Home /
Blog /
5 redenen waarom het gebruik van het wachtwoord zijn beste tijd heeft gehad

5 redenen waarom het gebruik van het wachtwoord zijn beste tijd heeft gehad

woensdag 18 februari 2015
 
 

ww2‘geen maatstaf voor het meten van wachtwoordsterkte’ - Al vanaf de jaren ’60 gebruiken we een gebruikersnaam en wachtwoord. In 2015 beheert elke internetgebruiker gemakkelijk meer dan tien wachtwoorden. Voor een hacker is de jacht naar wachtwoorden een lucratieve business geworden. Het succesvol achterhalen van een wachtwoord verstrekt toegang tot iemand zijn gehele digitale leven.  

Bedrijven en overheden die online opereren doen er alles aan om de veiligheid van gebruikers te waarborgen. Dit doen ze door steeds strengere eisen aan het wachtwoord te stellen. Zo is op DigiD.nl vereist dat je wachtwoord bestaat uit; een hoofdletter, een kleine letter, een cijfer en een symbool. Bovendien moet het wachtwoord minstens een aantal tekens lang zijn. Meer eisen stellen aan een wachtwoord vergroot de entropy van een wachtwoord. Entropy betekent wachtwoordsterkte. Tenminste dat is wat we denken. 

Er is geen standaard maatstaf om wachtwoordsterkte te meten. Lorrie Faith Cranor, computerwetenschapper en engineering professor aan de Carnegie Mellon University (Pittsburgh, Verenigde Staten) is op onderzoek uitgegaan. Het blijkt dat er een aantal opvattingen over wachtwoordsterkte misplaats zijn. Zo blijkt het dat bepaalde eisen die aan een wachtwoord worden gesteld, een wachtwoord helemaal niet sterk maken. Mede daarom is het gebruik van een wachtwoord in 2015 niet langer meer houdbaar. Hieronder volgen vijf redenen waarom het gebruik van een wachtwoord niet langer houdbaar is.

 

Reden 1: We zijn geneigd hetzelfde wachtwoord te kiezen voor verschillende services

Cranor begon haar onderzoek op haar eigen faculteit. Het bleek dat 80% van de studenten zijn of haar wachtwoord voor verschillende sites gebruikt. Cranor bevestigt dat dit een van de redenen is waarom een hacker graag wachtwoorden kraakt. “Ons leven vindt steeds meer digitaal plaats; we kopen en verkopen online, we regelen zaken met de overheid online, we zoeken ontspanning online en we gebruiken vaak hetzelfde wachtwoord voor verschillende services. Een paradijs voor hackers”, zegt Cranor.  

 

Reden 2: Het eisen van cijfers en symbolen blijkt de wachtwoordsterkte niet te versterken

Uit ander onderzoek van Cranor blijkt dat wanneer de toevoeging van een symbool wordt geëist, mensen geneigd zijn om te kiezen uit een beperkt aantal symbolen. Er is weinig variatie tussen de gekozen symbolen. Het eisen van de opname van een symbool in een wachtwoord, maakt het voor een hacker niet per definitie moeilijker. Cranor zegt over dit onderzoek: “We identified several common misperceptions in how password entropy is thought to be affected by users’ password composition strategies.  One of them is that adding numbers or symbols to passwords is thought to add little entropy.”  

 

Reden 3: Een wachtwoordsterktemeter blijkt niet effectief

Uit onderzoek onder 2.931 deelnemers blijkt dat een wachtwoordsterktemeter absoluut geen garantie is voor een sterk wachtwoord. In dit onderzoek werden 14 wachtwoordmeters vergeleken.

