Vandaag was in het nieuws dat het met veilige wachtwoorden nog steeds niet goed gesteld is. De wachtwoorden '123456' en 'password' waren de meest gebruikte wachtwoorden in 2015. Dat zegt volgens nu.nl een lijst op basis van een database met ruim 2 miljoen uitgelekte wachtwoorden.
Alvorens ik in ga op de bron van het bericht, eerst even het belang van de boodschap. Natuurlijk is het zo dat we voorzichtig moeten omgaan met onze wachtwoorden. Net zoals we dat doen met onze sleutels van de auto en de voordeur. Zonder wachtwoorden krijg je geen toegang tot applicaties, en van sommige applicaties wil je niet dat de gegevens 'op straat' komen te liggen. Dat weet iedereen wel.
Maar handel daar maar eens naar. Dat doen een heleboel mensen niet. En ik kan het (zoals iedere ict-coördinator) weten. Ik zie relatief een hoop wachtwoorden voorbij komen. Nee, de voornaam van één van je gezinsleden met daarachter het geboortejaar van één van je (andere) gezinsleden is geen sterk wachtwoord. Ook al voldoet dat wel aan alle regeltjes van het wachtwoordbeleid van de organisatie.
Sterker nog een wachtwoord zou strikt genomen niet eens gebaseerd moeten zijn op een bestaand woord.
Maar hoe dan?
Want je wilt je wachtwoord eigenlijk ingewikkeld te raden maken, maar ook makkelijk te onthouden. Dat hoeft elkaar niet tegen te spreken. Twee tips:
1. Gebruik een wachtwoordgenerator
Dat levert geheid moeilijker wachtwoorden op dan je zelf zou kunnen verzinnen. Wat ik bij systeem-wachtwoorden vaak doe, is dat ik een wachtwoordgenerator (bijv. deze) een aantal wachtwoorden laat genereren en van dat lijstje dan de makkelijkste kies. Maar dit is eigenlijk alleen een optie voor wachtwoorden die je regelmatig gebruikt. Die onthou je namelijk niet met je hoofd, maar met je vingers is mijn ervaring. Zet een toetsenbord met een andere indeling neer, en je weet het niet meer,
2. Verbouw een zin tot wachtwoord
De tweede tip is beter te hanteren voor de gemiddelde gebruiker. Ik las ooit een artikel op Dutchcowboys over het genereren van wachtwoorden. Zij stellen de volgende simpele stappen voor:
"1 - Denk aan een zin die je gemakkelijk kunt onthouden, bijvoorbeeld: "Oasis en Simon & Garfunkel zijn de favoriete bands uit mijn jeugd".
2 - Neem de eerste letters van elk woord van deze zin: OESEGZDFBUMJ
Dit vormt de basis van je wachtwoord.
3 - Om het wachtwoord sterker te maken varieer je vervolgens in hoofdletters en kleine letters. Je wachtwoord ziet er dan als volgt uit: oESeGzDFbUMj
4- Wissel vervolgens sommige letters om voor een cijfer. De letter O wordt bijvoorbeeld een nul.
0ESeGzDFbUMj
5 - Voeg nu speciale tekens toe, je kunt bijvoorbeeld 'en' vervangen door + of &
0+S&GzDFbUMj"
Hoewel ik vind dat er door gebruikers veel meer aandacht besteed mag worden aan het gebruiken van veilige wachtwoorden, heb ik ook wel opmerkingen bij het bericht dat vandaag in het nieuws kwam. Die lijst blijkt dus samengesteld te zijn uit een database met gelekte wachtwoorden. Het lijkt mij dat er in een database met gelekte wachtwoorden relatief meer 'makkelijke' wachtwoorden zitten. Het feit dat een wachtwoord makkelijk te raden valt, maakt de kans toch groter dat hij in zo'n database met gelekte wachtwoorden terecht komt?
Daarnaast is het ook aardig om naar de bron te kijken. Voor zover ik het kan zien, gaat het om Splashdata, die twee diensten uitventen. Namelijk TeamsID en SplashID, beide oplossingen voor wachtwoordmanagement. Zo'n partij heeft er uiteraard veel baat bij dat beslissers denken dat het erg slecht gesteld is met het wachtwoordmanagement van de gemiddelde gebruiker. Slim om jaarlijks een bericht de wereld in te sturen met deze strekking dus.
Geen opmerkingen:
Een reactie posten