Wachtwoord

Een wachtwoord (in computerjargon spreekt men ook over paswoord of password[1][2]) is traditioneel een afgesproken woord of zin die uitgesproken moet worden en waaraan belanghebbenden elkaar herkennen, en geheim is voor buitenstaanders. In de informatie- en communicatietechnologie (ICT) is het meestal een tekenreeks die ingetoetst moet worden, en eveneens geheim gehouden moet worden. Een pincode is een wachtwoord dat uit een vast aantal cijfers bestaat.

Het inlogformulier op Wikipedia vraagt naar de gebruikersnaam en wachtwoord

De apparatuur controleert of het wachtwoord, of de combinatie van de gebruikersnaam (voor alle gebruikers verschillend) en het wachtwoord, correct is, en geeft dan toegang tot een ruimte, of tot informatie, of autoriseert bepaalde handelingen, bijvoorbeeld een overboeking van geld, of een opname van contant geld. De toegangsprocedure wordt vaak inloggen genoemd.

Voert men een wachtwoord op de computer in, dan blijft het op het scherm haast altijd onzichtbaar. Zodoende kan het wachtwoord niet worden afgelezen door iemand die over de schouder van de gebruiker meekijkt, en ook niet als via een andere computer (voor hulp op afstand) wordt meegelezen. Nadeel hiervan is dat de gebruiker geen directe controle op typefouten heeft. Wordt een wachtwoord voor de eerste keer ingesteld, dan moet het haast altijd twee keer ingevoerd worden (dit wordt vaak “bevestigen” genoemd) om onopgemerkte typefouten te vermijden. Soms is er de optie om het toch zichtbaar te maken. Vaak blijft het dan slechts zichtbaar zolang de muisknop blijft ingedrukt, of de vinger op een knop op het aanraakscherm blijft, zodat het wachtwoord na controle niet onbedoeld zichtbaar blijft.

Door het achterhalen van een wachtwoord kan een derde persoon onterecht gebruikmaken van andermans informatie. Het wachtwoord kan achterhaald worden door het af te kijken, door een wachtwoordenbestand te ontcijferen, of door verschillende eenvoudige wachtwoorden te proberen. Om die reden wordt in de meeste professionele omgevingen een zogenaamd complex wachtwoord vereist dat regelmatig door de eigenaar ervan moet worden gewijzigd.

Een andere beveiliging is dat na een bepaald aantal keren een onjuist wachtwoord invoeren, ook het juiste wachtwoord niet meer werkt. Daarna is er een wachttijd, of een speciale procedure, om weer toegang te krijgen. Hierdoor is het onmogelijk in korte tijd een groot aantal wachtwoorden te proberen.

Een variant op het wachtwoord is het sjibbolet waarmee men, bijvoorbeeld in oorlogstijd, vriend van vijand onderscheidt. Een voorbeeld is Scilt ende vriend waarmee volgens de legende franskiljons tijdens de Brugse metten ontmaskerd zouden zijn,[3] of Scheveningen dat tijdens de Duitse aanval op Nederland in 1940 eenzelfde functie had.[4]

WachtwoordcomplexiteitBewerken

Een goed wachtwoord is niet te eenvoudig en niet te kort. Eenvoudige, korte wachtwoorden worden namelijk veel gebruikt en zijn dus snel te achterhalen.[5] Een goed wachtwoord is niet eenvoudig te raden, en kan bovendien niet op methodische wijze worden achterhaald, aangezien dit onhaalbaar lang (decennia) zou duren. Er zijn een aantal mogelijkheden om een eenvoudig wachtwoord, bijvoorbeeld zon, te vinden:

  • Willekeurig raden.[6] Voorbeelden zijn: je achternaam, de naam van je partner, namen van huisdieren, een geboortedatum en je favoriete muziekartiest, sportman of voetbalploeg. Dit is een zeer eenvoudige methode om wachtwoorden te raden, maar ook zeer eenvoudig om te vermijden.
  • Meest gebruikte onveilige wachtwoorden wereldwijd: password, 123456, 123456789, guest, qwerty. Jaarlijks wordt er een lijst gepubliceerd met de 200 meest gebruikte wachtwoorden.[7]
  • Een brute-force-aanval. Hierbij worden domweg alle mogelijkheden (bijvoorbeeld aaa, aab, aac, aad, ..., zol, zom, zzz geprobeerd.
  • Gebruik van een woordenboek of -lijst. Hierbij wordt een lijst van veel voorkomende woorden nagelopen (bijvoorbeeld zonder, zolder, zowel, zondag, zon). Alternatief kan ook een volledig woordenboek nagelopen worden. Dit is eenvoudig te vermijden door geen standaardwoorden te gebruiken.

