Het is World Password Day. Al deze 'Tech Days' zijn natuurlijk geen erkende vakantiedagen, maar sommigen zijn wel (bijna) even belangrijk. Password Day is de geschikte dag om jezelf er weer even aan te herinneren of jouw wachtwoordbeheer nog in orde is.
In de laatste 20 jaar zijn de password policies nogal veranderd. Van “This is my password” tot “Welkom01”, in deze blogpost neemt Nigel Brik, Technical Lead Security, je graag mee in een stukje geschiedenis en wat slim is om vandaag de dag te gebruiken als wachtwoord.
The early days 80’s en 90’s
Als men zegt “vroagah was alles betah” hebben ze het in ieder geval niet over wachtwoorden. In de 80’s en 90’s was het echt aan de gebruiker om een wachtwoord te gebruiken die niemand anders wist. De befaamde voorbeelden hiervan zijn natuurlijk wachtwoorden zoals “password” of “geheim”. De film “Hackers” (1995) heeft hier een prachtige one-liner over; “The four most-used passwords are: love, sex,secret, and... god.” Ik denk dat menig Zoomer zich niet kan voorstellen dat dit ooit een mogelijkheid was.
.jpeg)
De 2000’s
Men komt erachter dat password policies een ding is. Het is een fancy woord voor wachtwoordbeleid. Buiten dat het beleid is dat mensen verplicht zijn om moeilijkere wachtwoorden te gebruiken kan het ook in het systeem vaak worden verplicht. Vroegere voorbeelden hiervan zijn bijvoorbeeld het toevoegen van een cijfer. Later begon men met het forceren van vreemde tekens en dergelijke. Befaamde voorbeelden zijn “Welkom01!” en “Zomer2009@”. Niemand zou deze kunnen raden, toch?
Omdat wachtwoorden te complex werden en moeilijk te onthouden begon men het ook op te schrijven op geeltjes en plakten het op hun monitor. De nachtmerrie van elke Security Officer.
2010’s – There is light at the end of the tunnel.
In 2021 werd in een van de meest bekende security comics ooit geplaatst, correct horse battery staple. In deze comic wordt op een makkelijke manier aangetoond dat het complex maken van een wachtwoord door middel van het toevoegen van vreemde tekens helemaal niet zo slim is. Lengte van je wachtwoord is belangrijker en door gebruik te maken van gekke tekens is er een grotere kans dat men wachtwoorden op geeltjes of in bestanden op de desktop gaan bewaren omdat ze simpelweg te moeilijk zijn om allemaal te herinneren. Het eens in de twee maanden moeten veranderen van wachtwoorden is natuurlijk ook niet motiverend om elke keer nieuwe, sterke wachtwoorden te verzinnen.
Ikzelf heb in de 2010's bij drie werkgevers gewerkt, bij alle drie kreeg ik een wachtwoord gelijk aan ‘’Welkom01!’’ bij aanvang en alle drie hadden een ongelooflijk moeilijke password policy met een cijfer en twee vreemde tekens. Het licht scheen nog niet overal. Oh – en één van deze omgevingen was een, niet nader te noemen, hoog gerubriceerde omgeving.
2020’s, are we there yet?
Nope.
Hoewel de wetenschap ook laat zien wat er het beste is duurt het even voordat dit is doorgedrongen bij de rest van de wereld. Gelukkig zijn er organisaties zoals het NCSC die het makkelijker maken voor de (rijks) Overheid en bedrijven van Nederland.
Zo hebben zij in 2022 een factsheet gepubliceerd over het gebruik van tweefactorauthenticatie. Wat daar ook in wordt aanbevolen is het niet meer periodiek vervangen van wachtwoorden.
Er worden veel policies gepusht en langzaam zie je in de wereld dat ze wel de goede kant op gaan maar niet snel genoeg, volgens menig security professional.
2030's
Quantum.
Het volgende buzzword van de CyBeRwereld. Iedereen wil er iets van vinden en er iets mee doen. Wat is dat? In makkelijke woorden, een nieuwe technologie zodat we 'superdupercomputers' krijgen die wachtwoorden supersnel kunnen kraken. Om deze reden wordt het nu al aanbevolen om langere en complexere wachtwoorden te gebruiken zodat je “zeker” veilig bent de komende jaren.
Waarom moet je eigenlijk sterke wachtwoorden gebruiken? Dat heeft toch iets te maken met het kraken van wachtwoorden? Vorige jaar hebben we een TikTok gemaakt om aan te tonen hoe makkelijk het is!
Encryptie, hashing en salting van wachtwoorden is een heel ander verhaal. Daar zou ik pagina’s over kunnen schrijven die niemand wil lezen. Wat je moet weten is dat je wachtwoord aan de andere kant wordt opgeslagen, ze moeten natuurlijk wel weten dat het wachtwoord dat jij invult correct is. Om dit veilig te doen zorgen ze dat er een wiskundige formule overheen gaat zodat het opgeslagen wachtwoord niet meer leesbaar is voor menig persoon. Als jij op die applicatie of website inlogt doet hij een gelijke wiskundige formule en vergelijkt hij die met het opgeslagen wachtwoord. Klopt dat, dan mag je erin. Easy.
Dus, tl;dr, wat moet je nou?
Heel simpel: Als je een wachtwoord moet maken, gebruik een lang wachtwoord dat je kunt onthouden. Wachtwoord managers zijn okay. Gebruik overal waar je kunt tweefactorauthenticatie, dat kan tegenwoordig gewoon met een app op je telefoon die je toch altijd bij je hebt in 2024.
Hoe moet het niet?
Bekende wachtwoorden gebruiken, een getal erachter zetten in de gedachte “dat het dan goed is”, obfuscatie door middel van een o met een 0 te vervangen, letters die in een rij staan op je toetsenbord (qwert), datums of persoonsgegevens en als belangrijkste boodschap: GEEN WACHTWOORDEN HERGEBRUIKEN.
Dus, hoe veilig zijn jouw wachtwoorden nog?