Een computer kan meer dan 100.000.000.000 wachtwoorden per seconde raden. Denkt u nog steeds dat de uwe veilig is?

Wachtwoorden worden al duizenden jaren gebruikt om onszelf te identificeren tegenover anderen en, meer recentelijk, tegenover computers. Het is een eenvoudig concept – een stukje informatie dat tussen individuen wordt gedeeld, geheim wordt gehouden en wordt gebruikt om de identiteit te “bewijzen”.

Wachtwoorden in een IT-context ontstonden in de jaren 1960 met mainframe computers – grote centraal bediende computers met op afstand bediende “terminals” voor gebruikerstoegang. Ze worden nu voor alles gebruikt, van de pincode die we invoeren bij een geldautomaat, tot het inloggen op onze computers en diverse websites.

Maar waarom moeten we onze identiteit “bewijzen” aan de systemen waartoe we toegang hebben? En waarom zijn wachtwoorden zo moeilijk goed te krijgen?

Wat maakt een goed wachtwoord?

Tot voor kort was een goed wachtwoord een woord of een zin van slechts zes tot acht karakters. Maar nu hebben we richtlijnen voor de minimumlengte. Dat komt door de “entropie”.

Wanneer we het over wachtwoorden hebben, is entropie de maatstaf voor voorspelbaarheid. De wiskunde hierachter is niet ingewikkeld, maar laten we het onderzoeken met een nog eenvoudiger maatstaf: het aantal mogelijke wachtwoorden, soms aangeduid als de “wachtwoordruimte”.

Als een wachtwoord van één letter slechts één kleine letter bevat, zijn er slechts 26 mogelijke wachtwoorden (“a” tot “z”). Door ook hoofdletters te gebruiken, vergroten we onze wachtwoordruimte tot 52 mogelijke wachtwoorden.

De wachtwoordruimte wordt groter naarmate de lengte toeneemt en andere soorten tekens worden toegevoegd.

Wanneer een wachtwoord langer of complexer wordt gemaakt, neemt de potentiële ‘wachtwoordruimte’ sterk toe. Meer wachtwoordruimte betekent een veiliger wachtwoord.

Als we naar de bovenstaande cijfers kijken, is het gemakkelijk te begrijpen waarom we worden aangemoedigd om lange wachtwoorden te gebruiken met hoofdletters en kleine letters, cijfers en symbolen. Hoe complexer het wachtwoord, hoe meer pogingen nodig zijn om het te raden.

Het probleem met het vertrouwen op de complexiteit van wachtwoorden is echter dat computers zeer efficiënt zijn in het herhalen van taken – inclusief het raden van wachtwoorden.

Laatst jaar werd een record gevestigd voor een computer die elk denkbaar wachtwoord probeerde te genereren. Het bereikte een snelheid sneller dan 100.000.000.000 gissingen per seconde.

Door gebruik te maken van deze rekenkracht, kunnen cybercriminelen inbreken in systemen door ze te bombarderen met zo veel mogelijk wachtwoordcombinaties, in een proces dat brute krachtaanvallen wordt genoemd.

En met cloud-gebaseerde technologie kan het raden van een wachtwoord van acht tekens worden bereikt in slechts 12 minuten en kost het maar 25 dollar.

Ook omdat wachtwoorden bijna altijd worden gebruikt om toegang te geven tot gevoelige gegevens of belangrijke systemen, motiveert dit cybercriminelen om er actief naar op zoek te gaan. Dit leidt ook tot een lucratieve online markt voor de verkoop van wachtwoorden, waarvan sommige worden geleverd met e-mailadressen en/of gebruikersnamen.

U kunt bijna 600 miljoen wachtwoorden online kopen voor slechts AU$14!

Hoe worden wachtwoorden op websites opgeslagen?

Wachtwoorden op websites worden gewoonlijk op een beschermde manier opgeslagen met behulp van een wiskundig algoritme dat hashing wordt genoemd. Een gehasht wachtwoord is onherkenbaar en kan niet meer in het wachtwoord worden veranderd (een onomkeerbaar proces).

