Support

Support Blogs: Wachtwoord kiezen

Support

Wij helpen je verder!

Heb je problemen met het instellen van je mail client? Wil je weten hoe je een virtuele server herstart? Vraag je je af wat de beste kwaliteit is om te streamen? Grote kans dat deze vraag al eens voorbij is gekomen. Op deze pagina behandelen we de meestvoorkomende vragen en problemen. Kom je er alsnog niet uit? Neem dan gewoon contact op met onze servicedesk.

Wachtwoord kiezen

Om de toegang tot je mailbox, FTP-server of online boekhouding te beveiligen, voer je over het algemeen een wachtwoord in. Dat wachtwoord verzin je op dat moment en waarschijnlijk verander je het daarna nooit meer. Vaak is het een erg eenvoudig wachtwoord, zodat je het makkelijk kunt onthouden. Dat is gevaarlijk, want simpele wachtwoorden zijn gemakkelijk te kraken. Doe er snel iets aan, want een veilig wachtwoord hoeft niet moeilijk, onuitspreekbaar of niet te onthouden te zijn.

Voordat je deze blogpost, eerst wat algemene tips:

  1. Gebruik voor verschillende websites, systemen of accounts altijd aparte wachtwoorden en waar mogelijk ook aparte gebruikersnamen. Mocht er onverhoopt een wachtwoord bekend worden, dan is de schade nog beperkt te houden.
  2. Pas met enige regelmaat je wachtwoorden aan, zeker voor belangrijke systemen.

Het wachtwoord als sleutel

Een wachtwoord is te vergelijken met een sleutel. Het geeft je toegang tot iets waar je anderen buiten wilt houden. Zonder die sleutel kom je niet naar binnen, tenzij je de deur openbreekt met grof geweld. Nu is er in computerland geen sprake van een deur die je met geweld kunt openbreken, maar met grof geweld binnenkomen is wel mogelijk. Zoiets heet een ‘brute force attack’.

Een brute force attack op je wachtwoord wil zeggen dat een aanvaller of hacker probeert in te loggen op jouw server of website, door de gebruikersnaam en het wachtwoord te raden, of door domweg (bijna) alle mogelijke combinaties uit te proberen. Omdat daarvoor erg veel pogingen nodig zijn die in een heel rap tempo plaatsvinden, heet het een ‘brute force’. Het is een beetje een botte bijl. Als je maar lang genoeg ha(c)kt, kom je er uiteindelijk wel doorheen. Het is een kwestie van tijd.

Sterkte bepalen

Wat is nu een sterk wachtwoord waarmee je hackers buiten de deur houdt? Een beeld zegt meer dan duizend woorden, dus kijk eens op XKCD , waar de theorie achter sterke wachtwoorden mooi is samengevat in een strip.

De sterkte van een wachtwoord (dus hoe moeilijk het is te kraken) is afhankelijk van een tweetal factoren:

  1. De lengte van het wachtwoord, bijvoorbeeld 8, of 10, of 20 karakters.
  2. De mogelijke variaties van de gebruikte karakters (ook wel 'diepte'), bijvoorbeeld a tot z, of 0 tot 9, of A tot Z, of combinaties daarvan, al dan niet doorspekt met karakters als !@#$%^&*()-=_+ enz.

Deze twee factoren vormen samen de zogenaamde ‘entropie’ van een wachtwoord, oftewel de sterkte van het wachtwoord, oftewel de kwaliteit van de sleutel. Het mag duidelijk zijn dat een wachtwoord sterker wordt naarmate het langer is, en uiteraard naarmate de gebruikte karakters gevarieerder zijn. Die beide kwaliteiten zorgen ervoor dat iemand die het wachtwoord niet kent, meer pogingen moet doen om het te raden.

Er spelen meer (technische) factoren een rol, maar deze twee zijn door de gebruiker zelf te bepalen. Dit zijn dus de zaken waarop jij invloed hebt.

Let op: het is van belang dat een wachtwoord op geen enkele manier overeenkomt met de gebruikersnaam. Dus als de gebruikersnaam ‘pietjepuk’ is, gebruik dan geen wachtwoorden als ‘pietjepuk’ of zelfs ‘p13tj3puk’.

De diepte in

Als je met deze gegevens een sterk wachtwoord zouden bedenken, wat op zich niet moeilijk is, zou je kunnen uitkomen op een wachtwoord als "y#!O:+,(,_.1357". Heel sterk! Het wachtwoord is maar liefst twintig karakters lang, en gaat behoorlijk de diepte in met de variatie aan gebruikte tekens. Er is echter wel een probleem: je kunt het alleen onthouden als je een fotografisch geheugen hebt en anders moet je het opschrijven. Een fotografisch geheugen is maar weinig mensen gegeven, en je weet ongetwijfeld dat je wachtwoord opschrijven ook niet zo slim is.

De oplossing lijkt dan simpel; ga wel de diepte in, maar gebruik logische vervangingen van letters door cijfers of andere karakters om de onthoudbaarheid te verbeteren. Bijvoorbeeld het wachtwoord ‘wachtwoord’ wordt dan ‘w@chtw00rd’. Theoretisch lijkt dit al heel wat sterker dan een puur alfabetisch wachtwoord. Maar in de praktijk blijken mensen onafhankelijk van elkaar toch vaak op dezelfde variaties uit te komen. Dat betekent dus dat een hacker die je wachtwoord probeert te kraken, zo'n wachtwoord ook zal proberen. En nog een paar duizend, of tienduizenden of nog meer variaties daarop. Hackers zijn meestal in het bezit van wachtwoordenlijsten die buitgemaakt zijn bij eerdere hacks en gebruiken die dan om jouw wachtwoord te ‘raden’. En dat blijkt ze een behoorlijk goede kans te geven om binnen te komen op bijvoorbeeld je FTP-server.

