Makkelijke wachtwoorden? Er is een oplossing

beveiliging

Artikelgereedschap

Gepubliceerd: Dinsdag 25 oktober 2011
Auteur: Constantine von Hoffman

Gebruikers willen graag wachtwoorden hebben die makkelijk zijn te onthouden. Helaas betekent dat ook dat ze makkelijk te kraken zijn. Maar er is een oplossing.

De zwakste schakel in IT-security is doorgaans de eindgebruiker. Hun grootste zwakke plek is het wachtwoord. Gebruikers willen wachtwoorden die makkelijk zijn te onthouden - maar dat betekent ook dat ze makkelijk zijn te raden. De oplossing is iets dat makkelijk is te onthouden en moeilijk te kraken.

Dankzij de site Diceware is die mogelijkheid er nu. Diceware vervangt wachtwoorden door wachtzinnen. De reden is dat dat beter is voor gebruikers en voor security.

Kort gezegd komt het erop neer dat de meeste wachtwoorden die mensen genereren niet genoeg entropie (en dus onzekerheid) bevatten. Hoe meer onzekerheid er in uw wachtwoord zit, hoe beter het is. Diceware zorgt daarvoor.

Het is een simpel, gratis systeem dat is ontworpen door Arnold Reinhold, die boeken heeft geschreven over cryptografie. Het systeem vereist twee dingen: dat u kunt lezen en dat u een dobbelsteen heeft. (Er is dus toch een kostenpost: een dobbelsteen.)

Rol de dobbelsteen vijfmaal en schrijf elk resultaat op. Op die manier krijgt u een vijfcijferig getal, zoals 33151. Ga naar de Diceware woordenlijst, die 7776 korte Engelse woorden afkortingen en makkelijk te onthouden groepen letters bevat. Vind een woord dat overeenkomt met uw nummer. Herhaal dit drie (of meer) keer.

Ik kreeg het volgende:

33152 = Hobbs 54336 = slave 34362 = Jason 34345 = jam

U kunt dit veranderen zodat het makkelijk te veranderen is. Ik zou jam bijvoorbeeld veranderen in jams om een goed lopende zin te krijgen: Hobbs slave Jason jams.

Dit is zo simpel dat zelfs de mensen van marketing het zouden moeten kunnen gebruiken. Hopelijk.

U hoeft natuurlijk geen vier woorden te gebruiken. Gebruik er meer als u het moeilijker wilt maken om te kraken. Als u de Diceware-lijst niet wilt gebruiken, staat het u natuurlijk vrij om een eigen woordenlijst te genereren. Het systeem is makkelijk aan te passen.

Nog beter voor de security is natuurlijk om gebruikers zover te krijgen dat ze hun catchphrases regelmatig aanpassen. Veel succes daarbij.

Reacties

blog comments powered by Disqus

Masterclass CIO as Strategist, Nyenrode, 20 juni 2012.
Schrijf u nu in!

De zeer succesvol verlopen CIO Summit 2012.

Opinie

Nieuwsbrief

Blijf altijd op de hoogte van het laatste ICT-nieuws