Wachtwoordbeleid voor Humankind

Mail 'Sterke wachtwoorden in 2024' d.d. 13 februari 2025

Hi Francis, Tom en Gaston,

Zoals vanochtend besproken:

Grofweg zijn er 3 soorten authenticatie:

je weet iets (bijv een wachtwoord of pincode)
je hebt iets (toegang tot een mail account of device, bijv. Je krijgt een tijdelijke code of moet bevestigen met een link of code in je mail, of een authenticator-app op je telefoon, of een ‘druppel’ aan je sleutelbos)
je bent iets (biometrische authenticatie)

Met (2) of (3) in gebruik, is (1) steeds minder van belang.

Mocht je ergens toch nog een wachtwoord voor nodig hebben, denk dan aan het volgende.

Wachtwoorden kunnen op 3 manieren ‘gekraakt’ worden:

Social engineering: het wachtwoord wordt je op een slimme manier ontfutselt, bijv. met een babbeltruc, of omdat je verleid wordt op een nep-site je wachtwoord in te geven. Laten we het ‘opschrijven op een Post-It’ en ‘mijn wachtwoord is makkelijk te raden want het is de voornaam en geboortedatum van mijn kind’ hier ook onder rekenen. Hoe lang of complex je wachtwoord is maakt eigenlijk weinig uit dan.
Brute force attacks: met een algoritme worden eindeloos combinaties van letters, cijfers en leestekens geprobeerd, totdat het ‘bingo!’ Is. Voor deze aanval zijn lengte en complexiteit van een wachtwoord van belang. Zie de tabel. Nadeel is dat lange, complexe wachtwoorden moeilijk te onthouden zijn, en dus in de praktijk weer het risico meebrengen dat ze ergens genoteerd worden.
Dictionary attacks: de aanvaller gebruikt een lange lijst met (combinaties van) woorden welke automatisch worden uitgeprobeerd totdat het wachtwoord geraden is. Dit soort lijsten is gewoon online te vinden, omdat ze bijv. ook in pentesten gebruikt worden.

Vanuit deze gedachten wordt tegenwoordig aangeraden om voor wachtwoorden ’three random words’ te kiezen.

Met vriendelijke groet, Kind regards,
Richard Kranendonk