem dan wel meer dan 8 tekens moet slikken en niet afkappen… een bekend probleem met password-systemen. Cracked in 10 minuten als de kraker pech heeft.
Waarom pleiten mensen inderdaad niet vaker voor 2-factor?