Hoe strenger de meter hoe meer gebruikers, cijfers, symbolen en hoofdletters in hun wachtwoord opnemen. Maar een strenge wachtwoordsterktemeter heeft tegelijkertijd een groot nadeel. Strenge wachtwoord meters hebben namelijk effect op de manier waarop gebruikers een wachtwoord creëren. Gebruikers die strenge wachtwoordmeters zien zijn geneigd langer te doen over het kiezen van hun wachtwoord. Vaak wijzigen gebruikers het gekozen wachtwoord op het laatste moment. Met als gevolg dat een strenge wachtwoordmeter als gebruiksonvriendelijk en onpraktisch wordt ervaren. Een groter percentage van internetgebruikers zal bij een strenge wachtwoordmeter voldoen aan de eisen van de wachtwoordmeter, maar alsnog door de grote gebruiksonvriendelijkheid een gemakkelijk te onthouden wachtwoord kiezen. (Als voorbeeld ‘Bonque123!’) Een wachtwoord dat alsnog gemakkelijk te kraken is.

 

Reden 4: 'Wachtwoord frases' zijn veel sterker dan wachtwoorden, maar zij zijn verre van gebruiksvriendelijk

Denk aan de Engelse frase ‘correct horse battery staple’ als wachtwoord. Het is bewezen dat frases veel sterker zijn dan losse woorden als wachtwoord. Mensen blijken echter niet in staat om gemakkelijk willekeurige woorden te verzinnen. We denken in zinnen. Computer gegenereerde woorden die uiteindelijk een wachtwoord frase vormen blijken de meeste entropy te bevatten. In 2012 is een onderzoek gedaan naar het gebruik van wachtwoord frases. Een onderzoek naar de zogenoemde ‘system assigned passphrases’. Dit betrof een online studie onder 1.476 deelnemers. In dit onderzoek werd de entropy van wachtwoord frases vergeleken met door de computer gegenereerde losse wachtwoorden. Wachtwoord frases blijken in de praktijk niet bruikbaar. “Passphrases and passwords were forgotten at similar rates, led to similar levels of user difficulty and annoyance, and were both written down by a majority of participants”, aldus Cranor. Die in haar TED-talk van maart 2014 verwijst naar dit onderzoek. Cranor vertelt verder : “Passphrases took significantly longer for participants to enter, and appear to require error-correction to counteract entry mistakes.”

 

Reden 5: Het eisen van een complex wachtwoord blijkt zijn doel niet te bereiken

In 2013 is een onderzoek gedaan naar de bruikbaarheid van complexe wachtwoorden. Dit onderzoek werd gedaan onder 25.000 leden van de universiteit van New Mexico.

Er zijn twee belangrijke uitkomsten uit het onderzoek te halen:

1. ‘Users expressed annoyance with a complex password policy. Users who were annoyed were more often than not associated with choosing weaker passwords.’
2. ‘Analysis suggests it would be useful to find policies that would be less annoying to users and that would discourage users from complying with the policy in predictable ways.’

Uiteindelijk is ook het eisen van een complexe wachtwoord geen garantie voor wachtwoordsterkte.

 

'Gebruiksonvriendelijkheid leidt tot een zwak wachtwoord'

Cranor vertelt in haar TED-talk uitgebreid over het door haar verrichte onderzoek op het gebied van wachtwoorden. Ze komt tot de conclusie dat hoe sterker de eisen aan een wachtwoord, hoe meer een site als gebruiksonvriendelijk wordt ervaren. Het gevoel van gebruiksonvriendelijkheid leidt op zijn beurt weer tot het kiezen van wachtwoorden met weinig entropy.


Het gebruik van wachtwoorden lijkt niet meer houdbaar. Niet onlogisch is het dat technologie als vingerafdrukscanning of irisscanning in een stroomversnelling is geraakt. Mede door de oprichting van de organisatie FIDO (Fast Identification Online) wordt die technologie straks voor elke website bruikbaar. Bedrijven als BlackBerry, Google, Lenovo, MasterCard, PayPal en Visa zijn onlangs met FIDO gaan samenwerken om de technologie van vingerafdrukscanning te implementeren. Michael Barrett, voorzitter van FIDO, zegt over het ‘wachtwoord onafhankelijk’ opereren door bedrijven : “Services might want something safer, but customers just want what’s easy. Like water, they flow downhill. They flow to the point of lowest friction.” 

Terug naar overzicht
 
 
Terug naar overzicht

Heb je nog vragen?

Je kunt ons bellen
Telefoon:
020 - 5300500
... of we bellen jou
of je mailt ons