Het wordt vaak benoemd in veiligheidsadviezen, zo ook in meerdere artikelen op deze site, gebruik sterke wachtwoorden! Hoe weet ik nu wat sterk genoeg is?
Uiteindelijk is dat een wiskundig vraagstuk, voor de geïnteresseerden, lees dit artikel: http://securitymusings.com/article/3732/the-math-behind-passwords
Echter, dat is geen praktisch advies over het maken van goede wachtwoorden.
Om de wachtwoorden veilig te kunnen toetsen kunnen we een wachtwoordkluis zoals Keepass gebruiken. Dit programma geeft namelijk feedback op ingevoerde wachtwoorden en belangrijk daarbij is dat de wachtwoorden de PC niet verlaten. Er zijn een aantal malafide sites die zich voordoen als wachtwoord checkers maar je wachtwoord direct vastleggen, pas dus op met online tools .
Kies voor het toevoegen van een entry in de wachtwoordkluis zodat we de ingebouwde kwaliteitsmeting kunnen gebruiken. In Keepass wordt een wiskundige achtergrond gebruikt om te bepalen hoe eenvoudig of moeilijk een wachtwoord te kraken is.Daarvoor wordt de term Entropie als “maat van wanorde” toegepast en uitgedrukt in een aantal bits.
- 0-64 bits is Zeer zwak
- 64-80 bits is Zwak
- 80-112 bits is Gemiddeld
- 112-128 bits is Sterk
- ≥ 128 Zeer sterk
Om te laten zien hoe eenvoudig of moeilijk een wachtwoord te kraken is volgens de wiskunde, heeft Keepass een kwaliteitsmeter ingebouwd. Het wachtwoord “geheim” is zeer zwak, 6 karakters lang en heeft een lage Entropie van 12 bit
Als we het wachtwoord langer maken dan neemt de entropie snel toe, het onderstaande wachtwoord “informatiebewust” is 16 karakters lange en heeft 53 bit aan Entropie. De lengte van een wachtwoord is dus uitermate belangrijk voor de sterkte.
We kunnen op eenvoudige wijze hier nog een veel sterker wachtwoord van maken, door gebruik te maken van een zogeheten “pass phrase” oftewel een wachtwoordzin. Het wachtwoord is 28 karakters lang, bevat hoofd- en kleine letters, leestekens en daarmee is de Entropie nu toegenomen tot 122 bit. Een mooie stap vooruit en heel belangrijk relatief gemakkelijk te onthouden en in te typen.
Het kan nog een stapje beter en daarvoor gebruiken we de optie om een wachtwoord te genereren.
Daarmee bereiken we bij een gelijk blijvend aantal karakters van 28 nog een hogere Entropie van maar liefst 166 bit. Het wachtwoord is echter niet meer te onthouden en eenvoudig in te typen. Hier zien we dus duidelijk dat er een wisselwerking is tussen veiligheid en bruikbaarheid.
Valkuilen
Maximale wachtwoordlengte beperkt
Wat we nog wel eens zien op het Internet is dat wachtwoorden een maximale lengte van 8, 10, 12 of 16 karakters hebben.. Let daar goed op bij het aanmaken van een wachtwoord op een site.
Spaties niet toegestaan
Ook komt het voor dat een wachtwoord geen spaties mag bevatten, daarmee wordt het gebruik van “pass phrases” onmogelijk tenzij je de spaties door een vervangend karakter vervangt (in de hoop dat die wel zijn toegestaan)
Sites die wachtwoorden onzorgvuldig opslaan
Waar ik me nog wel eens over verbaas is dat anno 2016 er nog steeds organisaties zijn die wachtwoorden niet versleuteld opslaan. Dat heeft tot gevolg dat als er ingebroken wordt in een systeem de inloggegevens direct op straat liggen. Of site dit doet kunt u eenvoudig controleren. De meeste site hebben allemaal een “wachtwoord vergeten” knop. Als u die gebruikt en u ontvangt in de email uw zelf ingegeven wachtwoord dan worden deze niet versleuteld! Het is beter om een tijdelijk wachtwoord te ontvangen of nog beter een reset link met beperkte geldigheid. Dit vanwege het feit dat het gebruik van email niet 100% veilig is in transport, daarover later meer in een ander blog.
