1. Introductie
1.1 Gemakkelijk een goed wachtwoord: het kan!
Een wachtwoord beschermt de rechten die aan u zijn toegekent in een informatie systeem. Het bedenken van een goed wachtwoord is voor veel mensen lastig. Dit hoeft helemaal niet. Deze pagina geeft u technieken waarmee u u wachtwoorden kunt maken die veiliger zijn en makkelijker te onthouden zijn. Deze pagina geeft ook adviesen voor het veilig gebruik van een wachtwoord.
1.2 Eigenschappen van een veilig wachtwoord
Een veilig wachtwoord heeft drie eigenschappen: 1) het bestaat uit de karakters die zoveel mogelijk willekeurig zijn, 2) het is lang en 3) het is gemakkelijk te onthouden.
1.3 Een goede beveiliging is meer dan alleen een goed wachtwoord
Het gebruik van wachtwoorden is één van de maatregelen die u kunt nemen om veiligheid te verhogen. De belangrijkste andere maatregelen zijn: het up-to-date houden van besturingssysteem en applicaties, het gebruik van anti-virus en anti-spyware, het gebruik van een firewall.
2. Technieken
2.1 Wachtwoord zonder verband met u of de betrokken dienst
Indien er een verband te leggen is tussen het u of de betrokken dienst en het wachtwoord, dan is het wachtwoord minder veilig. Een voorbeeld hiervan is het wachtwoord "paypal04" voor een PayPal account. Een onbevoegde zal verbanden uitproberen om uw wachtwoord te achterhalen. Onderstaande lijstje biedt u startpunten voor het bedenken van een nieuw wachtwoord. U heeft bijvoorbeeld "Garfield: The Movie" gezien, dan zou uw wachtwoord "dogyodie" kunnen zijn. Er is nu geen verband meer met u of de betrokken dienst. Het wachtwoord bestaat nog wel uit twee bestaande woorden, hierover later meer.
- Een nieuws-item dat momenteel in het nieuws is.
- Een uitje dat u gehouden heeft of gaat houden.
- Een vakantie die u gehouden heeft (ook in het verre verleden) of gaat houden.
- Een boek of een artikel.
- Een film, een documentaire of een ander TV programma.
- Een reis, bijvoorbeeld naar uw werk.
- Een gesprek dat u gevoerd heeft.
2.2 Gebruik een zin als basis
Een zin is relatief makkelijk te onthouden. U neemt karakters uit elk woord om uw wachtwoord te maken. U pakt bijvoorbeeld de eerste twee karakters uit elk woord. U zult wellicht denken: ik pak gewoon alleen de eerste letter. Dat kan, maar bij een wachtwoord met 8 karakters heeft u een zin nodig van 8 woorden of meer. Zo'n zin is lastiger te onthouden. Als u 2 karakters uit elk woord neemt dat hoeft u zin slechts vier woorden of meer te bevatten. Een zin onthouden van vier woorden... niet moeilijk toch.
U kunt uw 8 karakters uit verschillende posities halen. Een voorbeeld is de zin "Petra regelt alles prima". U kunt de eerste 2 karakters van elk woord nemen (Petra regelt alles prima -> Perealpr), u kunt ook het eerste en laatste karakter van elk woord nemen (Petra regelt alles prima -> ), tenslotte kunt u de laatste twee karakters van elk woord nemen (Petra regelt alles prima -> raltesma). U kunt er voor kiezen voor de eerste 4 karakters van uw wachtwoord de 4 woorden te doorlopen en voor de twee 4 karakters de 4 woorden nog een keer te doorlopen. De wachtwoorden worden dan: Prapeelr, Praoatsa en rlematsa.
Probeer de keuze van de posities simpel te houden. Als u dat makkelijker vindt kunt u de posities die u gekozen hebt permanent aanhouden. De reden waarom in deze pagina zes keuzes gegeven worden is om te voorkomen dat iedereen hetzelfde gaat doen en dan zou deze techniek makkelijker te kraken zijn.
Het is de bedoeling deze techniek te combineren met een karakter vervanging of met een shift-ritme.
