Als internetter heb je veel wachtwoorden te onthouden. Dus maak je het jezelf makkelijk door eenvoudige wachtwoorden te gebruiken. Lange tijd was het devies onder de bouwers van websites: maak het de gebruiker moeilijker. Gelukkig stappen we daar nu vanaf.

Een onmogelijke opgave

Als je wilt sparen voor extra korting bij de bouwmarkt of als je een abonnement hebt op toegang tot musea, dan moeten die dienstverleners je wel kunnen herkennen. In de analoge wereld laat je daarom een klantenpas zien met je naam (en nummer). Op het internet gaat dat natuurlijk niet, of niet zo makkelijk. Daarom moet je op veel websites een account aanmaken. En om er voor te zorgen elk account beveiligd is, komt elk account met een verplicht wachtwoord. Met de verschuiving naar de online omgeving heeft elk van ons inmiddels honderden wachtwoorden te onthouden. Een onmogelijke opgave, weten we.

Gebruikers maken het zichzelf makkelijk

De consequentie daarvan is ook wel duidelijk. Veel gebruikers hanteren makkelijk te raden wachtwoorden, voor de kwaadwillende een peuleschil. Ook is het gebruik van een enkel wachtwoord voor meerdere accounts niet ongebruikelijk. Maar als dat wachtwoord van één van die accounts lekt, bijvoorbeeld zoals bij het datalek van Uber, zijn al die andere accounts ook kwetsbaar. Die impact is alleen maar groter als dat gelekte wachtwoord ook toegang geeft tot je e-mailadres. Want waar gaat de e-mail heen als jij of iemand anders op het linkje klikt waarmee je aangeeft je wachtwoord te zijn vergeten? Precies.

Veel irritatie, maar niet veel veiliger

Veel websites proberen gebruikers te dwingen een wachtwoord te kiezen dat wat minder makkelijk te raden is door, bijvoorbeeld, eisen te stellen aan het wachtwoord. Je wachtwoord moet dan minstens een paar cijfers of punt-komma’s bevatten en moet minstens zo-en-zo lang zijn, maar kent ook een maximum. Sommige websites vertrouwen de gebruiker als ze de vraag kunnen beantwoorden wat hun lievelingsdier is. Op andere plekken moet je je wachtwoord eens in de zoveel tijd veranderen. Dat is allemaal bijzonder slecht advies. Het dwingt de gebruiker niet tot een veiliger wachtwoord. Elke kwaadwillende is inmiddels getraind om de A’s te vervangen door 4’s. Net zo onveilig, maar nu wel met een extra berg irritatie.

Nieuw advies: schrap stompzinnige eisen

Dat besef sijpelt inmiddels overal door. Zo publiceerde het Amerikaanse standarisatie­instituut NIST een tijdje terug een lijvig documentNIST's visie op digitale "authentication and lifecycle management" waarin het een nieuwe kijk op goed wachtwoordbeleid uit de doeken deed. Eén van de suggesties: stop met het stellen van stompzinnige eisen aan wachtwoorden, maar zorg ervoor dat een gebruiker gewoon een lang wachtwoord – een wachtzin – kan kiezen. Dus ook geen minimaal aantal leestekens, cijfers of dat soort ongein. De organisatie raadt ook af gebruikers te dwingen hun wachtwoord te regelmatig aan te passen. Zo’n verandering afdwingen is eigenlijk alleen zinnig als je reden hebt om aan te nemen dat het bestaande wachtwoord gelekt is. Dat beleid maakt het de gebruiker een stuk makkelijker én is minstens zo veilig.

Stap over op een wachtwoordmanager

Maar misschien de belangrijkste suggestie uit het rapport: stimuleer het gebruik van zogenaamde wachtwoordmanagersIn onze toolbox vind je een overzicht van de bekendste apps als 1Password of KeePass voor het opslaan van de geheimen. Zo’n app zorgt ervoor dat je met een gerust hart al je wachtwoorden kunt vergeten. Op ééntje na dan. Dat ene wachtwoord geeft toegang tot al je andere wachtwoorden. En natuurlijk zit daar een inherente zwakheid: als iemand anders dat éne wachtwoord bemachtigt, is je hele hebben en houwen toegankelijk. Maar voor de meeste gebruikers leert een risicoanalyse dat dát risico aanmerkelijk kleiner is dan al die eerder dreigingen, zoals onveiligheid door beperkte lengte en hergebruik van wachtwoorden.

Al mijn wachtwoorden vergeten, op eentje na

Bij mij werkt dat al jaren goed. Van de meeste accounts, het zijn er inmiddels vele honderden, weet ik het wachtwoord echt niet. De accounts zijn beveiligd met wachtwoorden die moeilijk te raden zijn en ik gebruik ook met zekerheid geen enkel wachtwoord een tweede keer. Ik heb wachtwoorden van meer dan zestig willekeurige karakters, inclusief hoofd- en kleine letters, cijfers, leestekens en wat al niet meer. Nou ja, voor de meeste van die accounts dan, want sommige accounts stellen nog altijd van die stompzinnige eisen.

Dit artikel verscheen eerder bij NumrushNumrush.nl is een nieuwssite rondom smart technology en innovatie..