Er is nog een reden waarom dit geen goed wachtwoord is, en dat is de derde factor die de sterkte van een wachtwoord bepaalt: het mag niet in een woordenboek voorkomen, of in zijn geheel geen bestaand woord (of naam) zijn. Hackers proberen dat veelal als tweede, na een lijst van veel gebruikte wachtwoorden en variaties daarop.

De oplossing: een passphrase

Het lijkt dus onmogelijk om een sterk wachtwoord te verzinnen dat ook makkelijk is te onthouden, maar er is een oplossing: een ‘passphrase’. Een passphrase bestaat uit een aantal woorden die samen een zin (kunnen) vormen. Passphrases zijn dus ook altijd veel langer dan normale wachtwoorden, en daarmee velen malen sterker. Een voorbeeld van een passphrase is ‘kastdeur sleutel dakraam glimmend’.

Hoewel de passphrase geen speciale karakters bevat, is deze wel 33 karakters lang, en dat maakt het een bijzonder moeilijk wachtwoord om te raden. Uiteraard zijn hier ook wat regels van toepassing. Gebruik geen bekende quotes, of gezegdes of uitspraken. Het liefst zelfs geen kloppende zin, maar gewoon een aantal woorden achter elkaar. Je kunt hier eenvoudig de diepte vergroten door de zin (of ieder woord) met een hoofdletter te beginnen, en bijvoorbeeld af te sluiten met een uitroepteken. Je passphrase blijft dan makkelijk te onthouden.

Hogere wiskunde

Hoe sterk een wachtwoord is (oftewel de entropie van een wachtwoord), kun je berekenen met de formule E = L x log2(D), waarbij L voor de lengte van het wachtwoord staat, en D voor de diepte. Je ziet aan deze formule al dat de lengte meer invloed heeft op de entropie van een wachtwoord dan de diepte. Dat is precies waar een passphrase in uitblinkt! Op http://rumkin.com/tools/password/passchk.php kun je eenvoudig achterhalen wat de entropie van een bepaald wachtwoord is.

De uitkomst is in bits. Eén bit erbij betekent tweemaal zo sterk. Dus een wachtwoord met een entropie van 40 bits is tweemaal zo sterk als een wachtwoord met een entropie van 39 bits. Over het algemeen is men het er tegenwoordig over eens dat een wachtwoord met een entropie van 60 bits of meer sterk genoeg is. Het is dan (praktisch) niet meer te ‘brute forcen’. Het ‘raden’ van zo'n wachtwoord met wachtwoordlijsten blijft natuurlijk een ander geval.

Hoe sterk zijn verschillende soorten wachtwoorden?

Eerst nemen we als voorbeeld het eerder genoemde wachtwoord ‘w@chtw00rd’. Dit bestaat uit de karakters a-z, nummers 0-9 en een apenstaartje. Het apenstaartje behoort tot de ‘special characters’; dat zijn de niet-alfanumerieke karakters op je toetsenbord. Dus alles behalve 0-9 + a-z. Een snelle check via http://rumkin.com/tools/password/passchk.php leert dat dit wachtwoord een entropie van bijna 42 bits heeft.

Even tussendoor, vergelijk dit met ‘wachtwoord’: bijna 36 bits. Dat scheelt 6 bits. Dat is 64 keer minder sterk. Maar dat is theoretisch. Zoals eerder gezegd is dit een redelijk veelvoorkomende manier om letters aan te passen. De a wordt een @, de o wordt een 0. In de praktijk zal dit dus niet heel veel sterker zijn, want je kunt ervan uitgaan dat zowel ‘wachtwoord’ als ‘w@chtw00rd’ op de lijsten van hackers staat om die te proberen.

Beide wachtwoorden zijn een heel stuk minder sterk dan de eerder genoemde 60 bits (reken maar uit), nog afgezien van het feit dat beide wachtwoorden op lijsten te vinden zijn van veelgebruikte wachtwoorden.

Als we nu ons voorbeeld bekijken van het 'traditionele' zeer sterke wachtwoord dat niet te onthouden is: ‘y#.O:+,(,_.1]357’, dan zien we dat de entropie daarvan bijna 76 bits is. Maar liefst 34 bits meer dan ‘w@chtw00rd’. Dat is 2^34e maal sterker. Daarmee is het wel een enorm goed wachtwoord, alleen in de praktijk een draak om te onthouden.

En dan de eerdergenoemde passphrase ‘kastdeur sleutel dakraam glimmend’: maar liefst 127 bits! Het wachtwoord is daarmee zo sterk, dat het wel ‘overkill’ genoemd wordt. En het is makkelijk te onthouden. Het wachtwoord is zelfs 51 bits (dat is dus 2^51ste) sterker dan ‘y#.O:+,(,_.1]357’. Een wachtwoord met een entropie van 127 bits kun je praktisch astronomisch sterk noemen. Er is niet genoeg computerkracht op aarde om dat te kraken.

Referenties

  1. http://en.wikipedia.org/wiki/Passphrase
  2. http://en.wikipedia.org/wiki/Entropy_(information_theory)
  3. http://rumkin.com/tools/password/passchk.php

Deel dit item: