vrijdag 6 augustus 2021, 13:35 Bron,
Geen verplichte hoofdletters, cijfers, vreemde tekens en karakters, maar een wachtwoord dat uit drie woorden bestaat. Met dat wachtwoordadvies voor organisaties en eindgebruikers kwam de Britse overheid in 2016. Nu vijf jaar later is het Britse National Cyber Security Centre (NCSC) met een uitleg van het advies gekomen en waarom het dit blijft geven. Ook gaat het in op de zorgen die erover het advies zijn.
Volgens het NCSC zorgen complexiteitsvereisten die vaak aan wachtwoorden worden gesteld dat mensen voorspelbare wachtwoorden kiezen of wachtwoorden hergebruiken. Daarnaast zijn complexe wachtwoorden voor de meeste mensen niet te onthouden. Een wachtwoord dat uit drie woorden bestaat maakt het eenvoudiger voor mensen om unieke wachtwoorden te kiezen die voor de meeste gevallen sterk genoeg zijn en eenvoudiger zijn te onthouden.
Er kwam ook kritiek op het advies. Zo zou het lastig voor mensen zijn om meerdere wachtwoorden te onthouden en dat wachtwoordmanagers sterkere willekeurige wachtwoorden genereren. Het NCSC stelt dat het gebruik van wachtwoordmanagers nog altijd vrij laag is en het advies van drie woorden naast het veilig opslaan van inloggegevens moet worden gebruikt.
“Om het lastiger voor aanvallers te maken moeten we de diversiteit van wachtwoordgebruik vergroten. Dit houdt in het aantal wachtwoorden te verminderen dat via goedkope en effectieve zoekalgoritmes is te vinden, en het dwingen van een aanvaller om meerdere zoekalgoritmes (of inefficiënte algoritmes te gebruiken) om een zinnig aantal wachtwoorden te achterhalen”, aldus het NCSC.
Volgens de Britse overheidsinstantie werken de huidige complexiteitsvereisten juist tegen wachtwoorddiversiteit. “Om de diversiteit te vergroten moeten mensen juist worden aangemoedigd om andere strategieën voor het maken van wachtwoorden te gebruiken, zoals het drie woordenadvies, die juist lengte in plaats van bepaalde karakters gebruiken om de gewenste sterkte te halen.”