Wachtwoord

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken
Het inlogformulier op Wikipedia vraagt naar de gebruikersnaam en wachtwoord

Een wachtwoord, in computerjargon ook wel paswoord of password,[1][2] is een geheim woord dat aan degene die het kent toegang verschaft tot een locatie of tot informatie. In de ICT is het normaliter gekoppeld aan een gebruikersnaam, die identificeert wie er toegang krijgt. De gebruikersnaam is meestal openbaar, het wachtwoord is geheim.

Een wachtwoord waarmee men vriend van vijand onderscheidt is een sjibbolet, zoals "scilt ende vriend", waarmee volgens de legende franskiljons tijdens de Brugse metten ontmaskerd zouden zijn,[3] of "Scheveningen" dat tijdens de Duitse aanval op Nederland in 1940 eenzelfde functie had.[4]

Door het achterhalen van een wachtwoord kan een derde persoon stiekem gebruikmaken van andermans informatie. Het wachtwoord kan achterhaald worden door dit af te kijken, door een een wachtwoordenbestand te ontcijferen, of door verschillende eenvoudige wachtwoorden te proberen. Om die reden wordt in de meeste professionele omgevingen een zogenaamd complex wachtwoord vereist dat regelmatig door de eigenaar ervan moet worden gewijzigd.

Wachtwoordcomplexiteit[bewerken]

Een goed wachtwoord is niet te eenvoudig en niet te kort. Eenvoudige, korte wachtwoorden worden namelijk veel gebruikt en zijn dus snel te achterhalen.[5] Een goed wachtwoord is niet eenvoudig te raden, en kan bovendien niet op methodische wijze worden achterhaald, aangezien dit onhaalbaar lang (decennia) zou duren. Er zijn een aantal mogelijkheden om een eenvoudig wachtwoord, bijvoorbeeld "zon", te vinden:

  • Willekeurig raden.[6] Voorbeelden zijn: je achternaam, de naam van je partner, namen van huisdieren, een geboortedatum, en je favoriete muziekartiest, sportman of voetbalploeg. Dit is een zeer eenvoudige methode om wachtwoorden te raden, maar ook zeer eenvoudig om te vermijden.
  • Een brute-force-aanval. Hierbij worden domweg alle mogelijkheden (bijvoorbeeld aaa, aab, aac, aad, ..., zol, zom, zon) geprobeerd.
  • Gebruik van een woordenboek of -lijst. Hierbij wordt een lijst van veel voorkomende woorden nagelopen (bijvoorbeeld zonder, zolder, zowel, zondag, zon). Alternatief kan ook een volledig woordenboek nagelopen worden. Dit is eenvoudig te vermijden door geen standaardwoorden te gebruiken.

Daarnaast kan het wachtwoord geraden worden door er gewoon naar te vragen. Dit wordt 'social engineering' genoemd.

Veilige wachtwoorden[bewerken]

Het is erg moeilijk om een 'veilig' wachtwoord te onthouden. Een eerste mogelijk is een willekeurige combinatie van letters (kleine letter en hoofdletter), cijfers en leestekens. Dit bemoeilijkt het raden omdat er veel meer mogelijkheden zijn. Deze combinaties zijn vaak moeilijk te onthouden en moeilijk om in te geven op draagbare toestellen. Voorbeelden zijn "SleJnn12][" of "qSK12$%j"

"IJsberen met gele badmuts" is een veilig wachtwoord dat toch eenvoudig te onthouden is.

Een andere mogelijkheid is een lang wachtwoord opgebouwd uit een combinatie van al dan niet bestaande woorden, ook wel wachtzinnen of pass phrases genoemd.[7] Een eenvoudige manier om een dergelijk lang wachtwoord te kiezen, is een zin van een aantal willekeurige woorden. Bijvoorbeeld "IJsberen met gele badmuts". Dit is een wachtwoord dat eenvoudig te onthouden is, maar door de 25 karakters toch moeilijk genoeg is om brute-forceaanvallen af te slaan.[8] Wachtzinnen kunnen echter ook aangevallen worden door alle mogelijk zinnen van bijvoorbeeld vier woorden te proberen met behulp van een woordenboek. In het Engels wordt vaak over wordlists gesproken. Deze lijsten kunnen gemakkelijk 75 miljoen woorden uit verschillende talen bevatten. Ze kunnen ook gebruikt worden om gebruikers te beschermen door nieuw bedachte wachtwoorden met de lijst te vergelijken.[9]

De sterkte van wachtzinnen en wachtwoorden van verschillende lengtes en complexiteit kunnen vergeleken worden. Een wachtzin van vier woorden is ongeveer even sterk is als een wachtwoord van zes tot acht willekeurige tekens,[10], mits de woorden op willekeurige wijze gekozen worden. Bijvoorbeeld door de keuze van de woorden door zes dobbelstenen te laten bepalen zoals bij Diceware[11] Een wachtzin als "kenner franje hup mantra" is door die willekeurig gekozen woorden niet te vergelijken met een Nederlandse zin. De woorden hebben geen onderling verband en de zin heeft geen taalkundige betekenis. Als toch voor een grammaticaal juiste zin gekozen wordt (zoals het genoemde voorbeeld "IJsberen met gele badmuts"), dient de zin langer te zijn dan een wachtzin van willekeurig woorden.

Versleuteling[bewerken]

Over het algemeen worden wachtwoorden gehasht opgeslagen.

Het hashen van wachtwoorden is een vorm van cryptografie. Een bekendere vorm van cryptografie is cryptografische encryptie (versleuteling ) waarbij bijvoorbeeld een tekst met behulp van een sleutel onleesbaar (versleuteld) gemaakt wordt. Het bijbehorende decryptie algoritme zorgt voor omkeerbaarheid: (alleen) als de sleutel is doorgegeven, kan de oorspronkelijke tekst weer teruggekregen worden. Bij hashen wordt echter een cryptografische algoritme gebruikt dat niet omkeerbaar is (net zoals bij een checksum). Het algoritme kan wel een gehashte vorm van het wachtwoord berekenen. Maar andersom bestaat er geen algoritme waarmee het oorspronkelijke wachtwoord weer teruggekregen kan worden. De enige mogelijkheid is alle mogelijke wachtwoorden een voor een te proberen (te hashen) en het resultaat met de gehashte vorm te vergelijken. Iemand die het algoritme kent en toegang heeft tot het bestand waarin de wachtwoorden gehasht opgeslagen zijn, weet dus nog niet wat de wachtwoorden zijn. Bij UNIX is het zelfs regel dat het bestand voor iedereen leesbaar is.

Is iemand zijn wachtwoord vergeten, dan kan de systeembeheerder een nieuw wachtwoord voor hem instellen. Veel websites op het internet sturen desgevraagd een nieuw wachtwoord per e-mail op. Veilige websites slaan enkel de hash op en houden het wachtwoord zelf niet bij, daarom moet je een nieuw wachtwoord kiezen.

Zie ook[bewerken]

Bronnen, noten en/of referenties
Icoontje WikiWoordenboek Zoek wachtwoord op in het WikiWoordenboek.
Wikibooks Wikibooks heeft een studieboek over dit onderwerp: Cursus veilig op het internet: Wachtwoorden.