Piet en Ton nemen wachtwoorden iets te letterlijk.

Een sterk wachtwoord verzin je zo

Wachtwoorden. Ze zijn helaas nog steeds een noodzakelijk kwaad voor het veilig gebruik van online applicaties. Noodzakelijk, omdat je je online identiteit wilt bevestigen en beschermen. Kwaad, omdat een echt veilig wachtwoord vaak moeilijk te onthouden is. Of lijkt dat maar zo? Lees verder om hier achter te komen.

Sterke wachtwoorden

Bij Leukeleu maken we onder andere online applicaties voor de zorg, overheid en verzekeraars. Omdat in deze omgevingen vaak privacy-gevoelige informatie wordt verzameld en verwerkt is de beveiliging hiervan, en daarmee dus ook de sterkte van wachtwoorden, erg belangrijk.

Als iemand een nieuw wachtwoord verzint checkt de applicatie of dit wachtwoord sterk genoeg is. Hoe streng die check is kunnen we instellen, afhankelijk van de aard van de gegevens die beschermd moeten worden. In de strengste gevallen komt het soms voor dat een gebruiker ons enigszins wanhopig opbelt met de vraag of we misschien een goed wachtwoord voor hem hebben, omdat de applicatie de door hemzelf verzonnen wachtwoorden niet goed genoeg vindt.

Er is iets raars gebeurd

Er is de laatste twintig jaar iets raars gebeurd. Op de één of andere manier hebben we met z’n allen een verkeerd idee gekregen over hoe een goed wachtwoord er uit moet zien. We denken dat het een relatief korte, vreemde combinatie van letters, cijfers en andere tekens moet zijn. Zo’n wachtwoord is moeilijk te onthouden, dus dan zal het wel veilig zijn, toch?

Maar moeilijk te onthouden is niet hetzelfde als moeilijk te kraken. Het kraken van wachtwoorden wordt namelijk niet gedaan door mensen, maar door computers. En computers maakt het weinig uit of jouw wachtwoord moeilijk of makkelijk te onthouden is. Wat ze wel vervelend vinden is dat een wachtwoord veel tekens heeft. Meer tekens betekent meer mogelijke combinaties, dus moeilijker te kraken.

Meer tekens

Maar hoe zorg je ervoor dat een wachtwoord een zodanige lengte en vorm heeft dat het voor computers moeilijk te kraken is? Meer tekens betekent immers ook dat het voor mensen moeilijker te onthouden is. En er moesten toch ook niet alleen letters, maar ook cijfers en andere tekens in zitten? En waar stonden die ook al weer precies?

Wachtzin

Het is daarom veel beter en handiger om geen ouderwetse wachtwoorden te gebruiken, maar wachtzinnen. Maak een zin van bijvoorbeeld vier of vijf willekeurige woorden en bedenk er voor jezelf een verhaaltje bij, een ezelsbruggetje. Bij zo’n wachtzin zal dat veel makkelijker gaan dan bij een ouderwets wachtwoord. Zo is je wachtwoord veel makkelijker te onthouden, én veel moeilijker te kraken.

Deze post is geïnspireerd op de xkcd.com cartoon “correct horse battery staple”. (Nou niet allemaal het wachtwoord “correct horse battery staple” gaan gebruiken natuurlijk).

Onthouden

Voor meerdere applicaties dezelfde wachtzin gebruiken is onverstandig, maar er zit natuurlijk ook een limiet aan het aantal wachtzinnen dat je kunt onthouden. Je mag ze niet opschrijven, dat weet iedereen inmiddels wel. Gelukkig kunnen computers, naast wachtwoorden kraken, je wachtwoorden ook op een veilige manier bewaren. Er zijn verscheidene apps en programma’s beschikbaar die je wachtwoorden versleuteld bewaren, en ook kunnen synchroniseren tussen bijvoorbeeld je computer en je telefoon. Deze apps beveilig je dan met een wachtzin die je uiteraard wél zelf moet onthouden. Hieronder een paar goede voorbeelden:

1Password (deze gebruiken wij zelf)
LastPass
KeePass

Iets wat je weet, iets wat je hebt, iets wat je bent

Om je online identiteit te bevestigen kun je meerdere zogenaamde ‘factoren’ gebruiken. Een wachtwoord is ‘iets wat je weet’. Een mobiele telefoon waarop je een SMS met een code ontvangt die je moet gebruiken tijdens het inloggen is ‘iets wat je hebt’. En als je, net als in de films, een irisscanner gebruikt bij het inloggen, gebruik je feitelijk de derde factor: ‘iets wat je bent’.

Als je tijdens het inloggen twee factoren (vaak een wachtwoord én een code via SMS) gebruikt, gebruik je dus zogenaamde two-factor-authentication. Dit is iets dat wij prima kunnen verzorgen in de applicaties die wij bouwen.

Nog een tip

Vind je het moeilijk zelf wachtzinnen te bedenken? Dan kun je er een paar van dit meisje kopen (wegens succes kosten ze inmiddels $4 per stuk).

Piet en Ton missen iets.

Wij zijn Leukeleu, en wij maken graag samen met jou websites en webapplicaties die perfect werken én er perfect uitzien.
(Vond je dit artikel leuk? Deel het of druk op het ❤. Thanx!)