Wachtwoordrichtlijnen NIST te moeilijk en niet veilig

  • Deel dit artikel:
NIST

Bill Burr, de man die in 2003 voor het National Institute of Standards and Technology (NIST) richtlijnen opstelde voor veilige wachtwoorden, heeft daar inmiddels spijt van. De bijna vijftien jaar oude publicatie van acht pagina's kreeg de naam 'NIST Special Publication 800-63.Appendix A.' De richtlijnen gaven onder meer aan dat wachtwoorden minimaal elke drie maanden moesten worden veranderd en dat ze in elk geval moesten bestaan uit getallen, vreemde tekens en hoofdletters. Volgens Burr werden mensen helemaal gek van het verzinnen en vooral onthouden van zo'n gecompliceerde wachtwoorden.

Wachtwoorden werden niet beter

Het document leidde tot allerlei voorwaarden voor online accounts, waar mensen zich aan moesten houden. Voorwaarden die volgens Burr achteraf gezien helemaal niet werken. Mensen kozen nog steeds vreselijk slechte wachtwoorden, alleen waren ze nu veel moeilijker te onthouden. Burr vertelt tegen de Wall Street Journal: "Ik heb spijt van veel wat ik gedaan heb. Het maakt niet uit wat ik bedacht zou hebben, mensen kiezen toch geen goede wachtwoorden."

Veel websites namen de regels van Burr over, zodat mensen allerlei rare karakters, cijfers en hoofdletters moesten onthouden. In sommige gevallen waren mensen zelfs verplicht om specifieke karakters zoals een vraagteken of een uitroepteken, of zelfs een specifieke getallenreeks in het wachtwoord op te nemen. Het driemaandelijks veranderen van het wachtwoord had ook weinig zin. De meeste mensen veranderden maar een klein onderdeel, om maar geen volledig nieuw wachtwoord te hoeven bedenken. Alleen progressieve bedrijven zoals Google hebben al die vervelende restricties inmiddels versoepeld.

Gemakkelijk te kraken

Een ander nadeel van de adviezen van Burr is dat de voorgestelde paswoorden weliswaar moeilijk waren te onthouden, maar niet voor computers te kraken. Cartoonist Randall Munroe berekende dat het wachtwoord Tr0ub4dor&3 – gemaakt op basis van de adviezen van Burr – in 3 dagen kan worden gekraakt. Een combinatie van vier woorden aan elkaar geschreven echter, zoals correcthorsebatterystaple, kost 550 jaar om te kraken. De claim werd onderschreven door security-specialisten.

Het einde van wachtwoorden

Experts voorspellen al geruime tijd dat het einde van wachtwoorden nabij is. Ze zullen uiteindelijk worden vervangen door andere technieken, zoals biometrie. Nu bestaan er natuurlijk al vingerafdrukscanners, maar die zijn op dit moment nog niet op alle apparaten te vinden. Pas wanneer dat het geval is, zullen lange, gecompliceerde wachtwoorden voorgoed uit ons leven verdwijnen. Tot die tijd komen we er nog niet helemaal onderuit.

Laat uw reactie achter

U moet ingelogd zijn om een post te plaatsen.

‹‹ Ga terug naar nieuwsoverzicht
'BTG inspireert en innoveert'