Veilige wachtwoorden

advertisement
1. Inleiding
Voor veel gebruikers van internet is het 'verzinnen' van een unieke gebruikersnaam en een
uniek wachtwoord bijna een onmogelijke taak. En het wordt nog ingewikkelder als een
website strenge eisen stelt aan de gebruikersnaam en het wachtwoord. Sommige sites
verbieden het gebruik van speciale tekens, zoals &,Vo,#,@, *,!, die u wel kent uit Word en
Writer, bekende tekstverwerkingsprogramma's, terwijl weer andere sites deze speciale tekens
juist vereisen. Weer andere website vereisen een minimaal aantal tekens, al of niet
gecombineerd met speciale tekens.
2. Veilige wachtwoorden
Wat moet u echt niet gebruiken als wachtwoord?
Ongeveer 40-50 % van de gebruikte wachtwoorden zijn eenvoudig te raden.
Een paar voorbeelden:







het woord "passcode" of "wachtwoord" zijn er g zwak en gemakkelijk te raden.
de naam van de gebruiker of van de echtgenote of van één van zijn gezinsleden of
de naam van het huisdier.
woonplaats of geboorteplaats van de gebruiker of het merk van de auto of het
kenteken.
een letterreeks van b.v. het toetsenbord
gebruik van vreemde talen in het wachtwoord
Met bovenstaande keuzen zijn veel wachtwoorden door hackers en kraakprogramma's te
achterhalen.
2.2 Hoe werkt het kraken van een wachtwoord?
Omdat tegenwoordig steeds meer systemen eisen dat een wachtwoord ingewikkelder is
dan een simpel woord, bijvoorbeeld door een getal in het wachtwoord te vereisen, mislukt
een aanval met een woordenboek, een dictionary cracking.
Kraken op basis van een woordenlijst (dictionary) is de snelste manier, maar heeft het minste
kans op succes. Een programmaatje bevat een lijst met vele duizenden bestaande woorden die
een voor een volautomatisch worden vergeleken met het onbekende wachtwoord van het
slachtoffer. Wanneer dat wachtwoord dus een bekend woord als 'vriendin' is, zal het
programma het waarschijnlijk kunnen achterhalen. Met dergelijke software kan vaak
duizenden wachtwoorden per seconde uitgeprobeerd worden.
Met brute rekenkracht (brute force) kan een wachtwoord echter toch achterhaald worden.
Dat betekent dat de software iedere mogelijke tekencombinatie gaat vergelijken met het
doelwachtwoord.
Het doelwachtwoord kan bijv. het wachtwoord van een bankrekening zijn of de toegangscode
voor internetbankieren.
Stel dat een wachtwoord alleen cijfers en letters zou bevatten; een wachtwoord van 1 teken lang zou dan slechts 62 mogelijkheden opleveren (10 cijfers, 26 kleine letters en 26
hoofdletters). Een wachtwoord van 2 tekens lang levert al 62 x 62 : 3844 mogelijkheden
op. Dat lijkt heel veel, maar met de razendsnelle computers van tegenwoordig is het hooguit
secondewerk om dat af te werken.
3. Een veilig wachtwoord opstellen
In de voorgaande paragrafen heeft u kunnen lezen, hoe een hacker aan uw wachtwoord kan
komen. Het is daarom dus van belang het wachtwoord zo ingewikkeld mogelijk te maken.
Een vergelijking kunt u maken met de inbraakbeveiliging (als u die heeft) van uw huis. Hoe
moeilijker u het een inbreker maakt, des te veiliger zult u zijn. Met een hacker is dat precies
hetzelfde: hoe ingewikkelder het wachtwoord is, des te meer moeite moet hij of zij (want er
doen ook vrouwen aan hacking) doen om achter uw wachtwoord te komen.
En als u het goed doet, vergaat voor de hacker het plezier om het te achterhalen, want hij
moet veel te lang wachten voordat hij het juiste wachtwoord heeft gevonden met het
hackerprogramma.
4. Hoe maakt u een ingewikkeld wachtwoord?
Als voorbeeld maken we een wachtwoord voor een bankrekening. Het gaat om een rekening
bij de Samra Bank in Oesterdijke van de heer Parel.
Stap 1: Kies een zin
Deze eerste stap van belangrijk, want hij vormt de basis van uw wachtwoorden.
De bank heeft als slogan: Samra groen is willen en doen
De heer Parel kiest nu de eerste letter van alle woorden, dus: Sgiwed
Stap 2 Toevoegen van speciale tekens
Als 1ste speciale teken gebruikt Parel het hash-teken (#) en sluit af met een dubbele punt. Dus
het wordt: #Sgiwed:
Om het iets ingewikkelder te maken voegt Parel een ander teken aan toe. Hij vervang het
voegwoord en door het &-teken, het ampersand-teken (&), dat immers een verbinding
is tussen twee begrippen. Het wordt nu: #Sgiw&d:
Stap 3 Verbinden met een website
Parel is nu niet zo dom, om dit wachtwoord voor alle website te gaan gebruiken, Is misschien
wel gemakkelijk, maar toch nog gevaarlijk. Hij gaat nu het basiswachtwoord koppelen aan
een website.
Hij bestelt b.v. regelmatig bij Amazon en maakt het wachtwoord voor Amazon op de
volgende wijze: #Sgiw&d:AmZ
Voor zijn bank, de Samrabank luidt het wachtwoord: #Sgiw&d:Smr
Stap 4 Aantal rekeningen
Parel heeft blij zijn bank een aantal rekeningen, 2 stuks plus een hypotheek. Om het compleet
te maken geeft hij in het wachtwoord aan het aantal rekeningen.#Sgiw&d:3Smr
Stap 5 Testen van het wachtwoord
De heer Parel is benieuwd of zijn wachtwoord nu safe is. Hij gaat dat testen met een
wachtwoord-tester op internet. Een website is de volgende url:
http://www.testjewachtwoord.nl/. (zie volgende bladzijde)
Het laat direct zien wat de sterkte is van uw wachtwoord.
Neem rustig de tijd voor het bedenken van een zin, die veel voor u betekent. Het hoeft niet per
se een slogan te zijn, alhoewel een slogan gemakkelijk is om te onthouden.
U dient wel rekening te houden met de volgende opmerkingen:
 Geen enkele benadering van beveiliging kan 100% beveiliging garanderen, en niets
in dit artikel is bedoeld voor het leveren van enige zekerheidstelling of garantie van
de beveiliging van uw wachtwoorden.
 Mogelijk staan sommige websites het gebruik van bepaalde of alle speciale tekens
niet toe. zorg ervoor dat u weet welke speciale tekens er mogen worden gebruikt.
5. Onthouden van ingewikkelde wachtwoorden
Het bovenstaande lijkt misschien wel erg mooi, maar de wachtwoorden zijn wel complex
en moeilijk te onthouden. Geen probleem.
U heeft wel vaker gelezen in computerbladen, dat er z.g. wachtwoord-kluizen bestaan.
Eén daarvan is KEEPASS. Het is geheel gratis en eenvoudig te gebruiken. Zelf gebruik ik
het al een 5-tal jaren met veel gemak om wachtwoorden op te slaan.
P.L.M. van Tooren
Download