Archief voor 02/11/2007
Sterk
Wie kent het principe van het sterke wachtwoord? Dus een wachtwoord als Ak€?bru5}XZ! dat regelmatig verandert. Er zijn mensen die denken dat dergelijke wachtwoorden veiliger zijn dan een wachtwoord als Tegelsoep of Graaimachine.
Laat ik beginnen bij het begin: is een wachtwoord een goede manier van beveiligen? Ik vind van niet. Het is makkelijk, dat wel. Een wachtwoord is zo makkelijk omdat je er geen ingewikkelde apparatuur voor nodig hebt. Geen vingerafdruk- of irisscanners, stemherkenners, kaartlezers, RFID ontvangers, alleen een toetsenbord.
Het principe van een wachtwoord is dat het geheim is.
Het gevaar van wachtwoorden is dus onder andere:
- het wordt uitgeleend
- het wordt doorverteld
- het wordt vergeten
- het wordt als je het vergeet altijd op dezelfde waarde teruggezet (bijvoorbeeld PIN 0000)
- het wordt opgeschreven
- het wordt afgekeken
- het wordt gekraakt
Een wachtwoord kan alleen maar veilig zijn als het zo vaak verandert dat het -eenmaal in verkeerde handen terecht gekomen- niet meer bruikbaar is. Daarmee is een wachtwoord eigenlijk niet geschikt om door mensen te worden gebruikt, dus alleen door machines.
Over wachtwoorden is veel nagedacht, met name over de versleuteling ervan en het kraken. Een van de dingen die je vaak hoort is dat wachtwoorden sterk moeten zijn. De reden is dat sommige computers je wachtwoord lokaal opslaan, minder of meer versleuteld. Oerdom natuurlijk, daarmee is het in wezen al uitgelekt: dit vraagt gewoon om kraken. Dit moet een heel belangrijk principe zijn: het wachtwoord mag op geen enkele manier aan het systeem te onttrekken zijn en dus ook nergens worden opgeslagen. Vertrouw daarom dus geen enkel systeem dat je op verzoek je wachtwoord kan mailen.
Als het wachtwoord direct na het inloggen verdwenen zou zijn, dan zou de noodzaak van een sterk wachtwoord direct vervallen.
Ik wil dat illustreren aan de hand van de PIN. Ik zal jullie om te beginnen eens een geheimpje verklappen: mijn PIN is maar 4 tekens lang en het nog allemaal cijfers ook! En mijn pasje is in feite een gemakkelijk kopieerbare magneetstrip.
Wisten jullie natuurlijk al lang. Dat geldt immers voor al die PINs en al die pasjes. Toch is die PIN het belangrijkste wachtwoord dat ik heb. Totaal geen sterk wachtwoord, en jaren achtereen hetzelfde. De enige reden dat het goed werkt is dat ik de code aan niemand vertel, en dat de pas definitief wordt geblokkeerd nadat driemaal een verkeerde code is gegeven. Een z.g. brute force attack heeft daardoor weinig kans op succes.
Wie van jullie wordt lastig gevallen met sterke wachtwoorden?