Het blijkt verrassend makkelijk om een procedure uit je hoofd te leren, waarmee je tientallen sterke wachtwoorden kunt onthouden. Volgens computer wetenschapper Samira Samadi is dat een stuk veiliger dan al je wachtwoorden in een wachtwoordmanager stoppen, of maar één wachtwoord gebruiken voor al je logins.
Hoeveel sleutels op digitale sloten kan een normaal mens onthouden?
Arnout Jaspers voor NEMOKennislinkTwintig wachtwoorden
Wachtwoorden vergeten is een van de plagen van het digitale tijdperk. De doorsnee burger heeft een stuk of twintig wachtwoorden nodig voor de websites en apparaten die hij met enige regelmaat gebruikt. Idealiter zijn dat twintig totaal verschillende, schijnbaar willekeurige reeksen letters, cijfers en speciale tekens. Maar wie kan dat onthouden?
Daarom gebruiken veel mensen voor meerdere websites hetzelfde wachtwoord, eventueel met kleine variaties. Hopelijk ben jij niet zo iemand die voor álles – online bankieren, DigiD, e-mailaccount, webwinkels – bijna hetzelfde wachtwoord gebruikt. Als je wachtwoord dan ook nog voorkomt in de zeer omvangrijke lijsten van veel gebruikte of al gehackte wachtwoorden die onder hackers circuleren, ben je vroeg of laat aan de beurt voor je hoogstpersoonlijke digitale armageddon.
Samira Samadi is een Iraanse computer wetenschapper die aan het Georgia Institute of Technology in de Verenigde Staten onderzoek doet naar ‘mentale algoritmes’ om wachtwoorden te onthouden. Schertsend wordt dat ook wel het ‘Naakte man in de woestijn’-probleem genoemd: verzin een procedure waarmee je uit het blote hoofd, zonder enig hulpmiddel, een stuk of twintig willekeurige wachtwoorden kan reconstrueren. Het idee voor deze tak van onderzoek komt van Turing Award winnaar Manuel Blum van Carnegy Mellon University, met wie ze nauw samenwerkt, net als met Santosh Vempala, computerwetenschapper aan Georgia Tech.
Verzinnen en onthouden
“Gelukkig ben ik nu eens een keer bezig met een onderwerp dat iedereen kan begrijpen,” zegt Samadi tijdens een lunch op het Heidelberg Laureate Forum, waar zij een van de jonge onderzoekers is die was uitgenodigd om de grote prijswinnaars in de wiskunde te ontmoeten. “De wiskunde erachter is ingewikkeld, maar iedereen moet wachtwoorden verzinnen en onthouden.”
Eh… daar hebben we tegenwoordig toch wachtwoordmanagers als LastPass of Dashlane voor, handige apps die al je wachtwoorden beheren, beveiligd met één master wachtwoord? Samadi: “Het probleem met wachtwoordmanagers is dat mensen er afhankelijk van worden, want ze weten al hun andere wachtwoorden niet meer. Dus moeten ze die app op al hun apparaten installeren. Er zijn genoeg voorbeelden bekend van mensen wier master wachtwoord gehackt is, waarna al hun wachtwoorden op straat lagen.”
In sommige gevallen wordt de wachtwoordmanager gehackt omdat iemand een makkelijk te raden master wachtwoord koos. Of iemand kijkt simpelweg over je schouder mee wanneer je het wachtwoord intikt. Hoe weet je zeker dat dit niet gebeurd is in die overvolle spitstrein of tijdens dat popfestival afgelopen weekend?
Helemaal verontrustend is het als de producent van een wachtwoordmanager zelf gehackt wordt, zoals vorig jaar LastPass nog overkwam. Echt sterke wachtwoorden (die uit willekeurige toetsenbordtekens bestaan) boden ook na de hack nog goede beveiliging, maar mogelijk zijn grote aantallen zwakkere wachtwoorden (de naam van je kat met je huisnummer erachter) nu kwetsbaar geworden voor hackers.
Als een app niet de oplossing is, hoe moet het dan wel? Om te beginnen adviseert Samadi, net als veel cryptografen, om je browser nooit automatisch wachtwoorden voor je in te laten vullen. Als je ze altijd zelf invult op websites waar je vaak komt, repeteer je ze telkens en onthoud je ze moeiteloos. Dit is geen permanente belasting voor je ongetwijfeld al druk bezette brein: iedereen onthoudt ook moeiteloos de namen en persoonlijke details van een stuk of vijftig vrienden, collega’s en mediapersonages.
Maar er zijn ook websites waar je minder vaak komt, en soms log je ergens voor de eerste keer in. Hoe maak je dan een sterk wachtwoord aan dat je toch makkelijk onthoudt? Samadi heeft van allerlei mentale algoritmes onderzocht hoe veilig ze zijn, en welk beslag ze leggen op je breincapaciteit.
Vijf sleutelwoorden
De beste mentale algoritmes gaan uit van de naam van de website zelf, en zetten die naam volgens makkelijk uit het hoofd te leren regels om in een wachtwoord. Dat kan bijvoorbeeld door een serie van vijf sleutelwoorden te onthouden (zie kader ‘Methode 1’), of een schema dat de letters van het alfabet willekeurig omzet in andere letters van het alfabet (zie kader ‘Methode 2’).