2.3 Gebruik een wachtwoord met betekenis en waarde
Als een wachtwoord een betekenis heeft en die betekenis heeft waarde voor u, dan is het wachtwoord makkelijker te onthouden. Voorbeelden hiervan zijn: een wachtwoord dat een wijsheid of een inzicht bevat; een wachtwoord dat grappig, inspirerend of juist afstotelijk is; een wachtwoord dat getuigd van uw eigen creativiteit. Een nadeel is wel dat een wachtwoord met een betekenis meestal ook een bestaand woord vormt. U kunt hier wat aan doen door andere technieken toe te passen.
De nadelen van het gebruik van bestaande woorden zijn aanzienlijk. Bij een bestaand woord kunnen karakters afgeleid worden van de andere karakters in het wachtwoord. Welk woord staat hier: telef**n. Waarschijnlijk gaat het om het woord telefoon... De karakters die geraden kunnen worden hebben geen functie meer. Uw wachtwoord van 8 karakters is effectief een wachtwoord van 6 karakters geworden.
Een wachtwoord dat een bestaand woord is kan gekraakt worden met een zogenaamde "dictionary attack". Alle woorden uit een woordenboek worden simpelweg uitgeprobeerd. Bij veel informatiesystemen mag u slechts enkele keren een verkeerd wachtwoord invoeren, daarna moet u tijdje wachten of wordt uw account zelfs geblokkeerd. Dit lijkt een goede beveiliging tegen een dictionary attack. Soms weet een hacker echter het versleutelde wachtwoordbestand van een informatiesysteem naar zijn eigen computer te kopieren. Hij zal dan op zijn eigen computer duizenden woorden per seconde uitproberen op het wachtwoordbestand. Uw wachtwoord, gebaseerd op een bestaand woord, zal er dan als één van de eersten uitrollen.
2.4 Gebruik bijzondere karakters
Men kan 4 groepen karakters identificeren: kleine letters, hoofdletters, cijfers en ASCII karakters . Als u alleen kleine letters gebruikt dan kiest u uit 26 karakters, als u onderstaande karakters gebruikt dan kiest u uit 94 karakters.
Groep | Karakters |
kleine letters | a b c d e f g h i j k l m n o p q r s t u v w x y z |
hoofdletters | A B C D E F G H I J K L M N O P Q R S T U V W X Y Z |
cijfers | 1 2 3 4 5 6 7 8 9 0 |
ASCII karakters |
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ |
2.5 Gebruik karakter vervanging
Karakter vervanging is het vervangen van een karakter door een andere waarbij het verband tussen de twee karakters voor u duidelijk is. Het woord "man" kan door karakter vervanging veranderen in "m@n". Vervang een karakter alleen door een ander karakter als u zelf een duidelijk verband ziet tussen de twee karakters. Op deze wijze is de vervanging makkelijker te onthouden. Vervang een beperkt aantal karakters in het wachtwoord.
Karakter vervanging is een bekende techniek en daarom is de waarde beperkt. Bij het kraken van een wachtwoord zullen meestal ook versies met speciale karakters uigeprobeerd worden. Zo zou naast het wachtwoord "password" ook het wachtwoord "p@ssw0rd" geprobeerd worden. Een goede techniek is uw eigen persoonlijke karakter vervanging te verzinnen. Koppel bijvoorbeeld aan de "e" het teken "#". Er is geen verband tussen deze twee karakters en zolang u uw persoonlijke karakter vervanging geheim houdt, werkt het prima.
Letter | Cijfer | ASCII karakter |
a | @ | |
b | 6 | |
c | < | |
e | & | |
i | 1 | |
l | ! | |
n | ^ | |
o | 0 | |
q | 9 | |
s | $ |
2.6 Gebruik een shift-ritme
U weet dat de shift-toest u een hoofdletter geeft. De shift-toest is geschikt om u wachtwoord simpele wijze willekeuriger te maken. Stel u heeft als wachtwoord ihf9/11g (ik heb fahrenheit 9/11 gezien). Als u nu bij de laatste vier karakters de shift-toest in gedrukt houdt, dan is uw shift-ritme laag laag laag laag Hoog Hoog Hoog Hoog (llllHHHH). Uw wachtwoord wordt dan ihf9?!!G. De structuur die er in het wachtwoord zat is door het schift-ritme ten dele vernietigd. Het enige wat u hoeft te doen is het shift-ritme voor uw wachtwoord te onthouden. De eerste paar keer dat u een wachtwoord met een shift-ritme invoert is even lastig, daarna bent u er aan gewend en is het makkelijk.
