Wat is een goed wachtwoord?

Naar aanleiding van de actualiteiten, de openbaarmaking van vele LinkedIn-wachtwoorden die via een lek verkregen zijn, de volgende tips voor een sterk (nieuw LinkedIn-) wachtwoord. Het is een bericht dat ik al eerder heb getypt, dus het kan een enkeling bekend in de oren klinken.

Over wachtwoorden
Simpele wachtwoorden zijn eenvoudig te kraken. Vergelijk op deze site (http://howsecureismypassword.net) bijvoorbeeld 12345678, web$ite of welkom12 maar eens met ‘W8jHnm9!’ Een wachtwoord dient dan ook nooit uit bestaande woorden of namen te bestaan, zelfs niet als deze achterstevoren geschreven zijn. Er zijn gratis programma’s beschikbaar die deze aan de hand van een woordenboek kunnen achterhalen. Ook een wachtwoord dat alleen uit cijfers bestaat is makkelijk te achterhalen. Gebruik dus beter niet je telefoonnummer, geboortedatum of postcode in een wachtwoord!

Wat is een sterk wachtwoord en hoe onthoud ik deze?
Hoe langer het wachtwoord, hoe kleiner de kans dat deze gekraakt wordt. Sommige sites vereisen minimaal 8 tekens, maar verzin liever een wachtwoord met bijvoorbeeld 12 tekens. Zorg dat het wachtwoord in ieder geval kleine letters, hoofdletters, cijfers en speciale tekens bevat en dat het een uniek wachtwoord is, zodat wanneer het wachtwoord van de ene site op straat komt te liggen, niet al je andere accounts onbeschermd zijn.

Klinkt lastig om te onthouden, maar dat hoeft niet zo te zijn. Daarnaast is het mogelijk om dezelfde structuur te gebruiken voor alle sites, door een site-specifieke toevoeging aan het wachtwoord.

Een sterk wachtwoord ziet eruit alsof het door een computer gegenereerd is met volstrekt willekeurige tekens door elkaar (bv. W8jHnm9!), terwijl het dat niet is. Hier een voorbeeld van hoe je zo’n wachtwoord opbouwt.

Start: Verzin een simpel zinnetje, bijvoorbeeld:

Iheb een wachtwoord voor Robertlindeboom.N& deze bestaat uit verschillende tekens!

en neem van elk woord de eerste letters (denk aan de hoofdletters en let op het &-teken). Van de websitenaam kunnen eventueel de eerste twee letters en de ‘n’ van .nl gekozen worden:

IhewvRoN&dbuvt!

Verder nemen we bijvoorbeeld wat letters en de cijfers die makkelijk te onthouden zijn, bijvoorbeeld uit je adres (Straatnaam 37):

Sn37

Om het nog wat onherkenbaarder te laten lijken, kunnen we er een speciaal teken (!, @, #, $, %, -) tussen zetten, bijvoorbeeld:

@Sn#3-7

Alles aan elkaar geplakt, maakt:

IhewvRoN&dbuvt!@Sn#3-7

Een letter zoals de S kan worden vervangen door een dollarteken (want die lijkt op een S: $) en maakt het wachtwoord nog sterker. Op dezelfde manier kan een a worden vervangen door een @:

IhewvRoN&dbuvt!@$n#3-7

Dit is een extreem sterk wachtwoord. Zelfs als iemand naar de toetsen kijkt terwijl je het wachtwoord invult, zal hij of zij het niet kunnen onthouden.

Omdat op deze manier elke website een eigen wachtwoord heeft, maakt het niet zo veel uit als het wachtwoord ooit per ongeluk uitlekt. Bovenstaande wachtwoord is namelijk voor de website RobertLindeboom.nl, maar voor bijvoorbeeld ‘facebook.com’ zou het wachtwoord er zo uit zien:

IhewvFaC&dbuvt!@$n#3-7

en voor Wikipedia.org:

IhewvWiO&dbuvt!@$n#3-7

Misschien weet je een beter te onthouden zinnetje dan de in dit voorbeeld gebruikte (zoals iets met je favoriete boek of film of alles in een andere volgorde) maar het principe blijft toepasbaar. Deel deze tip, zodat iedereen een eenvoudig te houden maar sterk wachtwoord heeft.

Nog enkele tips
– Schrijf de basiszin ergens op, zodat je morgen niet het probleem heeft dat je het wachtwoord bent vergeten.
– Sommige sites vragen om je e-mailadres en e-mailwachtwoord ‘voor kans op prijzen’. Doe dit NOOIT! Je e-mailwachtwoord vul je alleen in om je mail te lezen op de site van de mailprovider zelf.
– Test het nieuwe wachtwoord in de bovengenoemde site.
– Het wachtwoord hoeft niet per se zo ingewikkeld te zijn als het wachtwoord hierboven, als er maar hoofdletters, kleine letters, cijfers en speciale tekens in zitten. En hou in ieder geval minimaal 8 tekens aan.
– Heb je een Google-account, bv. voor je Androidtelefoon of Gmail? Kijk dan eens op https://www.google.com/settings/security naar de instelling ‘Verificatie in twee stappen’. Deze optie vraag op nieuwe apparaten (dus in principe niet telkens op je eigen computer of telefoon) om naast je wachtwoord een extra code in te vullen. Op die manier maakt het niet uit als anderen je wachtwoord hebben ontfrutseld.
– Je kan je wachtwoorden ook laten beheren door een programma zoals LastPass (of een ander programma). Uitleg en instellen: hier.

Succes!