'Vaak je wachtwoord veranderen is juist niét veiliger'

Dat stelt de belangrijkste techneut van de Amerikaanse Federal Trade Commission, die pleit voor één (sterk) wachtwoord per jaar. Veel bedrijven verplichten hun medewerkers elke paar maanden hun wachtwoord aan te passen. Dat zou de veiligheid ten goede komen, omdat het onbevoegde gebruikers die het wachtwoord weten periodiek weert. Maar volgens Lorrie Cranor, hoofd technologie bij de Amerikaanse Federal Trade Commission, is dit grotendeels onzin.

Cranor beroept zich op verschillende wetenschappelijke onderzoeken naar het bedenken en onthouden van wachtwoorden. Uit die onderzoeken blijkt dat mensen juist minder moeite in een wachtwoord steken als ze deze regelmatig moeten veranderen. Ze veranderen bijvoorbeeld één cijfer, letter of teken - wachtwoord1 wordt dan bijvoorbeeld wachtwoord2. Onderzoekers van de Universiteit van Noord-Carolina onderzochten (pdf) enkele jaren geleden de wachtwoorden en aanpassingen van meer dan 10.000 werknemers of studenten van de universiteit. Daaruit blijkt dat - indien ze het originele wachtwoord weten - enorm snel het nieuwe wachtwoord kunnen raden. In de meeste gevallen lukte dit binnen vijf keer een nieuw wachtwoord invoeren.

Sterke wachtwoorden

Als de aanvaller het wachtwoord weet - waar het veranderen van het wachtwoord juist tegen zou moeten beschermen -, dan nog kan een aanvaller vrij simpel het volgende wachtwoord raden, zo oordelen de onderzoekers. Daarom wordt aangeraden om één sterk wachtwoord te nemen en deze voor één jaar te houden. Een sterk wachtwoord bestaat bijvoorbeeld uit vijf willekeurige woorden, die je samen gemakkelijk kunt onthouden. Denk bijvoorbeeld aan een panda die een biertje op een eiland drinkt, om vervolgens Doom te spelen op zijn Gameboy. Je krijgt dan het wachtwoord pandabiereilanddoomgameboy, dat een sterk wachtwoord is en je ook gemakkelijk kunt onthouden.