De zin en onzin van een sterk wachtwoord: ‘Dit proberen criminelen als eerste uit’

Wie anno 2021 een paswoord als 123456 gebruikt, is lang niet de enige. Meer nog: uit onderzoek van wachtwoordmanager NordPass, waarbij miljoenen gegevens werden verzameld uit 50 landen, blijkt dat dit het meest gebruikte wachtwoord ter wereld is, ook in België. Velen doen er dus goed aan hun toegangscodes te herzien.

Mensen denken vaak dat het niet zoveel uitmaakt als hackers hun wachtwoord te pakken krijgen, zolang ze maar geen toegang hebben tot hun bankrekening. Volgens security-expert Roland van Rijswijk-Deij (Universiteit Twente) is dat niet waar. “Denk maar aan dat kopietje van je identiteitskaart dat je jezelf hebt gemaild, waarop je rijksregisternummer staat, je handtekening en foto. Iemand kan daarmee in jouw naam een bankrekening openen om daarop geld wit te wassen. Of een telefoon­abonnement afsluiten.”

Van Rijswijk-Deij noemt nog een misverstand. “Er wordt vaak gezegd dat je je wachtwoord om de drie maanden moet aanpassen, maar dat is eigenlijk onzin. Als je wachtwoord namelijk eenmaal is gekraakt, wordt het door hackers vaak direct gebruikt op al je accounts. Het heeft dan weinig zin als je tweeënhalve maand daarna je wachtwoord nog een keer verandert.”

Ook is Van Rijswijk-Deij geen fan van de tip dat je speciale tekens en cijfers moet toevoegen. “De meeste mensen nemen dan een woord en plakken er één teken en één cijfer achter (vaak 1!). Criminelen proberen dat als eerste uit.”

Hoe langer, hoe beter

Maar wat moet je dan wél doen? Uit onderzoek blijkt dat een wachtwoord vooral lekker lang moet zijn. “Dat is omdat bij een datalek hackers vaak lijsten vinden met versleutelde wachtwoorden. Met de rekenkracht van computers kunnen ze vervolgens gaan raden wat jouw wachtwoord is, die computers proberen gewoon alle opties.”

Hoe langer het wachtwoord dus is, hoe meer tijd ze nodig hebben om het te raden. Per teken in jouw wachtwoord zijn er namelijk 62 mogelijkheden: 26 kleine letters, 26 hoofd­letters en 10 cijfers. Als je vervolgens nóg een extra teken toevoegt, heb je dus 62 extra moge­lijk­heden. Bij een wachtwoord van maar twee tekens zijn er dus al (62x62) 3.844 mogelijke wachtwoorden. “Als je wachtwoord nog veel langer is, zijn er ontelbaar veel combinaties mogelijk en zijn hackers eeuwig bezig.”

Maar het is lastig om al die lange wachtwoorden met moeilijke tekens allemaal te onthouden. Van Rijswijk-Deij heeft daarvoor een tip. “Neem bijvoorbeeld de tekst van je favoriete lied.” Zoals het eerste couplet van ‘Bohemian Rhapsody’ van Queen, als je de eerste letter van ieder woord neemt en de vraagtekens laat staan, wordt het wachtwoord: Ittrl?Itjf?CialNefr. Dat is een stuk moeilijker te raden dan de naam van je kat.

Maar het makkelijkst is misschien wel een password manager. “Die kan voor iedere site een willekeurig wachtwoord verzinnen en onthoudt dat voor je. Jij hoeft maar één ingewikkeld en lang wachtwoord voor je password manager te onthouden.”