Wachtwoorden maken deel uit van het digitaal leven. En dat zal voorlopig zo blijven. Tweeweg authenticatie is een noodzakelijke aanvulling. Hoe ziet het ideale wachtwoord eruit? “Minstens twaalf of twintig karakters, inclusief complexe tekens”, stelt Jelle Wieringa meteen. Hij is Security Advocate bij awareness-specialist KnowBe4.
Het verschil tussen twaalf of twintig karakters verklaart Wieringa uit de oorsprong van het wachtwoord: bedacht door een computer of door een mens. Een machine is in staat een ingewikkelder (dus lastiger te kraken) leus te verzinnen, waardoor je toe kunt met minder tekens. Vergelijk het machinale ]}7Y?@w@?)Nmt4h7 met het menselijke RogerisaG0on. Allebei twaalf (afwisselende) tekens, maar je ziet meteen dat kwaadwillenden moeite zullen hebben met de eerste wapenspreuk en vrij eenvoudig de tweede kunnen bedenken.
“Er zijn tal van methoden om wachtwoorden te achterhalen”, vertelt Wieringa. “Social engineering bijvoorbeeld. Berichten rondsturen met een boodschap dat iemand zijn wachtwoord moet geven om dringende redenen die vaak logisch klinken. Er hoeft er maar een te zijn in een bedrijf die daarin trapt en een cybercrimineel wandelt het netwerk binnen. In dit geval maakt het natuurlijk niet uit hoe ingewikkeld het wachtwoord is. Het onderstreept wel dat multifactor authenticatie standaard zou moeten worden toegepast: wachtwoorden in combinatie met een aanvullende identificatieplicht.”
Maar niet elke digitale kraker heeft de inspanningen van social engineering ervoor over om de toegangscodes te achterhalen. “Die gaat gissen. Natuurlijk niet handmatig, daar zijn – vrij verkrijgbare – softwareprogramma’s voor. Die halen de combinatie van gebruikersnaam en mogelijk wachtwoord door de mangel tot de juiste eruit rol. Duizenden per seconde. En natuurlijk is er een levendige handel van achterhaalde combinaties.”
Bedacht op hashes
Veel systemen (zoals Windows) vertalen de natuurlijke taal waaruit een wachtwoord bestaat naar een versleutelde versie, een hash. “Dit lijkt een veilige oplossingen, maar je moet bedacht zijn op hashes. Die worden namelijk ook gekraakt. Er zijn tientallen hash-krakers beschikbaar op internet.”
“Tenzij je je zorgen maakt over een aanvaller als staats- of bedrijfsspion wordt algemeen aangenomen dat wachtwoorden met een normale complexiteit ten minste twintig tekens lang moeten zijn om de aanvallen van gewone tegenstanders te weerstaan. En als je bang bent voor een tegenstander met meer middelen, gebruik dan wachtwoorden van minimaal dertig tekens.”
Volgens Wieringa blijkt uit de vele praktijktesten dat een door mensen bedacht wachtwoord van minstens twintig tekens nauwelijks is te kraken.
Misschien wel met quantum computers vanwege hun specifieke rekenkracht. “Het is belangrijk te beseffen dat quantum computers niet nodig zijn om de meeste wachtwoordaanvallen uit te voeren. Het is zeer, zeer, zeer onwaarschijnlijk dat iemand binnenkort gecompromitteerd wordt door een quantumcomputer”, meent Wieringa.
Wachtwoordloos
Wachtwoorden moeten dus uniek zijn, een zekere lengte en complexiteit hebben en aangevuld worden met MFA. Een beetje websurfer heeft er dan al gauw tientallen. Wieringa raadt dan ook aan een wachtwoordmanager te gebruiken. “Dan hoef je maar één wachtwoord te onthouden. De manager handelt de rest af.”
Zijn we niet beter af zonder al dat gedoe met wachtwoorden? “Die mogelijkheden bestaan, waarbij het wachtwoord bijvoorbeeld door een pin is vervangen. Maar ook codes zijn te achterhalen”, reageert Wieringa. “Als je kijkt naar de enorme hoeveelheid wachtwoorden die de gemiddelde persoon nog steeds gebruikt, zal een wereld zonder wachtwoorden ofwel nooit gebeuren, ofwel op zijn minst tien jaar of langer op zich laten wachten. De conventionele wijsheid van vandaag is dat multi-factor authenticatie (MFA) moet worden gebruikt waar mogelijk om logins beter te beveiligen totdat iets geavanceerders, zoals zero-trust beveiligingsarchitecturen, op schaal kan worden geïmplementeerd om wachtwoorden voor altijd te vervangen. Inmiddels gaat wachtwoordloos nu te traag en in tussentijd zullen criminelen al een omweg hebben bedacht.”
Wie zich wil verdiepen in zinvol gebruik van wachtwoorden kan het e-book ‘What Your Password
Policy Should Be’ van KnowBe4 downloaden.