© René Franquinet (2012-2016)    Ontworpen in Serif WebPlus     info@questionit.nl


Question it
Question it

Fikkie: goede waakhond, slecht wachtwoord


(jan. 2011)

Fikkie is een alert huisdier: bij het minste of geringste (verdachte) geluid slaat het hondje aan en wordt iedereen in huis in min of meer verhoogde staat van paraatheid gebracht. Fikkie zelf is zich niet bewust van deze dienst: het zit gewoon in de aard van het beestje. Hoeveel waardering je ook voor Fikkie hebt, als wachtwoord is zijn naam een minder gelukkige keuze. We gaan het eens hebben over de keuze van wachtwoorden.

Bijna iedereen die een pc gebruikt en internet bezoekt, krijgt er vroeg of laat mee te maken: de keuze van een wachtwoord. De bedoeling daarvan is dat jij als unieke persoon geïdentificeerd wordt die de site mag bezoeken of de transactie mag verrichten. Dat heet officieel authenticatie. Ben je wel degene voor wie je je uitgeeft? Goed beschouwd is die authenticatie een noodzakelijk kwaad. Je zou liever willen dat je zonder al teveel poespas altijd weer als jezelf herkend wordt. Maar on-line kan een ander zich ook als jou voordoen. We kunnen dat wachtwoord als noodzakelijk kwaad in gradaties van onbelangrijk tot zeer belangrijk uitdrukken. Wachtwoorden als toegangscode voor sites waar je gewoonlijk geen persoonlijk profiel aanmaakt, kun je dan als code groen kwalificeren. Daar zou je een eenvoudig, wat jou betreft misschien best wel achterhaalbaar wachtwoord voor kunnen verzinnen. Fikkie is zo’n wachtwoord. Als iemand die je thuissituatie kent, achter dit wachtwoord komt, is er nog geen mens overboord.

Bij code oranje, dus sites waar je wel een persoonlijk profiel aanmaakt, waarvan je niet zou willen dat het door een ander veranderd wordt, maar waar verder weinig schade aangericht kan worden, bedenk je een wat ingewikkelder wachtwoord. Je gaat dan combinaties van bij jou bekende woorddelen of cijfers maken. Bijvoorbeeld: je postcodecijfers minus 1 plus de naam van fikkie (kleine letters voor het gemak), opgehoogd met 3 letters en tussen die twee delen het #-teken. Is je postcode bijvoorbeeld 3412, dan wordt je wachtwoord: 2301#ilnnlh. Dat ziet er al aardig ingewikkeld uit. Maar je begrijpt dat het wat van je vraagt: je zult de formules moeten onthouden: postcode minus 1 en fikkie plus 3 letters. De dubbele veiligheid zit in de keuze van postcode en waakhond plus de gebruikte formules. Deze truc levert al moeilijk kraakbare mogelijkheden op, vooral als de codelengte niet te klein is. De 11 tekens die hier gebruikt zijn, voldoen.

Bij code rood, wachtwoorden die gebruikt moeten worden voor betrouwbare sites met (zeer) persoonlijke informatie of sites van waaruit financiële transacties gerealiseerd kunnen worden, moet je de keuze van een wachtwoord goed overdenken. De bij code oranje genoemde methode is ook hier wel geschikt, maar de onderliggende woorden-/cijfercombinaties kunnen beter niet in je persoonlijke levenssfeer liggen. Ook zou je er in dit geval voor moeten zorgen dat je onderscheid gaat maken tussen hoofd- en kleine letters. Levert een combinatiekeuze van 2 kleine letters uit een alfabet van 26 kleine letters 650 mogelijkheden op, bij 4 letters heb je al 350 duizend combinaties. Bij onderscheid tussen hoofd- en kleine letters mag je bij een letterwachtwoord van lengte 4 al een keuze maken uit 6,5 miljoen mogelijkheden. Gebruiken we hierbij ook nog eens de tekens !@#$%&*() (ja, die staan boven de cijfers op je toetsenbord), dan groeit het aantal mogelijkheden al tot meer dan 12,5 miljoen. Het gaat dus snel. Willekeurig gegenereerde codes leveren op die manier veilige, maar nauwelijks te onthouden wachtwoorden op. Die moet je dan misschien weer in een versleuteld (dus beveiligd!) bestand opbergen. Dus handiger is het slimme combinaties uit code oranje te gebruiken, die voor jou beredeneerbare wachtwoorden opleveren, waarvan je de formule uiterst geheim houdt.