Oprichter Stack Overflow: “Wachtwoordvereisten zijn belachelijk”
In een blogpost doet Jeff Atwood, de oprichter van Stack Overflow, uit de doeken waarom volgens hem wachtwoordvereisten belachelijk zijn. In zijn uitleg klaagt hij de uiteenlopende regels aan waaraan gebruikers zich moeten houden bij het opstellen van een wachtwoord en schuift hij één belangrijke parameter naar voren: paswoordlengte. Een paswoord van 30 karakters zonder getallen of speciale tekens is een stuk veiliger dan een wachtwoord van 5 karakters met getallen en symbolen.
Chinees
“Dezer dagen is eender welk paswoord bestaande uit slechts acht karakters gevaarlijk dicht bij geen paswoord,” schrijft Atwood. In zijn blogpost voegt de oprichter van Stack Overflow hier een belangrijke nuancering aan toe. Een lang wachtwoord dat enkel uit de letter ‘a’ bestaat, is bijvoorbeeld alles behalve veilig. Bovendien bestaan er in unicode meer symbolen dan enkel getallen en letters. Emoji’s en Chinese karakters zijn enkele voorbeelden van symbolen die niet eenvoudig te raden zijn voor hackers. Korte paswoorden die dergelijke symbolen bevatten, kunnen bijgevolg toch veilig zijn.
“Een minimum paswoordlengte van zes karakters kan op een Chinese website volkomen redelijk zijn. Een 20-karakterpaswoord kan echter eveneens belachelijk onveilig zijn,” weet Atwood. Hiermee probeert de man duidelijk te maken dat bij wachtwoordveiligheid zelfs de basisregel gebroken kan worden. Alles hangt af van de context. Ook al begint Atwood zijn blogpost met te vertellen dat enkel de lengte van een paswoord als regel opgelegd moet worden, toch moeten ontwikkelaars op de achtergrond extra regels implementeren om te voorkomen dat gebruikers lange maar eenvoudig te raden wachtwoorden kiezen.
Populairste wachtwoorden
Een manier die Atwood aanraadt om te vermijden dat gebruikers eenvoudige wachtwoorden kiezen, is door het paswoord te vergelijken met de duizend meest gebruikte wachtwoorden. Tot deze paswoorden behoren 123456, qwerty, 11111 en password. “Slechts vijf van de 25 meest gebruikte paswoorden bestaan uit tien karakters. Indien we opleggen dat wachtwoorden uit tien karakters moeten bestaan, dan hebben we de kans dat één van de meest gebruikte paswoorden wordt gekozen al met 80 procent verlaagd,” voegt Atwood hier aan toe.
Nog een belangrijke parameter die op de achtergrond moet worden nagekeken, is of het wachtwoord overeenkomt met de gebruikersnaam. Ook het e-mailadres van de gebruiker, de domeinnaam van de website en de naam van de app zijn populaire wachtwoorden die alles behalve veilig zijn. “Probeer buiten het paswoordwoordkader te denken, zoals een gebruiker doet,” vat Atwood zijn uitleg samen.
Frustrerende regels
Ten slotte kaart Atwood aan dat het belangrijk is om voorgaande regels te implementeren bij een loginvenster, maar dat je de gebruiker niet moet lastigvallen met deze regels. “Leg een minimum paswoordlengte op. Het is eenvoudig en het werkt,” schrijft Atwood over de regel die hij het belangrijkst vindt. Over andere regels is hij echter een stuk kritischer. “Paswoordregels straffen je ideale publiek, namelijk mensen die willekeurige paswoorden laten genereren. Dat paswoord kan willekeurig geen nummer of symbool bevatten. De regels zorgen ervoor dat gebruikers gefrustreerd geraken en creatieve workarounds zoeken die hun wachtwoorden minder veilig maken.”
Zoals hierboven uitgelegd, zou het echter naïef zijn om enkel de wachtwoordlengte als parameter te gebruiken. Mensen hebben jammer genoeg de nijging om te kiezen voor eenvoudig te raden paswoorden. “De andere regels moeten niet op voorhand besproken worden, aangezien ze eerder zeldzaam zijn. Je moet voorkomen dat gebruikers wachtwoorden hebben die gelijk zijn aan hun gebruikersnaam of aaaaaaaaa, maar enkel met post-entry checks, niet als regels die op voorhand moeten worden uitgelegd,” aldus Atwood.