Wanneer u probeert in te loggen, wordt het wachtwoord dat u invoert, met hetzelfde proces gehasht en vergeleken met de versie die op de site is opgeslagen. Dit proces wordt elke keer dat u inlogt herhaald.

Het wachtwoord “Pa$$w0rd” krijgt bijvoorbeeld de waarde “02726d40f378e716981c4321d60ba3a325ed6a4c” wanneer het wordt berekend met het hashing-algoritme SHA1. Probeer het zelf maar.

Een bestand met gehashte wachtwoorden kan worden aangevallen met brute kracht, waarbij elke combinatie van tekens voor een reeks van wachtwoordlengtes wordt geprobeerd. Dit is zo gebruikelijk geworden dat er websites zijn die veelvoorkomende wachtwoorden vermelden naast hun (berekende) gehashte waarde. U kunt eenvoudig zoeken naar de hash om het bijbehorende wachtwoord te achterhalen.

Deze schermafbeelding van een Google-zoekresultaat voor de SHA gehashte wachtwoordwaarde ‘02726d40f378e716981c4321d60ba3a325ed6a4c’ onthult het originele wachtwoord: ‘Pa$$w0rd’.

De diefstal en verkoop van lijsten met wachtwoorden komt nu zo vaak voor dat er een speciale website – haveibeenpwned.com – is om gebruikers te helpen controleren of hun accounts “in het wild” zijn. Deze is uitgegroeid tot meer dan 10 miljard accountgegevens.

Als uw e-mailadres op deze site wordt vermeld, moet u zeker het gedetecteerde wachtwoord wijzigen, evenals op alle andere sites waarvoor u dezelfde referenties gebruikt.

Is meer complexiteit de oplossing?

Je zou denken dat met zoveel wachtwoordinbreuken die dagelijks plaatsvinden, we onze wachtwoordselectiepraktijken zouden hebben verbeterd. Helaas blijkt uit het jaarlijkse SplashData-wachtwoordenonderzoek van vorig jaar dat er in vijf jaar tijd weinig is veranderd.

Het jaarlijkse SplashData-wachtwoordenonderzoek van 2019 onthulde de meest voorkomende wachtwoorden van 2015 tot 2019.

Naarmate de computermogelijkheden toenemen, lijkt de oplossing een grotere complexiteit te zijn. Maar als mens zijn we niet bedreven in (of gemotiveerd tot) het onthouden van zeer complexe wachtwoorden.

We zijn ook het punt gepasseerd waarop we slechts twee of drie systemen gebruiken waarvoor een wachtwoord nodig is. Het is nu gebruikelijk om toegang te krijgen tot een groot aantal sites, waarbij voor elke site een wachtwoord nodig is (vaak van verschillende lengte en complexiteit). Uit een recent onderzoek blijkt dat er gemiddeld 70-80 wachtwoorden per persoon zijn.

Het goede nieuws is dat er hulpmiddelen zijn om deze problemen aan te pakken. De meeste computers ondersteunen nu wachtwoordopslag in ofwel het besturingssysteem of de webbrowser, meestal met de optie om opgeslagen informatie over meerdere apparaten te delen.

Voorbeelden zijn Apple’s iCloud Keychain en de mogelijkheid om wachtwoorden op te slaan in Internet Explorer, Chrome en Firefox (hoewel minder betrouwbaar).

Paswoordmanagers zoals KeePassXC kunnen gebruikers helpen lange, complexe wachtwoorden te genereren en deze op een veilige locatie op te slaan voor wanneer ze nodig zijn.

Hoewel deze locatie nog steeds moet worden beschermd (meestal met een lang “hoofdwachtwoord”), kunt u met behulp van een wachtwoordmanager een uniek, complex wachtwoord hebben voor elke website die u bezoekt.

Dit zal niet voorkomen dat een wachtwoord wordt gestolen van een kwetsbare website. Maar als het wordt gestolen, hoeft u zich geen zorgen te maken over het wijzigen van hetzelfde wachtwoord op al uw andere sites.

Er zitten natuurlijk ook kwetsbaarheden in deze oplossingen, maar dat is misschien een verhaal voor een andere dag.