
Ook jij kunt 56-bit wachtwoorden onthouden
Als mensen stiekem worden gemotiveerd om codes te onthouden, kunnen deze complex genoeg zijn voor een supersterk wachtwoord.
Als mensen stiekem worden gemotiveerd om codes te onthouden, kunnen deze complex genoeg zijn voor een supersterk wachtwoord.

Ook jij kunt 56-bit wachtwoorden onthouden
Als mensen stiekem worden gemotiveerd om codes te onthouden, kunnen deze complex genoeg zijn voor een supersterk wachtwoord.
Mensen zijn blijkbaar niet in staat om complexe wachtwoorden te onthouden. De conventionele wijsheid is dat we een rij van zes á zeven nummers kunnen opslaan. Daarom bestaan wachtwoorden meestal uit voor de hand liggende woorden of cijferreeksen die helaas te simpel te kraken zijn met een brute force-aanval.
Wachtwoordmythe
Maar klopt die aanname dat we geen complexe wachtwoorden kunnen onthouden wel? Want diverse onderzoeken wijzen erop dat dit een mythe is: we zouden meer kunnen onthouden als we daartoe gedwongen worden. Het klassieke voorbeeld zijn de telefoonnummers: vroeger onthielden we er veel meer, omdat dat praktisch was. Nu staan ze in je toestel en is het niet meer nodig. Hoeveel nummers - van je huidige lijst - kun jij nog oplepelen?
Joseph Bonneau van Princeton University nam samen met Stuart Schechter van Microsoft Research de proef op de som over deze hardnekkige wachtwoordmythe en liet deelnemers aan een onderzoek stiekem een steeds complexer wordende reeks onthouden (PDF). Het onderzoek zelf deed zich voor als een test voor oplettendheid, compleet met een spel waarin de Stroop-taak werd gebruikt. Maar eigenlijk werd gekeken naar het allereerste stuk van de test: de inlogprocedure.
Gemotiveerd om te onthouden
Participanten van het oplettendheidsonderzoek moesten tijdens een periode van twee weken bij een website liefst 90 keer inloggen met een eigen gekozen wachtwoord. Ze kregen vervolgens een korte code (4 tekens of twee woorden, goed een 18-bit-code) voor de neus die ze ter bevestiging moesten intoetsen.
Daarna werd een vertraging ingebouwd tussen het intoetsen van het wachtwoord en de bevestigingscode. Deelnemers konden meteen verder gaan als ze zélf de code, die niet veranderde, intoetsten en werden daarmee gemotiveerd de code te onthouden. De code werd ondertussen in twee stappen complexer, tot uiteindelijk een reeks van zes woorden óf twaalf tekens, oftewel 56 bit.
Drie dagen later...
Zes van de 182 deelnemers (exclusief de controlegroep van 41 mensen - zij kregen geen bevestigingscode) leerden helemaal niets en kregen nooit het derde aanvullende blok voor de kiezen, omdat ze het tweede codeblok niet (correct) invoerden. Vier daarvan vertelden uiteindelijk dat ze expres de vertragingstijd van zo'n 7 seconden afwachtten, omdat ze vreesden anders een nóg complexere code te moeten onthouden. Wat dus ook zo was.
In totaal konden 161 mensen drie dagen na afloop van het experiment de code nog uit het geheugen ophalen. Ongeveer een vijfde daarvan had de code opgeschreven. De rest deed het uit het blote hoofd. "De meeste mensen kunnen wél sterke cryptografische sleutels onthouden, als ze systemen gebruiken die niet zijn beperkt zoals de huidige eenmalige invoersystemen", concluderen de onderzoekers. Het duo presenteert de bevindingen volgende maand op Usenix.
Gaan we nu voorbij aan het gebruik van password-managers? Als niet de meest deskundige op dit gebied, lijkt het mij veiliger om met een pw-manager te werken. Of zie ik dat verkeerd?
.
En complexe wachtwoorden zijn best ZO persoonlijk te maken dat ze goed te onthouden zijn. Ingrediënten:
- geboortedatum met in plaats van streepjes een teken (!@#$%&*?_+=);
- postcode met een teken tussen de cijfers en letters;
- telefoonnummer met op één of twee plaatsen een teken ertussen;
- naam van een broer, zus, neef, nicht of zo waarin een paar letters door cijfers vervangen zijn.
Als je al twee van deze dingen combineert heb je een uitstekend wachtwoord!
Of je genereert gewoon een wachtwoord en je slaat het op in Firefox.
Dat genereren doe je niet online hoop ik, of anders via een VPN of TOR? Voor de rest zul je ook je (Firefox) keyring op een of andere manier moeten beveiligen en back-uppen en hopelijk gebruik je verschillende keyrings voor je beroepsmatige en je privé activiteiten.
Orion:
Het nadeel hiervan is dat je bouwt op Firefox. Als dus iemand anders achter je computer zit, dan kan die meteen overal bij en dat lijkt me geen goede beveiliging. De beveiliging is zo zwak als de zwakste schakel en dat is in jouw geval de opslag in Firefox... :-(
Veel te veel verschillende methodes voor mij.
Ik gebruik zelf al jaren regels uit songteksten van nummers die ik persoonlijk associeer met de betreffende site/applicatie. Je zit zo eenvoudig op passphrases van 5 of meer woorden die toch gemakkelijk te onthouden zijn. Als er geen passphrases toegelaten worden plak ik de woorden aan elkaar in CamelCase.
Reageer
Preview