Elk mentaal algoritme vergt in het begin enige aandacht en inspanning, maar daarna is het maken en onthouden van wachtwoorden makkelijk. Samadi gaf in Heidelberg een workshop waar de deelnemers ter plekke volgens Methode 2 een random letter-lettercodering uit het hoofd leerden. Volgens haar lukt dat in twaalf minuten, dankzij handige ezelsbruggetjes. Uiteraard willen we dan weten: gebruikt Samadi zelf ook een mentaal algoritme voor al haar wachtwoorden? “Ja, ik gebruik een random letter-lettercodering. In het begin was het wel lastig, omdat ik al mijn bestaande wachtwoorden moest vernieuwen.”
Als je een bestaand woord als (deel van) een wachtwoord gebruikt, en meerdere van je wachtwoorden lijken op elkaar, dan maak je het hackers heel wat gemakkelijker. Woordenboeken in allerlei talen zitten namelijk in programma’s die volautomatisch enorme aantallen wachtwoorden uitproberen. Een hack in een webwinkel kan dan resulteren in het leeghalen van je bankrekening.
Flickr.comResistent
De mentale algoritmes die Samadi bestudeert, hebben een bijzondere veiligheidseigenschap: ze zijn vrij resistent tegen gehackte wachtwoorden. Dat wil zeggen: als iemand een van je wachtwoorden ontdekt – bijvoorbeeld doordat hij over je schouder meekijkt als je inlogt op facebook – én hij weet welk algoritme je gebruikt, dan nog kan hij vrijwel zeker niet een van je andere wachtwoorden ontdekken.
Samadi: “We hebben dit getest met de vierhonderd meest gebruikte websites. We schreven een computerprogramma dat een groot aantal voorbeelden van letter-lettercoderingen maakte. Het blijkt dat je gemiddeld zes à zeven wachtwoorden moet stelen voordat je een ander wachtwoord kunt reconstrueren.”
Dit komt in wezen doordat elk wachtwoord maar vijf nieuwe letters bevat, en voor elke website zijn dat vijf andere letters. Als je wachtwoorden van vijftien letters zou gebruiken, is de kans veel groter dan één gehackt wachtwoord sommige andere wachtwoorden weggeeft, omdat de naam van een andere website toevallig grotendeels uit dezelfde letters kan bestaan. Stuk voor stuk bekeken, is een lang wachtwoord veiliger dan een kort wachtwoord. Maar dat is niet het enige wat van belang is. Samadi: “Er is altijd een trade-off tussen hoe veilig één wachtwoord is, en hoe veilig het hele systeem nog is als dat wachtwoord gehackt wordt.”
Ideale methode
Samadi bestudeert ook andere voorbeelden van mentale algoritmes. Ze is nog op zoek naar de ideale methode die niet alleen makkelijk te onthouden is, maar ook maximale veiligheid en resistentie biedt tegen gestolen wachtwoorden. Er is ook niks mis mee om voor persoonlijk gebruik je eigen mentale algoritme te bedenken. Dat kan een variant van Methode 1 of 2 zijn, of iets heel anders. Als je ook de methode geheimhoudt, geeft dat vanzelf extra veiligheid. Maar zorg er in ieder geval voor dat er geen makkelijk te ontdekken verband is tussen de naam van de website en je wachtwoord.
'%20fill='%23000'%3e%3cpath%20d='M1.28%2022.5c-.505%200-.826-.018-.862-.018a.44.44%200%2001-.238-.792l2.425-1.778A8.266%208.266%200%2001.326%2014.22c0-4.559%203.71-8.268%208.268-8.268a8.269%208.269%200%20018.087%206.556c.119.559.176%201.135.176%201.716%200%204.554-3.705%208.263-8.263%208.263-.907%200-1.804-.15-2.667-.44-1.782.392-3.608.458-4.646.458V22.5zM8.595%206.83c-4.075%200-7.388%203.313-7.388%207.388%200%202.055.867%204.03%202.376%205.416.097.088.15.216.14.348a.448.448%200%2001-.18.33L1.774%2021.61c1.06-.022%202.609-.119%204.083-.458a.468.468%200%2001.246.013%207.414%207.414%200%20002.49.432c4.07%200%207.384-3.314%207.384-7.384a7.385%207.385%200%2000-6.41-7.322%207.849%207.849%200%2000-.973-.06z'/%3e%3cpath%20d='M20.944%2013.102c-.775%200-2.139-.049-3.48-.34-.37.124-.758.216-1.154.27a.44.44%200%2001-.492-.344%207.395%207.395%200%2000-6.253-5.795.44.44%200%2001-.383-.462A6.287%206.287%200%200115.462.5c3.334%200%206.296%202.825%206.296%206.296%200%201.571-.594%203.09-1.65%204.242l1.711%201.254a.439.439%200%2001-.238.792c-.03%200-.263.013-.637.013v.005zm-3.507-1.237c.03%200%20.066%200%20.097.009.941.216%201.918.3%202.675.33l-1.034-.761a.448.448%200%2001-.18-.33.431.431%200%2001.14-.348%205.412%205.412%200%20001.743-3.969A5.421%205.421%200%200015.46%201.38a5.407%205.407%200%2000-5.363%204.708%208.275%208.275%200%20016.48%206.002c.243-.053.48-.12.71-.198a.428.428%200%2001.149-.027z'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='prefix__clip0_1886_150885'%3e%3cpath%20fill='%23fff'%20transform='translate(0%20.5)'%20d='M0%200h22v22H0z'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Reageer