Het lijkt alsof men steeds veeleisender wordt bij het gebruik van wachtwoorden. Minimumlente, hoofd- en kleine letters en leestekens, met vaak ook nog een controle op veel voorkomende woorden. Toch heeft dit wel degelijk nut. Hoe veel nut is terug te zien in de benchmarks van cybersecuritybedrijf Hive Systems.
De opzet van de benchmark is simpel - hoe snel kan een wachtwoord gekraakt worden met bepaalde hardware, in dit geval met een cluster van grafische kaarten. Voor de test is de Nvidia RTX 5090 gebruikt, een van de meest krachtige kaarten die momenteel commercieel verkrijgbaar is. Er werd berekend hoe snel een cluster van twaalf van deze kaarten een wachtwoord kon breken, afgezet tegen de lengte en het aantal verschillende tekens dat het wachtwoord mogelijk kan gebruiken.
De cijfers tonen aan hoe de tijd die nodig is om een wachtwoord te forceren exponentieel toeneemt bij lengte. Een wachtwoord dat bestaat uit tien cijfers is in een dag te kraken. Voeg een cijfer toe, en het duurt een week. Bij twee extra cijfers duurt het zelfs drie maanden. Maar wie een wachtwoord complexer maakt door zowel hoofd- als kleine letters te gebruiken en symbolen toe te voegen maakt het nog moeilijker om het te forceren. Een wachtwoord van tien cijfers is in een dag gekraakt, maar door in plaats van cijfers alleen kleine letters te gebruiken voor een wachtwoord van tien tekens loopt dit al op tot 40 jaar. Wie hoofd- en kleine letters, cijfers én leestekens gebruikt in een wachtwoord van tien tekens zet hackers ongeveer 803,000 jaar aan het werk.
Beeld: © Hive Systems
Dat gaat er uiteraard vanuit dat het om een poging tot forceren gaat waarbij de aanvaller geen voorafgaande informatie heeft. Vaak worden dit soort pogingen tot forceren meer doelgericht gedaan, door bijvoorbeeld een lijst van veelgebruikte woorden als sturing te gebruiken. Bij zo'n dictionary attack of woordenlijstaanval wordt gebruik gemaakt van de menselijke gewoonte om makkelijk te herinneren wachtwoorden te gebruiken door bijvoorbeeld eerst namen van personen, organisaties en dergelijke te gebruiken, omdat de kans dat deze gebruikt worden voor een wachtwoord groter is dan dat een willekeurige reeks tekens wordt gebruikt.
Het beste wachtwoord blijft echter een wachtwoord dat ondersteund wordt door andere lagen informatie, bijvoorbeeld door tweefactorauthenticatie te gebruiken. Door een extra pincode toe te voegen of biometrische authenticatie te gebruiken kan ook een succesvol gekraakt (of gestolen) wachtwoord niet gebruikt worden door kwaadwillenden. Daarom is het ook belangrijk om niet alleen een goed wachtwoord te kiezen, maar ook om dit regelmatig te verantwoorden. Meer informatie over verantwoord gebruik van wachtwoorden vindt u op de informatiepagina van het Digital Trust Center.