Vergeet wachtwoorden: nieuwe adviezen voor wachtwoorden
Nieuwe adviezen voor het omgaan met wachtwoorden
Het kiezen van een wachtwoord voor een online dienst is een uitdaging: er moeten hoofd- en kleine letters in, cijfers en als het even kan ook nog eens bijzondere tekens. En dan moet het ook nog lang zijn en niet voor iets anders zijn gebruikt, want dat is sowieso een bijzonder slecht idee. De reden dat je deze eisen voorgeschoteld krijgt, komt mede door het Amerikaanse NIST (National Institute of Standards and Technology). Dit instituut gaf in 2003 in zijn Special Publication 800-63 in appendix A aan welke eisen een wachtwoord moest hebben (hoe je er goed mee omgaat) bij overheidsinstanties. Niet alleen overheden namen de inhoud van het document ter harte, de informatie diende als inspiratie voor de huidige wachtwoordeisen voor vrijwel alles waarvoor een wachtwoord nodig is.
Deze strikte regels zijn nu achterhaald. Een aantal maanden geleden heeft NIST afscheid genomen van de meeste van de irritante regels. US-overheden kunnen in de toekomst bij het aanmaken van een wachtwoord een stuk minder streng zijn. Dit is voor gebruikers fijner en zorgt ook voor meer veiligheid. Onderzoeker Jim Fenton was betrokken bij het updaten van het document met de eisen. Hij zei tijdens een presentatie over de veranderingen dat als iets niet gebruikersvriendelijk is, gebruikers allerlei trucs gaan gebruiken. Volgens het nieuwe document kunnen gebruikers een vrijwel willekeurige reeks tekens als wachtwoord gebruiken, als die maar minimaal acht tekens lang is. Volgens NIST moet het invoeren van 64 of meer tekens worden toegestaan. Gebruikers worden zo aangemoedigd om in plaats van voorspelbare tekens als het even kan een lange reeks woorden in te voeren, oftewel 'passphrases'. Alle af te drukken ASCII-tekens en zelfs unicodetekens zoals emoji's moeten mogelijk zijn. Het instituut stelt wel een grens aan de vrijheden. Om te voorkomen dat gebruikers makkelijk te raden tekenreeksen gebruiken zoals 123456789, moeten overheden het gewenste wachtwoord vergelijken met een blacklist.
Die blacklist moet tekenreeksen bevatten die cybercriminelen als eerste uitproberen zoals aaaaaaa of 1234abcd, woorden uit het woordenboek en wachtwoorden waarvan bekend zijn dat ze regelmatig worden gebruikt. Ook wachtwoorden die na cyberaanvallen op Yahoo, MySpace, Adobe e.a. zijn verhandeld via Darknet zouden op die lijst kunnen staan. Hoe groot die blacklist moet zijn en wat er allemaal op moet staan wordt niet omschreven. Ook het geforceerd wijzigen van een wachtwoord om de zoveel tijd, vooral populair binnen bedrijven, wordt afgeraden. Gebruikers moeten alleen verplicht hun wachtwoord wijzigen als er aanwijzingen zijn dat de wachtwoorden zijn uitgelekt.
Geen vragen
Voor het eerst gaat het instituut ook in op de wachtwoord-vergeten-vragen die zeer vaak worden ingezet. Als je je wachtwoord niet meer weet, kun je vaak door een of meerdere van deze vragen te beantwoorden een nieuw wachtwoord instellen. Denk aan 'wat is de meisjesnaam van je moeder' of 'wat was je eerste auto'. Het probleem bij deze vragen is dat een aanvaller bij een succesvolle aanval niet alleen mailadressen
Een ommekeer in wachtwoordland: in plaats van maximale complexiteit met cijfers en bijzondere tekens die je regelmatig verandert, wordt er nu geroepen om passphrases te gebruiken. Dat is makkelijker voor gebruikers, minimaal net zo veilig en een goede reden om je eigen strategieën eens na te lopen.