Bekende tips om wachtwoorden zo ingewikkeld mogelijk te maken, werken feitelijk averechts. Dat stelt althans Bill Burr, die 14 jaar geleden een lijst samenstelde met wachtwoordregels die nog altijd door tal van organisaties worden opgevolgd.
Als manager bij het Amerikaanse National Institute of Standards and Technology bracht Burr in 2003 adviezen naar buiten waarmee eindgebruikers ‘zo veilig mogelijke’ wachtwoorden konden samenstellen. Tot voor kort werden zijn wachtwoordtips en -trucs door tal van bedrijven over de hele wereld als ‘standaard’ gebruikt voor het beveiligen van mail en andere IT-toepassingen.
In een recent interview met Wall Street Journal (betaalde toegang) geeft Burr – inmiddels 72 jaar en gepensioneerd – echter aan dat hij alsnog spijt van zijn lijst heeft. De tips die erin staan leiden feitelijk tot een lakse houding van computergebruikers en schieten daardoor hun doel voorbij, zo stelt hij.
Voor de hand liggende combinaties
Het wachtwoorddocument van Burr is destijds als Appendix A (pagina 46-54) opgenomen in NIST Special Publication 800-63. In het document adviseerde Burr om cijfers en hoofdletters op te nemen in een wachtwoord, en bepaalde letters te vervangen door speciale karakters. Bekende voorbeelden van dat laatste advies zijn dat ‘$’ de plaats inneemt van ‘s’, en ‘@’ die van ‘a’. Wie de oude tips van Burr opvolgt, stelt daarmee wachtwoorden samen zoals ‘W@ch1W00rd’ of ‘P@55wordD’.|
“Deze tips leiden feitelijk tot een lakse houding van computergebruikers en schieten daardoor hun doel voorbij”
Zulke samenstellingen ogen complex, maar hebben volgens Burr een erg voor de hand liggende samenstelling. Hij stelt dat het voor veel computergebruikers te ingewikkeld blijkt om zijn adviezen van destijds op de juiste manier toe te passen. Daardoor wordt er zo eenvoudig mogelijk invulling aan gegeven, met als gevolg dat wachtwoorden kinderlijk eenvoudig zijn te achterhalen.
Daar komt bij dat de advieslijst ook aangaf dat een wachtwoord iedere drie maanden moet worden vervangen, wat ertoe leidt dat mensen minimale aanpassingen doorvoeren zodat ze geen nieuw wachtwoord hoeven te onthouden. ‘W@ch1W00rd’ wordt dan iets als ‘W@ch1W00rd1′; voor de gemiddelde hacker een even eenvoudig doelwit, waardoor zo’n aanpassing voor een misplaatst gevoel van veiligheid zorgt.
Nieuwe voorschriften
Inmiddels heeft het NIST ook erkend dat de oude voorschriften moeten worden vervangen. Het instituut heeft nieuwe wachtwoordvoorschriften gepubliceerd waarbij de basisprincipes van Burr volledig zijn losgelaten. In plaats daarvan wordt uitgegaan van zogenaamde passphrases: langere woordcombinaties die de eindgebruiker eenvoudig kan onthouden, maar die voor derden lastig zijn te kraken. Eerder gaf ook de Britse overheid al een soortgelijk advies.