Waarom lange eenvoudige wachtwoorden veiliger zijn dan korte moeilijke.

Brigit SAFETY

Ziet dit er bekend uit?

Maak een nieuw wachtwoord aan van tenminste 8 karakters met minimaal een van de volgende tekens:

  • één hoofdletter [A-Z]
  • één kleine letter [a-z]
  • één numeriek teken [0-9]
  • één van de volgende speciale tekens:
    `! @ $% ^ & * () – _ = + [+]; : ‘”, <.> /?
Je houdt je je aan alle bovenstaande regels en je wordt alsnog gehackt hoe kan dat?

Een van de methodes om digitaal in te breken is een brute-force attack. Een programmaatje wat simpelweg alle mogelijke opties uitprobeert, net zo lang tot er een gevonden is die klopt. Een inefficiënte methode door de lange duur, maar wel 100% trefzeker.

Om een wachtwoord van 8 karakters aan te maken heb ik gebruik gemaakt van de Password Generator en de 8 gevraagde tekens toegevoegd. Mijn nieuwe “veilige” wachtwoord is: 69k|N_Ix  Laten we eens checken hoe veilig dit wachtwoord nu eigenlijk is.

Ik gebruik hiervoor twee verschillende password checkers: passfault en howsecureismypassword

Binnen 2 dagen …

Hoewel wachtwoorden van minimaal 8 karakters en een combinatie van letters, symbolen en cijfers, zoals 69k|N_Ix , door veel websites als “sterk” worden gekenmerkt is de realiteit is dat veel van deze wachtwoorden vaak al binnen een dag gehackt kunnen worden.

Gebruik ik een simpele zin: de hond van mijn dochter is Kees! dan krijg ik de volgende cijfers

Zo’n 34505747788007776 eeuwen …

Het verschil zit in de hoeveelheid karakters. Hoe langer je wachtwoord, hoe lastiger het te achterhalen is. Deze zin telt, inclusief spaties, 33 karakters. Gebruik je de lengte in combinatie met een iets andere spelling wordt het nog beter. Om het wachtwoord: de hond van mijn dochter is K€€s! te kraken doet een bot er volgens How Secure is My Password  er 12 sesvigintillion jaar over.

Wat kan je nog meer doen

Heb je een website waar bezoekers in kunnen loggen zoals een webshop of e-learning dan is het een goed idee je bezoekers te dwingen sterke wachtwoorden te gebruiken. Dit kan je regelen met de inlog beveiligingsopties in de WordFence plugin. Je kan hier ook inlogpogingen beperken door hun Brute Force Protection-instellingen in te schakelen. Je stelt dan een limiet aan het aantal inlogpogingen, bijvoorbeeld 20. Zodra er meer dan 20 keer fout is ingelogd is de gebruiker buitengesloten gedurende de tijd die jij daarvoor instelt.