45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

Wachtwoord verplicht? De 5 gouden regels

Wachtwoorden zijn een beroerd middel om je op internet te identificeren. Maar vooralsnog is dat de meest gehanteerde methode. Jeff Atwood, mede-oprichter van Stack Overflow schreef zijn bevindingen op in een bijdrage aan een blogpagina: Coding Horror. En de titel windt er ook geen doekjes om 'Wachtwoordregels zijn gelul'. De regels die bij het gebruik van wachtwoorden worden opgelegd, zijn vaak onhanteerbaar.

Atwood formuleert 5 regels die software-ontwikkelaars zouden moeten respecteren.

1. Stop met wachtwoordregels

Wachtwoordregels werken niet, ze straffen je ideale klant - de klant die een wachtwoordgenerator gebruikt, ze frustreren de gemiddelde gebruiker - die vervolgens creatief ezelsbruggetjes verzint waarmee het wachtwoord minder veilig wordt, en de regels zijn vaak incompleet of soms ronduit onzinnig.

2. Dwing een minumumlengte af

In weerwil van regel 1 formuleert Atwood 4 regels die wél moeten gelden. De eerste is een minimumlengte. Als men wachtwoorden in Unicode laat invoeren, is 10 tekens een mooi aantal. Dat zorgt automatisch voor enige entropie, en bant bovendien 20 van de 25 meest gebruikte wachtwoorden uit; die zijn goed voor 80 procent van alle wachtwoorden. Als men ook emoji's en Chinese karakters toelaat, kan het wellicht met minder tekens, Hoe minder beperkingen men oplegt, hoe beter het is.

3. Check op veelgebruikte wachtwoorden.

Hackers beginnen altijd met een lijst veelgebruikte wachtwoorden; die kun je om je klant een dienst te bewijzen dus beter verbieden.

4. Check op voldoende entropie

Hoe willekeuriger de karakters in een wachtwoord verdeeld zijn, hoe lastiger het te kraken is. Je zou als eis moeten stellen dat een wachtwoord een minimum aantal elementen moet bevatten dat slechts eenmaal voorkomt.

5. Weiger wachtwoorden die een hacker makkelijk zal raden

Sommige wachtwoorden die wellicht aan alle eisen voldoen,zijn toch een slecht idee. Denk aan een wachtwoord dat gelijk is aan gebruikersnaam, e-mailadres, url, app-naam ...Software-ontwikkelaars zouden moeten proberen te denken als een gebruiker - dan komen ze een heel eind bij het opstellen van een lijstje afraders.

Alles bij de bron; AGConnect [Thnx-2-Dick]