Veilige wachtwoorden: kort en moeilijk of lang en makkelijk?
Wanneer je je mails checkt, als je iets bestelt op Coolblue.be en zelfs bij het inschrijven voor een groepssessie in de fitness; om de haverklap wordt er naar je wachtwoord gevraagd. Vaak staat er dan nog bij dat je wachtwoord minstens meerdere cijfers, (hoofd)letters en speciale tekens moet hebben. Maar even eerlijk, wie onthoudt er nu “j!l_U-7_k.cr”? Het komt dan ook niet als een verrassing dat het vaakst gebruikte wachtwoord simpelweg “123456” is. Het spreekt voor zich dat dergelijke wachtwoorden sneller gehackt worden. Maar geen zorgen; voor iedereen die op zoek is naar makkelijke en veilige wachtwoorden… Het is mogelijk, en zelfs makkelijk!
“Wachtwoord” als wachtwoord
We kiezen logischerwijze meestal voor een wachtwoord dat we makkelijk onthouden. Vaak gebruiken we verjaardagen, (familie)namen of simpele toetsenbordcombinaties zoals “azertyuiop”. Maar zulke wachtwoorden zijn makkelijk te raden door mensen met kwade intenties. Persoonlijke informatie is namelijk snel te vinden op het web, en er bestaan uitgebreide lijsten met veelvoorkomende wachtwoordcombinaties.
Daarnaast, stelt Microsoft, heeft de gemiddelde persoon maar liefst 25 online accounts waar die gemiddeld 6,5 verschillende wachtwoorden voor gebruikt. Dat wil dus zeggen dat het grootste deel van de mensen één en dezelfde sleutel gebruikt voor meerdere digitale deuren. Dat maakt het risico bij een simpel wachtwoord nóg groter. Als iemand het wachtwoord van je (onschuldige) bibliotheekaccount kraakt, kan hij in no time in je mailbox geraken en zo wachtwoorden van andere websites opvragen en/of aanpassen. En dat wil je natuurlijk te allen kosten vermijden.
Hoe breek je een wachtwoord?
Zoals hierboven al vermeld, worden veel paswoorden geraden door wachtwoord-krakers, ook wel crackers genoemd. Veel mensen gebruiken immers simpele toetsencombinaties of persoonlijke informatie die makkelijk te vinden is op het web. Ook worden veel wachtwoorden buit gemaakt door middel van phishing. Dat is eigenlijk simpelweg om je wachtwoorden vragen, via mail of aan de telefoon. Kwaadwilligen doen zich vaak voor als iemand anders (bijvoorbeeld als een medewerker van de bank of lees hier het recente voorbeeld van Combell zelf) en hopen op die manier aan je persoonlijke gegevens te raken. Jammer genoeg werkt die truc nog vaak.
Maar naast het simpelweg raden en vragen van wachtwoorden, hebben die zogenaamde crackers ook andere manieren van aanvallen. Zo kan je paswoord ook makkelijk geraden worden via een brute force aanval. Dan schakelen ze een automatisch script in dat eindeloos probeert in te loggen via verschillende tekenvariaties. Als je wachtwoord bijvoorbeeld “ben” is, zal het script eerst proberen in te loggen met “aaa”, dan “aab”, “abb” enzovoort. Op die manier zit je al snel bij “bel”, “bem” en “ben”. BINGO! Je wachtwoord is eraan voor de moeite. Deze tactiek wordt ook toegepast bij dictionary- en common word attacks. Zoals de termen al verraden, wordt er dan gebruik gemaakt van een lijst met vaak voorkomende woorden, of zelfs heel het woordenboek, waarmee dat script dan probeert in te loggen.
LEES OOK: Brute force attack: zo verzet je je ertegen
Z0rG v00r 33n vE1l1g w8wQQrd
Maar wat zijn dan de veilige wachtwoorden die optimaal bestand zijn tegen krakers? Meerdere experts zijn ervan overtuigd dat de meest veilige wachtwoorden bestaan uit zowel kleine- als hoofdletters, cijfers en speciale tekens. Daarnaast moet het nog eens minimaal 8 tekens lang zijn. Om je een ideetje te geven: “D(9_*!3N” zou dus een goed wachtwoord moeten zijn. Volgens Gibson Research Corporation zou dit wachtwoord 2,13 duizend eeuwen stand houden, als men probeert te kraken met een snelheid van 1,000 inlogpogingen per seconde. Klinkt wel veilig! Maar wie onthoudt “D(9_*!3N” überhaupt? Veel surfers moeten dit wachtwoord gegarandeerd ergens neerschrijven, wat op zich ook weer zorgt voor meer risico’s.
