Onveilige wachtwoorden? En het wachtwoord van mijn bankpas dan?

Bijna dagelijks worden we opgeschrikt door berichten over informatie-diefstallen en over gekraakte informatiesystemen. Telkens weer wordt dit gevolgd door een oproep om sterkere wachtwoorden.

Nu blijkt het zo te zijn dat mensen mensen zijn en immer wachtwoorden zullen kiezen die ze kunnen onthouden. En dingen die je kunt onthouden, kunnen hackers achterhalen. Alle wachtwoord-onthoud trucs zijn vindbaar op hackersites op het internet, en dus te kraken. Voor het geval je denkt dat je iets ononthoudbaars hebt gevonden: Als een hacker erbij wil dan komt hij er, door bruut geweld, ‘brute force attack’ in hackers termen, toch wel doorheen.

Daarnaast geldt dat ik me regelmatig moet inschrijven / identificeren op websites waarvan ik het belang van beveiliging niet in zie. Een website waar geen interessante informatie van mij op staat, hoeft ook niet krachtig beschermt te worden. Het gevolg is, dat ik voor dergelijke websites, een standaard eenvoudig wachtwoord heb.

Als ik echter kijk naar hetgeen ik wel belangrijk vind, wat schetst mijn verbazing: daar is een wachtwoord dat bestaat uit vier cijfers voldoende. Mijn bankrekening wordt beschermd door een Persoonlijk Identificatie Nummer van 4 cijfers! Een makkelijker te kraken wachtwoord is er bijna niet en toch is dit veiliger dan al mijn andere aanmeldnaam/wachtwoord combinaties bij elkaar!

Waarom kan het dat dit veiliger is dan de meest complexe wachtwoorden met tekenwissels, minimaal 12 karakters en geen inhoudelijke betekenis? Dit komt omdat de PIN op zich geen enkele waarde heeft, pas in combinatie met de pas wordt het waardevol. Het combineren van twee zaken, iets dat ik heb (pas) en iets dat ik weet (PIN) maakt de boel veilig. Wil je echte veiligheid dan is een derde factor, bijvoorbeeld de goedkeuring van een betrouwbare partij een mogelijkheid.

Veiligheid moet dus niet gevonden worden in een moeilijker wachtwoord, maar in twee- of drie-factor authenticatie.

---