Hoe sterk is uw wachtwoord echt?
Wie dezer dagen een account aanmaakt en een wachtwoord moet verzinnen op een zichzelf respecterende website krijgt te maken met een metertje dat de sterkte van je wachtwoord meet. Zwakke exemplaren zijn meestal ronduit verboden, terwijl sterke varianten aangemoedigd worden. De groene balkjes bieden een interessante houvast voor de zoektocht naar het wachtwoord der wachtwoorden, maar onderzoek van de universiteit van Concordia in Montreal toont aan dat de metertjes verre van effectief zijn, en in veel gevallen zelfs ronduit verkeerd.
Inconsistentie
Voor het onderzoek, dat gepubliceerd wordt in het wetenschappelijke tijdschrift ACM Transactions on Information and System Security, haalden de wetenschappers miljoenen matige wachtwoorden door de meters die door vooraanstaande websites gebruikt worden. Denk daarbij aan Google, Yahoo, Dropbox, Twitter en Skype. Ook metertjes in wachtwoordmanagers werden onder de loep genomen.
De bevindingen tonen aan dat een groen metertje niet noodzakelijk reden geeft tot optimisme. “De resultaten zijn hoogst inconsistent”, weet professor Mohammad Mannan. “Wat de ene meter als sterk zag bestempelde een andere als zwak.”
Verwarring
Volgens de onderzoekers kunnen de inconsistenties gebruikers verwarren en ze in het slechtste geval aanzetten tot het kiezen van een wachtwoord dat eigenlijk zwakker is. Bovendien houden ze maar al te vaak rekening met een abstracte en ontoereikende set van regels, zoals de hoeveelheid verschillende tekens of symbolen die in een wachtwoord aanwezig zijn. Dat de vereiste diversiteit bovendien verschilt van website tot website, helpt al helemaal niet om de gebruiker een goed idee te geven van wat een goed wachtwoord is. Bovendien maken veel verschillende symbolen een wachtwoord moeilijk om te onthouden, maar niet moeilijk om te kraken voor een computer.
Dat wil niet zeggen dat er geen goede hulpmiddelen bestaan. “De eenvoudige tool van Dropbox is redelijk effectief in het analyseren van wachtwoorden en is een stap in de goede richting”, vindt Mannan. Dat komt omdat de meter van Dropbox verder gaat dat de analyse van de lengte en het gebruikte aantal tekens in een wachtwoord. Entropie staat centraal: hoe moeilijk is het voor een computer om het wachtwoord echt te raden?
Wat is slecht?
Wat is volgens Dropbox dan een goed wachtwoord? Als je wachtwoord niets meer is dan een variatie op een herkenbaar woord, dan kan je beter doen. Een woord met symbolen, hoofdletters en cijfers, en zelfs een willekeurig teken op het einde is moeilijk om te onthouden, maar niet noodzakelijk moeilijk om te raden, al suggereren metertjes vaak het tegendeel.
De webcomic xkcd geeft een goed voorbeeld, dat Dropbox ook zelf aanhaalt op z’n blog. Het wachtwoord Tr0uB4dor&3 is gebaseerd op de naam van de Amerikaanse band Troubador, met daar twee willekeurige tekens aan toegevoegd. Het lijkt sterk en is alvast moeilijk te onthouden. Helaas zijn we de laatste jaren erg goed geworden in het verzinnen van wachtwoorden waar we zelf niet opkomen, maar die een pc met plezier raadt. Bovenstaand wachtwoord kan een computer kraken op zo’n drie dagen aan 1000 pogingen per seconde.
Hoe moet het wel?
Een semi-willekeurige combinatie van woorden is veel interessanter. Correcthorsebatterystaple geeft de comic als voorbeeld. Dat wachtwoord onthoud je door aan een paard te denken dat correct raadt dat het naar een nietje in een batterij kijkt. Nonsens, maar stel je er een beeld bij voor en je zal het onthouden. Vreemde tekens en symbolen zijn volledig afwezig in bovenstaand wachtwoord, maar een computer zou er zo’n 550 jaar over doen om het te kraken. Ook een mens zal niet zomaar op de woordencombinatie komen.
Mannan contacteerde verschillende bedrijven over de ontoereikendheid van hun wachtwoordcheckers, maar de informatie viel tot nu toe in dovemansoren. De gouden raad hier is dus: vertrouw niet op het metertje van de wachtwoordcontroleur, maar denk zelf na. Rood is niet altijd slecht en groen is niet noodzakelijk goed.