Probeer uw shift-ritme juist niet overeen te laten komen woordgrenzen. Een wachtwoord als thaicig8 (thai cooking is great), bestaat uit de delen thai en cig8. U kunt dan beter kiezen voor een shift-ritme als llHHHHll en niet llllHHHH, dit levert meer willekeur op. Met enige karaktervervanging wordt uw wachtwoord dan th@!CIg8.
Houd uw shift-ritmes simpel, zoals llllHHHH, HHHHllll, llHHHHll, HHllllHH. Mocht u er lol in beginnen te krijgen kunt u eens lHlHlHlH of HlHlHlHl proberen. Een voorbeeld hiervan is k!lLw@sP (killwasp: in Japan leven horzels die zo groot zijn dat hun steken mensen kunnen doden).
Een belangrijk bijkomend voordeel van het gebruik van de shift-toest is dat iemand die probeert mee te kijken vrijwel onmogelijk in de gaten kan houden welke toesten u aanslaat èn wanneer u de shift-toest indrukt.
2.7 Maak het wachtwoord lang
Langer is in principe veiliger. Een veelvoorkomende lengte is 8 karakters. De gangbare lengte van wachtwoorden is 4 tot 12 karakters. Soms is het handig om een wachtwoord langer te maken dan het aantal karakters waar u eigenlijk op uit was. Dit kan het wachtwoord beter te onthouden maken.
3. Adviezen voor veilig gebruik
Naast de veiligheid van het wachtwoord is ook de omgang met het wachtwoord belangrijk. Er zijn een aantal adviezen voor het veilig gebruik van het wachtwoord.
3.1 Accepteer geen shoulder surfing
Shoulder surfing is meekijken wanneer iemand een wachtwoord intypt. Het is een onbeschofte inbreuk op uw privacy.
3.2 Neem regelmatig een nieuw wachtwoord
Naarmate u een wachtwoord langer in gebruik hebt, neemt de kans toe dat iemand achter uw wachtwoord is gekomen.
3.3 Sla uw wachtwoorden veilig op
De veiligste opslag is gewoon onthouden. Echter, als u meerdere wachtwoorden heeft dan is onthouden gewoon niet meer praktisch. De auteur van deze pagina moet meer dan 100 wachtwoorden gebruiken. Het gaat om wachtwoorden voor email adressen, web sites, webservers, file- en applicatieservers, netwerk apparatuur en applicaties. Een goede oplossing is het gebruik van een PDA (Personal Digital Assistant) met de versleutelingssoftware Pretty Good Privacy (PGP). U bewaart uw wachtwoorden niet op uw computer, dus ook al is de veiligheid van uw computer aangetast dan nog zijn uw wachtwoorden veilig. Ook als de PDA in verkeerde handen valt, zijn de wachtwoorden nog steeds beschermt met de PGP versleuteling. Wel is het dan zaak om regelmatig een versleutelde backup te maken op flash geheugen en dit veilig te bewaren.
3.4 Schat het belang van het account in
Hoe belangrijk zijn de rechten die het wachtwoord voor u beschermt? Het wachtwoord van uw boekhoudprogramma is veel belangrijker dan het wachtwoord van een gratis online cursus in blindtypen. In het eerste geval zou u dus meer tijd besteden aan het bedenken van een veilig wachtwoord.
3.5 Laat een account opheffen na gebruik
Ook al heeft u geen interesse meer in de rechten die het account u biedt, dan nog is het verstandig het account echt te laten opheffen. Een account wordt tot op een bepaalde hoogte gebruikt om uw identiteit vast te stellen. Door een achtergelaten account over te nemen kan iemand zich voor u gaan uitgeven. Het gaat hier om identiteitsdiefstal en kan voor u vervelende gevolgen hebben. Daarnaast vermindert u de veiligheid van anderen op het informatiesysteem als u uw account niet laat opheffen.
3.6 Houd uw wachtwoord geheim
Als u het niet erg vindt het wachtwoord van een voor u onbelangrijk account te delen, dan nemen de mensen om u heen wellicht aan dat u weinig belang hecht aan al uw wachtwoorden. Het is beter een duidelijk signaal af te geven: een wachtwoord is altijd geheim.
3.7 Bewaar uw wachtwoorden op één plek
Als er een account voor u aangemaakt wordt, verander dan meteen het wachtwoord en bewaar dat nieuwe wachtwoord tesamen met uw andere wachtwoorden op één plek.