Ver­geet wacht­woor­den: nieu­we ad­vie­zen voor wacht­woor­den

Nieu­we ad­vie­zen voor het om­gaan met wacht­woor­den

C’t Magazine - - Inhoud - Ro­nald Ei­ken­berg

Het kie­zen van een wacht­woord voor een on­li­ne dienst is een uit­da­ging: er moe­ten hoofd- en klei­ne let­ters in, cij­fers en als het even kan ook nog eens bij­zon­de­re te­kens. En dan moet het ook nog lang zijn en niet voor iets an­ders zijn ge­bruikt, want dat is so­wie­so een bij­zon­der slecht idee. De re­den dat je de­ze ei­sen voor­ge­scho­teld krijgt, komt me­de door het Ame­ri­kaan­se NIST (Na­ti­o­nal In­sti­tu­te of Standards and Tech­no­lo­gy). Dit in­sti­tuut gaf in 2003 in zijn Spe­ci­al Pu­bli­ca­ti­on 800-63 in ap­pen­dix A aan wel­ke ei­sen een wacht­woord moest heb­ben (hoe je er goed mee om­gaat) bij over­heids­in­stan­ties. Niet al­leen over­he­den na­men de in­houd van het do­cu­ment ter har­te, de in­for­ma­tie dien­de als in­spi­ra­tie voor de hui­di­ge wacht­woord­ei­sen voor vrij­wel al­les waar­voor een wacht­woord no­dig is.

De­ze strik­te re­gels zijn nu ach­ter­haald. Een aan­tal maan­den ge­le­den heeft NIST af­scheid ge­no­men van de mees­te van de ir­ri­tan­te re­gels. US-over­he­den kun­nen in de toe­komst bij het aan­ma­ken van een wacht­woord een stuk min­der streng zijn. Dit is voor ge­brui­kers fij­ner en zorgt ook voor meer vei­lig­heid. On­der­zoe­ker Jim Fen­ton was be­trok­ken bij het up­da­ten van het do­cu­ment met de ei­sen. Hij zei tij­dens een pre­sen­ta­tie over de ver­an­de­rin­gen dat als iets niet ge­brui­kers­vrien­de­lijk is, ge­brui­kers al­ler­lei trucs gaan ge­brui­ken. Vol­gens het nieu­we do­cu­ment kun­nen ge­brui­kers een vrij­wel wil­le­keu­ri­ge reeks te­kens als wacht­woord ge­brui­ken, als die maar mi­ni­maal acht te­kens lang is. Vol­gens NIST moet het in­voe­ren van 64 of meer te­kens wor­den toe­ge­staan. Ge­brui­kers wor­den zo aan­ge­moe­digd om in plaats van voor­spel­ba­re te­kens als het even kan een lan­ge reeks woor­den in te voe­ren, of­te­wel 'pas­sphra­ses'. Al­le af te druk­ken ASCII-te­kens en zelfs uni­co­de­te­kens zo­als emo­ji's moe­ten mo­ge­lijk zijn. Het in­sti­tuut stelt wel een grens aan de vrij­he­den. Om te voor­ko­men dat ge­brui­kers mak­ke­lijk te ra­den te­ken­reek­sen ge­brui­ken zo­als 123456789, moe­ten over­he­den het ge­wens­te wacht­woord ver­ge­lij­ken met een blac­k­list.

Die blac­k­list moet te­ken­reek­sen be­vat­ten die cy­ber­cri­mi­ne­len als eer­ste uit­pro­be­ren zo­als aaaaaaa of 1234ab­cd, woor­den uit het woor­den­boek en wacht­woor­den waar­van be­kend zijn dat ze re­gel­ma­tig wor­den ge­bruikt. Ook wacht­woor­den die na cy­ber­aan­val­len op Ya­hoo, MySpa­ce, Ado­be e.a. zijn ver­han­deld via Darknet zou­den op die lijst kun­nen staan. Hoe groot die blac­k­list moet zijn en wat er al­le­maal op moet staan wordt niet om­schre­ven. Ook het ge­for­ceerd wij­zi­gen van een wacht­woord om de zo­veel tijd, voor­al po­pu­lair bin­nen be­drij­ven, wordt af­ge­ra­den. Ge­brui­kers moe­ten al­leen ver­plicht hun wacht­woord wij­zi­gen als er aan­wij­zin­gen zijn dat de wacht­woor­den zijn uit­ge­lekt.

Geen vra­gen

Voor het eerst gaat het in­sti­tuut ook in op de wacht­woord-ver­ge­ten-vra­gen die zeer vaak wor­den in­ge­zet. Als je je wacht­woord niet meer weet, kun je vaak door een of meer­de­re van de­ze vra­gen te be­ant­woor­den een nieuw wacht­woord in­stel­len. Denk aan 'wat is de meis­jes­naam van je moe­der' of 'wat was je eer­ste au­to'. Het pro­bleem bij de­ze vra­gen is dat een aan­val­ler bij een suc­ces­vol­le aan­val niet al­leen mail­adres­sen

Een om­me­keer in wacht­woord­land: in plaats van maxi­ma­le com­plexi­teit met cij­fers en bij­zon­de­re te­kens die je re­gel­ma­tig ver­an­dert, wordt er nu ge­roe­pen om pas­sphra­ses te ge­brui­ken. Dat is mak­ke­lij­ker voor ge­brui­kers, mi­ni­maal net zo vei­lig en een goe­de re­den om je ei­gen stra­te­gie­ën eens na te lo­pen.

Meer vrij­heid bij

het kie­zen van een wacht­woord: bij de sin­gle-sig­non-dienst van de Ame­ri­kaan­se over­heid wor­den de nieu­we aan­be­ve­lin­gen al

ge­bruikt.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.