Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.

Opbouw wachtwoord cruciaal

Dit artikel delen:

Wachtwoorden maken deel uit van het digitaal leven. En dat zal voorlopig zo blijven. Tweeweg authenticatie is een noodzakelijke aanvulling. Hoe ziet het ideale wachtwoord eruit? “Minstens twaalf of twintig karakters, inclusief complexe tekens”, stelt Jelle Wieringa meteen. Hij is Security Advocate bij awareness-specialist KnowBe4.

Het verschil tussen twaalf of twintig karakters verklaart Wieringa uit de oorsprong van het wachtwoord: bedacht door een computer of door een mens. Een machine is in staat een ingewikkelder (dus lastiger te kraken) leus te verzinnen, waardoor je toe kunt met minder tekens. Vergelijk het machinale ]}7Y?@w@?)Nmt4h7 met het menselijke RogerisaG0on. Allebei twaalf (afwisselende) tekens, maar je ziet meteen dat kwaadwillenden moeite zullen hebben met de eerste wapenspreuk en vrij eenvoudig de tweede kunnen bedenken.

“Er zijn tal van methoden om wachtwoorden te achterhalen”, vertelt Wieringa. “Social engineering bijvoorbeeld. Berichten rondsturen met een boodschap dat iemand zijn wachtwoord moet geven om dringende redenen die vaak logisch klinken. Er hoeft er maar een te zijn in een bedrijf die daarin trapt en een cybercrimineel wandelt het netwerk binnen. In dit geval maakt het natuurlijk niet uit hoe ingewikkeld het wachtwoord is. Het onderstreept wel dat multifactor authenticatie standaard zou moeten worden toegepast: wachtwoorden in combinatie met een aanvullende identificatieplicht.”

Maar niet elke digitale kraker heeft de inspanningen van social engineering ervoor over om de toegangscodes te achterhalen. “Die gaat gissen. Natuurlijk niet handmatig, daar zijn – vrij verkrijgbare – softwareprogramma’s voor. Die halen de combinatie van gebruikersnaam en mogelijk wachtwoord door de mangel tot de juiste eruit rol. Duizenden per seconde. En natuurlijk is er een levendige handel van achterhaalde combinaties.”

Bedacht op hashes

Veel systemen (zoals Windows) vertalen de natuurlijke taal waaruit een wachtwoord bestaat naar een versleutelde versie, een hash. “Dit lijkt een veilige oplossingen, maar je moet bedacht zijn op hashes. Die worden namelijk ook gekraakt. Er zijn tientallen hash-krakers beschikbaar op internet.”

“Tenzij je je zorgen maakt over een aanvaller als staats- of bedrijfsspion wordt algemeen aangenomen dat wachtwoorden met een normale complexiteit ten minste twintig tekens lang moeten zijn om de aanvallen van gewone tegenstanders te weerstaan. En als je bang bent voor een tegenstander met meer middelen, gebruik dan wachtwoorden van minimaal dertig tekens.”

Volgens Wieringa blijkt uit de vele praktijktesten dat een door mensen bedacht wachtwoord van minstens twintig tekens nauwelijks is te kraken.

Misschien wel met quantum computers vanwege hun specifieke rekenkracht. “Het is belangrijk te beseffen dat quantum computers niet nodig zijn om de meeste wachtwoordaanvallen uit te voeren. Het is zeer, zeer, zeer onwaarschijnlijk dat iemand binnenkort gecompromitteerd wordt door een quantumcomputer”, meent Wieringa.

Wachtwoordloos

Wachtwoorden moeten dus uniek zijn, een zekere lengte en complexiteit hebben en aangevuld worden met MFA. Een beetje websurfer heeft er dan al gauw tientallen. Wieringa raadt dan ook aan een wachtwoordmanager te gebruiken. “Dan hoef je maar één wachtwoord te onthouden. De manager handelt de rest af.”

Zijn we niet beter af zonder al dat gedoe met wachtwoorden? “Die mogelijkheden bestaan, waarbij het wachtwoord bijvoorbeeld door een pin is vervangen. Maar ook codes zijn te achterhalen”, reageert Wieringa. “Als je kijkt naar de enorme hoeveelheid wachtwoorden die de gemiddelde persoon nog steeds gebruikt, zal een wereld zonder wachtwoorden ofwel nooit gebeuren, ofwel op zijn minst tien jaar of langer op zich laten wachten. De conventionele wijsheid van vandaag is dat multi-factor authenticatie (MFA) moet worden gebruikt waar mogelijk om logins beter te beveiligen totdat iets geavanceerders, zoals zero-trust beveiligingsarchitecturen, op schaal kan worden geïmplementeerd om wachtwoorden voor altijd te vervangen. Inmiddels gaat wachtwoordloos nu te traag en in tussentijd zullen criminelen al een omweg hebben bedacht.”

Wie zich wil verdiepen in zinvol gebruik van wachtwoorden kan het e-book ‘What Your Password

Policy Should Be’ van KnowBe4 downloaden

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-06-27T10:12:00.000Z
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.