Bill Burr, de bedenker van de strenge wachtwoordeisen, heeft spijt van zijn werk

Wachtwoord Google trust score

Een sterk wachtwoord bestaat uit veel getallen en speciale tekens, en je verandert hem regelmatig. De eisen ken je ondertussen waarschijnlijk wel. Maar de man die ze bedacht, Bill Burr, heeft er nu spijt van, zegt hij tegen The Wall Street Journal.

Het advies van Burr werd opgesteld voor het National Institute of Standards and Technology (NIST). De standaarden die dit instituut aanhouden hebben veel invloed binnen de Amerikaanse overheid, maar eigenlijk voor ons allemaal wel. Dankzij het advies van Burr is het bij veel agentschappen en bedrijven verplicht om moeilijk te onthouden tekencombinaties te gebruiken en alle wachtwoorden regelmatig te vervangen.

Maar veel mensen die hun wachtwoord verplicht wijzigen, maken slechts kleine aanpassingen. Zo wordt er bijvoorbeeld maar één cijfer gewijzigd. Daarnaast worden makkelijk te raden wachtwoorden – denk aan “W4chtwoord!” – veel gebruikt vanwege de eisen. “Ik heb spijt van veel van wat ik heb gedaan”, zegt Burr nu zelf. “Mensen worden er gek van en ze kiezen toch geen goede wachtwoorden, wat je ook doet.”

Grote druk

Burr vertelt The Wall Street Journal verder dat hij het advies onder grote druk samenstelde in 2003. Hij wilde zijn advies baseren op daadwerkelijke data over wachtwoorden, maar in dat jaar was er weinig te vinden. Hij besloot om mensen bij NIST te vragen of hij een blik mocht werpen op de wachtwoorden in hun netwerk. Maar zij wilden ze niet delen, vanwege privacy.

Burr had dus geen daadwerkelijke data over de veiligheid van wachtwoorden. Om die reden haalde hij veel van zijn advies uit een paper die in het midden van de jaren ’80 werd geschreven. En toen was het internet niet hetzelfde als nu.

Tegenwoordig is er wel data over wachtwoorden. Diverse hackers hebben immers honderden miljoenen wachtwoorden gestolen van bedrijven als MySpace en LinkedIn, en deze online geplaatst. Onderzoekers konden daardoor ontdekken hoe onze wachtwoorden het doen tegen de tools die gebruikt worden om ze te kraken. En we denken misschien wel dat we slimme wachtwoorden bedenken, maar niets is minder waar. We gebruiken dezelfde combinatie steeds weer, met kleine wijzigingen.

Nieuw advies

Inmiddels heeft NIST dan ook een nieuwe versie van zijn advies opgesteld. Daarin werden grote veranderingen doorgevoerd. Experts zeggen bijvoorbeeld dat het beter is om een lang, maar eenvoudig te onthouden wachtwoord te gebruiken. Zo kun je beter vier willekeurige woorden achter elkaar gebruiken: dat is makkelijk te onthouden, maar moeilijk te kraken. “Voetbalwaterkatcola” zou dus beter zijn dan “Pa55word!1”.