Vanwege de ontdekking van de Heartbleed bug wordt iedereen aangeraden om voor al zijn accounts een nieuw wachtwoord te kiezen. De vraag is dan natuurlijk: hoe doe je dat? Hierbij een aantal tips gebaseerd op een analyse die ik eerder maakte.

Voor een wachtwoord heb je twee mogelijkheden.

  • Kies voor ieder account een wachtwoord dat bestaat uit een willekeurige rij letters, cijfers en leestekens. Het wachtwoord moet tenminste 8 tekens lang zijn. Nadeel is dat dergelijke wachtwoorden lastige te genereren zijn (willekeurig typen is niet zo makkelijk als het lijkt) en bovendien niet te onthouden zijn. Je bent dus gedwongen een password manager te gebruiken. Sommige browsers hebben een simpele password manager ingebouwd.
  • Kies voor ieder account een ‘wachtzin’ die bestaat uit een aantal willekeurige woorden. Gebruik geen standaard zin. De wachtzin moet tenminste 4 woorden bevatten, liefst 5 als je simpele, veelgebruikte, woorden kiest. Voordeel is dat een dergelijke wachtzin makkelijk(er) te onthouden is. Nadeel is dat veel systemen eisen dat een wachtwoord een cijfer of leesteken bevat. Zulke systemen accepteren dan geen wachtzin. Ik ken ook systemen die alleen de eerste 8 letters van het wachtwoord echt gebruiken. Voor dergelijke systemen is een wachtzin dus totaal onveilig, omdat je effectief een makkelijk te raden woord als wachtwoord gebruikt.

Alhoewel het af te raden is om wachtwoorden te hergebruiken voor verschillende accounts, doen veel mensen dat toch om dat het veel makkelijker is. Om het risico van deze strategie enigszins te beperken, kun je wachtwoorden het beste als volgt hergebruiken. Maak een lijst van al je accounts. Begin met de meest waardevolle accounts (Internet bankieren, je primaire email account), en eindig met de minst waardevolle accounts. Groepeer van boven naar beneden alle accounts zodat iedere groep in totaal ongeveer evenveel waarde vertegenwoordigt. Bovenin in de lijst heb je dus groepjes van 1. Onderin de lijst heb je veel grotere groepen. Accounts in dezelfde groep geef je hetzelfde wachtwoord. Zo is de schade bij het verlies van een wachtwoord even groot, onafhankelijk van het wachtwoord. [Zie Rishab Nithyanand, Rob Johnson, “The Password Allocation Problem: Strategies for Reusing Passwords Effectively”, 2013 Workshop on Privacy in the Electronic Society, WPES 2013.]

P.S.:

Ik word niet zo heel erg vrolijk van password managers, vooral niet als ze gebruik maken van een centrale opslag (hierover later meer). Het liefst zou ik al mijn wachtwoorden in een kluisje op mijn mobiele telefoon zetten, vanwaar ik ze makkelijk en overal kan gebruiken op iedere PC.

Het hergebruik van wachtwoorden zou helemaal geen probleem zijn als wachtwoorden niet direct naar de site gestuurd zouden worden, maar eerst (automatisch) gehasht zouden worden met de domeinnaam van de site. Dat zou in theorie door de browser gedaan kunnen worden zonder dat de servers aangepast hoeven te worden.