Het beruchte 'password' is niet langer het meestgebruikte wachtwoord. Het stokje is in 2013 overgenomen door een ander wachtwoord dat net zo voor de hand ligt en minstens zo onveilig is.
De nieuwe wachtwoordkampioen is “123456”, dat in de overzichtslijst van app-maker SplashData vorig jaar al op de tweede plaats stond. De nieuwe nummer twee is “password”, gevolgd door een rij beruchte klassiekers zoals “12345678”, “qwerty” en “abc123”. Deze staan respectievelijk op de plaatsen 3, 4 en 5. Overigens is SplashData een bedrijf dat onder andere de SplashID-wachtwoordmanager voor smartphones maakt.
Sinds 2011 is het bekende en beruchte “password” het meestgebruikt wachtwoord en is daarmee ook het meest slechte en onveilige wachtwoord wat er bestaat.
De top 25 van 2013 is flink beïnvloed door de enorme cyberinbraak bij Adobe vorig najaar, waarbij de versleutelde wachtwoorden van miljoenen gebruikers werden gestolen. Een groep cybercriminelen had niet alleen de broncode van enkele Adobe-producten buitgemaakt maar ook bijna 3 miljoen gegevens van klanten. Later bleek dat er broncode van meer software (ook die van Photoshop) gestolen was én nog veel meer gegevens van klanten. Adobe verklaarde achteraf dat er niet 2,9 miljoen maar 38 miljoen klanten waren getroffen. Dat is dertien keer zoveel!!
Een deel van de gestolen versleutelde wachtwoorden is vervolgens ontcijferd. Diverse security-experts hebben na deze ontcijfering de gebruikte, veelal zwakke, wachtwoorden geanalyseerd en online gezet. SplashData baseert zijn jaarlijsten op de vele miljoenen uitgelekte wachtwoorden van diverse hackincidenten. Het online zetten van makkelijk te raden - en dus ook eenvoudig te kraken - wachtwoorden als “adobe123” en “photoshop” heeft echter niet geleid tot echt betere wachtwoorden. Volgens SplashData zijn er afgelopen jaar juist meer korte nummerreeksen gebruikt als wachtwoorden. Nieuwkomers in de 2013-lijst zijn “1234” op nummer zestien, “12345” op nummer twintig, en “000000” als hekkensluiter op nummer vijfentwintig.
Maar, wat is nu concreet een goed wachtwoord? Een belangrijke vraag! Een goed wachtwoord moet niet alleen veilig zijn, maar ook nog eens makkelijk te onthouden. De bekende tekenaar van xkcd.com heeft hier een heel verhelderende spotprent over gemaakt:
En hieruit komt naar voren dat Tr0ub4dor&3 minder veilig dan correct-paard-batterij-nietje. Waarom dat is komt door drie eenvoudige redenen:
1. De wachtwoordzin bevat simpelweg meer tekens dan het enkele woord.
2. De "rare" tekens zijn voor een aanvaller niet veel moeilijker te kraken dan gewone letters.
3. De liggende streepjes tussen de vier willekeurige woorden, maken een woordenboekaanval zinloos: de aanvaller weet simpelweg niet waar de streepjes staan in de zin, dus kan hij überhaupt geen woordenboek gebruiken.
Met andere woorden: we maken het ons zelf een beetje te moeilijk.... Vier willekeurige woorden, verbonden door liggende streepjes, leveren dus een uitstekend en zeer veilig wachtwoord op, dat bovendien heel makkelijk te onthouden is.
Kortom: een goed wachtwoord maken is gelukkig heel eenvoudig!
Als je niet geloofd in de veiligheid van de wachtwoordzin uit mijn voorbeeld, dan zou je kunnen overwegen om software te gaan gebruiken die de wachtwoorden voor je maakt, de zogeheten wachtwoordbeheerders.
Wachtwoordbeheerders zijn programma's die automatisch wachtwoorden aanmaken welke zowel random als complex zijn. Je hoeft je geen zorgen te maken dat je een hexadecimale code hoeft te onthouden, want de applicatie regelt dat voor je. Er is cloudsoftware die deze functie vervult en velen werken op mobiele platforms.
Er zijn diverse wachtwoordbeheerders op de markt; Ik zelf maak altijd gebruik van LastPass. Verder heb je nog KeePass en de software van Roboform die momenteel een jaar lang gratis wordt aangeboden bij wijze van welkomstaanbieding.
Volgende maand zal ik Keepass onder de loep nemen. LastPass is in 2012 al eens aan bod geweest. In de tussentijd zou ik als ik jullie was, je wachtwoorden maar eens nakijken en bedenken of deze eigenlijk wel veilig genoeg zijn om te gebruiken. En denk eraan: ga nu niet de wachtwoordzin uit mijn voorbeeld gebruiken en gebruik ook NIET hetzelfde wachtwoord voor Facebook en bijv. je bank. Maar dat zal een ieder toch wel begrijpen. ;)