Tip: test je eigen wachtwoord eens met de handige rekentool van Gibson Research Corporation!
Hoe vind je dan een wachtwoord dat én sterk én makkelijk te onthouden is? Oplossing: maak het jezelf niet te moeilijk, maar maak het lang! Verzin twee of drie random woorden en plak die dan aan elkaar. Wat dacht je van het wachtwoord “PaardMetBaard”? Makkelijk te onthouden, toch? Dit wachtwoord bestaat uit 13 tekens, en dankzij de combinatie van kleine letters én hoofdletters kom je aan 52 mogelijkheden. Dat zorgt voor 285 quadriljoen (!!!) mogelijke combinaties. Manueel is daar geen beginnen aan natuurlijk, en zelfs met een brute force aanval duurt het je nog 7 miljoen eeuwen om te kraken. Dát is pas indrukwekkend!
Eén wachtwoord, maar toch anders
Op die manier heb je een makkelijk en praktisch onbreekbaar wachtwoord, dat met een brute force aanval zelfs niet te kraken is. Maar toch bestaan er nog manieren waarop anderen je wachtwoord kunnen achterhalen. Hoe?
Mensen kunnen je wachtwoord achterhalen doordat
- je het per ongeluk zelf vertelt,
- ze het kunnen afkijken, in het echt of via malware
- of ze het op een andere manier hebben kunnen opvangen.
Dan wil je natuurlijk vermijden dat ze onmiddellijk toegang hebben tot al je accounts. Zorg er dus voor dat je je wachtwoord lichtjes aanpast voor iedere website waarop je het gebruikt.
Tip: Dat kan je bijvoorbeeld doen door de naam van een website of een aantal letters van die naam aan je paswoord toe te voegen.
Voeg bijvoorbeeld de eerste letter van die website aan het begin van je wachtwoord toe, en de laatste letter aan het eind van je wachtwoord. Voor Facebook krijg je dan “fPaardMetBaardk”. Zo heb je één wachtwoord voor al je accounts (makkelijk te onthouden dus), maar toch nét anders genoeg om niet overal binnen te raken mocht het toch fout gaan. Daarbij zijn zo’n woorden niet te kraken met een dictionary- of common word attack. Wij hebben fPaardMetBaardk toch nog niet in het woordenboek zien staan alleszins.
Nog één laatste tip voor het samenstellen van je ultieme paswoord: sommige websites eisen tijdens het maken van je wachtwoord dat er minstens één speciaal teken of cijfer in voorkomt. Helaas is het moeilijk te onthouden voor welke websites dat nu wel nodig was, en voor welke niet.
De beste manier te vermijden dat je toch meerdere paswoordcombinaties moet testen, is om één speciaal teken of cijfer standaard toe te voegen.
In ons wachtwoordvoorbeeld kan je het leuk toepassen door “PaardMet1Baard” te nemen. Voor bijvoorbeeld Facebook zou je wachtwoord er dan uitzien met “fPaardMet1Baardk”. Niet zo moeilijk, toch? Nog beter: dat extra cijfertje zorgt voor in totaal 476 sextiljoen (dat zijn 36 nullen) mogelijkheden en een kraaktijd van 15,000 triljoen eeuwen. Veel succes, beste krakers.
Je eigen website of webshop? Maak het veilig!
Niet alleen gebruikers hebben baat bij het creëren van veilige wachtwoorden. Met minstens één van deze veiligheidsmaatregelen bouw je al een stevige omheining rond je website, zodat je optimaal beschermd bent tegen brute force aanvallen en dergelijke. Op die manier zorg je ervoor dat krakers al niet door de voordeur van je site naar binnen komen. Ook website- en webshopeigenaars moeten extra voorzorgen nemen. Dat kan makkelijk en efficiënt:
- Zorg dat er maximaal één keer per 5 seconden ingelogd kan worden
- Installeer een strafperiode na een bepaald aantal mislukte inlogpogingen, zodat de gebruiker moet wachten met opnieuw in te loggen.
Met minstens één van deze veiligheidsmaatregelen bouw je al een stevige omheining rond je website, zodat je optimaal beschermd bent tegen brute force aanvallen en dergelijke. Op die manier zorg je ervoor dat krakers al niet door de voordeur van je site naar binnen komen.
Veilig voor jou, en dus veilig voor je bezoeker die dat ongetwijfeld apprecieert.
LEES OOK: Brute force attack: zo verzet je je ertegen
bron: byte