Daarnaast kan het wachtwoord geraden worden door er gewoon naar te vragen. Dit wordt “social engineering” genoemd.

Veilige wachtwoordenBewerken

Het is erg moeilijk om een veilig wachtwoord te onthouden. Een eerste mogelijkheid is een willekeurige combinatie van letters (kleine letter en hoofdletter), cijfers en leestekens. Dit bemoeilijkt het raden omdat er veel meer mogelijkheden zijn. Deze combinaties zijn vaak moeilijk te onthouden en moeilijk om in te geven op draagbare toestellen. Voorbeelden zijn SleJnn12][ of qSK12$%j

 
IJsberen met gele badmuts is een veilig wachtwoord dat toch eenvoudig te onthouden is.

Een andere mogelijkheid is een lang wachtwoord opgebouwd uit een combinatie van al dan niet bestaande woorden, ook wel wachtzinnen of pass phrases genoemd.[8] Een eenvoudige manier om een dergelijk lang wachtwoord te kiezen, is een zin van een aantal willekeurige woorden. Bijvoorbeeld IJsberen met gele badmuts. Dit is een wachtwoord dat eenvoudig te onthouden is, maar door de 25 karakters toch moeilijk genoeg is om brute-forceaanvallen af te slaan.[9] Wachtzinnen kunnen echter ook aangevallen worden door alle mogelijk zinnen van bijvoorbeeld vier woorden te proberen met behulp van een woordenboek. In het Engels wordt vaak over wordlists gesproken. Deze lijsten kunnen gemakkelijk 75 miljoen woorden uit verschillende talen bevatten. Ze kunnen ook gebruikt worden om gebruikers te beschermen door nieuw bedachte wachtwoorden met de lijst te vergelijken.[10]

De sterkte van wachtzinnen en wachtwoorden van verschillende lengtes en complexiteit kunnen vergeleken worden. Een wachtzin van vier woorden is ongeveer even sterk is als een wachtwoord van zes tot acht willekeurige tekens,[11] mits de woorden op willekeurige wijze gekozen worden. Bijvoorbeeld door de keuze van de woorden door zes dobbelstenen te laten bepalen zoals bij Diceware.[12] Een wachtzin als kenner franje hup mantra is door die willekeurig gekozen woorden niet te vergelijken met een Nederlandse zin. De woorden hebben geen onderling verband en de zin heeft geen taalkundige betekenis. Als toch voor een grammaticaal juiste zin gekozen wordt (zoals het genoemde voorbeeld IJsberen met gele badmuts), dient de zin langer te zijn dan een wachtzin van willekeurige woorden.

VersleutelingBewerken

Over het algemeen worden wachtwoorden gehasht opgeslagen.

Het hashen van wachtwoorden is een vorm van cryptografie. Een bekendere vorm van cryptografie is cryptografische encryptie (versleuteling) waarbij bijvoorbeeld een tekst met behulp van een sleutel onleesbaar (versleuteld) gemaakt wordt. Het bijbehorende decryptiealgoritme zorgt voor omkeerbaarheid: (alleen) als de sleutel is doorgegeven, kan de oorspronkelijke tekst weer teruggekregen worden. Bij hashen wordt echter een cryptografisch algoritme gebruikt dat niet omkeerbaar is (net zoals bij een checksum). Het algoritme kan wel een gehashte vorm van het wachtwoord berekenen, maar andersom bestaat er geen algoritme waarmee het oorspronkelijke wachtwoord weer teruggekregen kan worden. De enige mogelijkheid is alle mogelijke wachtwoorden een voor een te proberen (te hashen) en het resultaat met de gehashte vorm te vergelijken. Iemand die het algoritme kent en toegang heeft tot het bestand waarin de wachtwoorden gehasht opgeslagen zijn, weet dus nog niet wat de wachtwoorden zijn. Bij UNIX is het zelfs regel dat het bestand voor iedereen leesbaar is.

Is iemand zijn wachtwoord vergeten, dan kan de systeembeheerder een nieuw wachtwoord voor hem instellen. Veel websites op het internet sturen desgevraagd een nieuw wachtwoord per e-mail op. Veilige websites slaan enkel de hash op en houden het wachtwoord zelf niet bij, daarom moet je een nieuw wachtwoord kiezen.

Zelf wijzigenBewerken

Vaak kan men na inloggen een nieuw wachtwoord instellen. Soms is dit ook verplicht, bijvoorbeeld na ontvangst van een tijdelijk wachtwoord (in het begin of na vergeten) en vervolgens elk jaar. Soms kan ook de gebruikersnaam gewijzigd worden.

Zie ookBewerken

Zoek wachtwoord op in het WikiWoordenboek.