14 augustus 2017 -
Het was wellicht geen goede beslissing om internetgebruikers aan te raden op complexe paswoorden over te schakelen om zich tegen de activiteiten van criminelen te beschermen.
Dat heeft Bill Burr – voormalig manager van het Amerikaanse National Institute of Standards and Technology (Nist) en de man die veertien jaar geleden het concept van de veilige paswoorden lanceerde – tegenover de Amerikaanse zakenkrant The Wall Street Journal toegegeven. Express.be vatte samen.
Burr waarschuwde destijds dat eenvoudige paswoorden door individuen met malafide bedoelingen te gemakkelijk konden worden achterhaald. Daarom spoorde hij de internetgebruikers over te schakelen op ingewikkelde combinaties van letters, cijfers en speciale tekens, waardoor criminelen wachtwoorden onmogelijk zouden kunnen ontcijferen.
Voorspelbaar
Hij geeft nu echter toe dat zijn advies contraproductief is geweest en wellicht vaak een tegenovergesteld effect heeft gehad. Er moest immers worden vastgesteld dat de gebruikers weliswaar vaak op zoek gingen naar complexe paswoorden, maar daarbij bijzonder voorspelbare combinaties maakten, in een poging de codes zelf te kunnen onthouden.
Nieuwe voorspelbaarheid
Ook het advies om minstens elke 90 dagen een nieuw paswoord te kiezen, is volgens Burr wellicht geen goede oplossing gebleken. Die raad heeft volgens hem vele consumenten immers aangezet om nog eens voorspelbare variaties van hun voorspelbare complexe paswoorden te maken.
"Omdat ook bedrijven, universiteiten en overheden met veranderende paswoorden begonnen te werken, werd de consument bovendien uiteindelijk onder een onophoudelijk groeiend arsenaal van codes bedolven, waardoor er nog een grotere neiging ontstond om gemakkelijke combinaties te kiezen," stelt Burr, die erkent een groot gedeelte van zijn eerdere raadgevingen te betreuren.
Inmiddels raden sommige wetenschappers aan eerder te kiezen voor een lang paswoord met eenvoudige woorden.
Vier gewone woorden
Auteur Randall Munroe, een gewezen robotwetenschapper bij het Amerikaanse ruimtevaartbureau Nasa, berekende dat de ontcijfering van een paswoord met een keten van vier gewone woorden (‘correcthorsebatterystaple’) aan duizend pogingen per seconde 550 jaar in beslag zou nemen, terwijl een kortere complexe code (‘Tr0ub4dor&3’) op amper drie dagen zou kunnen worden gekraakt.
