De dag die je wist dat zou komen was weer daar: tijd om zoals elk half jaar verplicht het wachtwoord van mijn universiteitsaccount te veranderen. Was ik er klaar voor? Kun je dat ooit echt zijn? Ik keek naar de eisen: “Het wachtwoord moet minstens 8 tekens lang zijn. Het wachtwoord mag niet meer dan 13 tekens bevatten. Het wachtwoord moet minstens één getal bevatten. Het wachtwoord mag geen symbolen bevatten. […] Het wachtwoord kan geen deel van je (gebruikers)naam bevatten. Het wachtwoord mag geen gewoon woord of een veelgebruikte reeks tekens bevatten.”
Wacht, waarom mocht ik *@#$%^& geen symbolen gebruiken? Ik snap dat het wachtwoord niet te kort mag zijn en ik juich het natuurlijk toe dat er Fibonacci-getallen gebruikt worden voor grenzen. Maar waarom mag mijn wachtwoord in vredesnaam niet langer dan dertien tekens zijn? Wordt het opgeslagen op een heel smal ponskaartje?
Blijkbaar worden niet alle eisen even streng gehandhaafd, want het systeem accepteerde eens een wachtwoord dat het woord ‘ANGRY’ bevatte en ik heb ook wel eens delen van mijn naam gebruikt – wat goed nieuws is voor Melvin Q.D. Jugxby Schwartzkopf.
Toch is het elk half jaar weer puzzelen op een wachtwoord dat aan alle eisen voldoet en toch te onthouden is. Het regelmatig verplicht veranderen van wachtwoorden is volgens experts dan ook een slecht idee [1][2]. Gebruikers kiezen namelijk minder goede wachtwoorden als ze weten dat ze die over een tijdje weer moeten veranderen. Of ze gaan over tot een systeem met steeds hetzelfde wachtwoord met een ander getal aan het eind – wat gek genoeg niet zo heel moeilijk te kraken blijkt als eenmaal een wachtwoord gelekt is. Of gebruikers die wél braaf een moeilijk te raden wachtwoord kiezen, schrijven dit op een post-it aan hun monitor. Natuurlijk zijn er wachtwoord-managers die dit soort problemen oplossen – maar dan sta je wel weer te klungelen bij een printer waarop je je wachtwoord met de hand moet intypen.
Om het nog erger te maken zijn al die eisen aan wachtwoorden óók al een slecht idee [3]. Mensen zoeken namelijk naar manieren om zo simpel mogelijk aan de gestelde eisen te voldoen, wat juist leidt tot minder sterke wachtwoorden. De hoofdletter komt aan het begin, als een symbool verplicht is, dan doe je aan het eind een uitroepteken. Nog even ergens een cijfer erin stoppen en klaar is je W8chtwoord! De diepe ironie van dit alles is dat we, zoals Randall Munroe het ooit treffend verwoordde in zijn strip xkcd, iedereen hebben getraind om wachtwoorden te kiezen die moeilijk te onthouden zijn voor mensen, maar makkelijk te raden voor computers.
Er bestaan elegante oplossingen, zoals bijvoorbeeld diceware, waarbij je wachtwoord uit een rijtje van zes gewone woorden bestaat. Die woorden komen uit een standaardlijst van 7.776 makkelijk te onthouden woorden. Je kiest een woord door vijf keer een dobbelsteen te gooien (waarbij er niet geheel toevallig 7.776 mogelijke uitkomsten zijn) en het bijpassende woord op te zoeken in de lijst. Dit herhaal je tot je een rijtje van zes woorden hebt. Ik probeerde deze methode en kwam op ‘geheel hommel best kaars dienst aaien’. Dat lijkt me makkelijker om te onthouden én moeilijker te kraken dat het wachtwoord dat ik nu toch maar weer braaf heb verzonnen voor het komende half jaar.