Richtlijnen voor sterk wachtwoord herzien na 14 jaar
Het invloedrijke wachtwoordadvies van het Amerikaanse National Institute of Standards and Technology (NIST) is na 14 jaar geschrapt en vervangen. De originele richtlijn werd in 2003 opgesteld en zorgde ervoor dat het gebruik van een mix van cijfers samen met grote en kleine letters internationaal als de standaard geldde voor een sterk wachtwoord. Die aanbeveling is dit jaar op de schop gegaan. Bill Burr, de auteur van het oorspronkelijke advies, noemt het document nu ondoordacht. “Ik betreur wat ik heb gedaan,” stelt hij in een opmerkelijk interview met de Wall Street Journal.
Willekeur is beter
Het gebruik van een mix van symbolen als wachtwoord is al langer in diskrediet bij veiligheidexperts. Heel wat mensen menen dat dergelijke combinaties erg moeilijk te raden zijn, maar het zijn natuurlijk computers die meestal het kraakwerk doen. Computers hebben weinig werk aan het ontcijferen van een code waarvan de basis een normaal woord is, aangevuld of aangepast met enkele symbolen. Het is veel veiliger om een langer wachtwoord te gebruiken zonder speciale tekens, maar wel met een gezonde scheut willekeur. Of zoals de populaire webcomic xkdc het in 2011 al in enkele prenten visualiseerde:
Het is niet alleen het feit dat de oude richtlijn leidde tot makkelijk te raden wachtwoorden. Wachtwoordcombinaties met verschillende tekens zijn moeilijker te onthouden, waardoor de meest mensen trucjes gebruiken om te vermijden dat ze hun wachtwoord vergeten. In de praktijk worden heel wat wachtwoordcombinaties gerecycleerd, met een minimale aanpassing. Die onveilige situatie werd nog verder in de hand gewerkt door de bijkomende richtlijn die stelde dat men wachtwoorden regelmatig moest veranderen.
Het NIST heeft zijn advies in juni een update gegeven. “We begonnen terug van nul,” verklaart Paul Grassi, die de nieuwe regels heeft opgesteld. Het vernieuwde advies legt de klemtoon op langere wachtwoorden waarbij men geen extra regels oplegt over de samenstelling van de code. Ook het regelmatig veranderen wordt afgeraden, behalve als dat gevraagd wordt door de gebruiker of als er bewijs is van een inbreuk.
Het invloedrijke wachtwoordadvies van het Amerikaanse National Institute of Standards and Technology (NIST) is na 14 jaar geschrapt en vervangen. De originele richtlijn werd in 2003 opgesteld en zorgde ervoor dat het gebruik van een mix van cijfers samen met grote en kleine letters internationaal als de standaard geldde voor een sterk wachtwoord. Die aanbeveling is dit jaar op de schop gegaan. Bill Burr, de auteur van het oorspronkelijke advies, noemt het document nu ondoordacht. “Ik betreur wat ik heb gedaan,” stelt hij in een opmerkelijk interview met de Wall Street Journal.
Willekeur is beter
Het gebruik van een mix van symbolen als wachtwoord is al langer in diskrediet bij veiligheidexperts. Heel wat mensen menen dat dergelijke combinaties erg moeilijk te raden zijn, maar het zijn natuurlijk computers die meestal het kraakwerk doen. Computers hebben weinig werk aan het ontcijferen van een code waarvan de basis een normaal woord is, aangevuld of aangepast met enkele symbolen. Het is veel veiliger om een langer wachtwoord te gebruiken zonder speciale tekens, maar wel met een gezonde scheut willekeur. Of zoals de populaire webcomic xkdc het in 2011 al in enkele prenten visualiseerde:
Het is niet alleen het feit dat de oude richtlijn leidde tot makkelijk te raden wachtwoorden. Wachtwoordcombinaties met verschillende tekens zijn moeilijker te onthouden, waardoor de meest mensen trucjes gebruiken om te vermijden dat ze hun wachtwoord vergeten. In de praktijk worden heel wat wachtwoordcombinaties gerecycleerd, met een minimale aanpassing. Die onveilige situatie werd nog verder in de hand gewerkt door de bijkomende richtlijn die stelde dat men wachtwoorden regelmatig moest veranderen.
Het NIST heeft zijn advies in juni een update gegeven. “We begonnen terug van nul,” verklaart Paul Grassi, die de nieuwe regels heeft opgesteld. Het vernieuwde advies legt de klemtoon op langere wachtwoorden waarbij men geen extra regels oplegt over de samenstelling van de code. Ook het regelmatig veranderen wordt afgeraden, behalve als dat gevraagd wordt door de gebruiker of als er bewijs is van een inbreuk.