Een goed wachtwoord
ligt niet voor de hand
Rabo
band
Beveiligingscampagne
van start
Wachtwoorden zijn er om het computersysteem ervan te overtui
gen dat degene die erop inlogt, ook gerechtigd is om gebruik te
maken van het systeem. De gebruiker van het wachtwoord heeft,
als het goed is, het toegangswoord bedacht en wordt geacht de
enige te zijn die het kent. Toch zijn veel wachtwoorden zo voor de
hand liggend dat fraudeurs er weinig moeite mee hebben ze te vin
den. Wat is een goed wachtwoord?
VEUAG^G
Nummer 16/23 augustus 1993
Medewerkers van de Rabobankorgani-
satie maken veelvuldig gebruik van aller
lei computersystemen. Information Secu-
rity Officers (ISO's) van Rabobank Neder
land hebben onder andere tot taak voor
lichting te geven over beveiliging ervan.
De omgang met beveiliging, zoals de pri
vacy en de juistheid van de cliëntgege
vens, wordt in belangrijke mate door de
medewerkers zelf bepaald. Daarom is een
campagne opgezet om medewerkers te
betrekken bij een aantal onderwerpen
rondom informatiebeveiliging en hun
eigen rol daarin. Naast artikelen in Rabo-
band zullen daartoe ook posters worden
verspreid. Het gebruik van wachtwoorden
is het eerste onderwerp. Hierna komen in
ieder geval computervirussen en compu
terincidenten aan de orde.
p grond van een wachtwoord wor
den alle acties geregistreerd on
der de naam van de gebruiker.
Het is als het ware een handtekening voor
af voor de dingen die je gaat doen', zegt Phi
lip van Dok van Informatiseringsbeleid en
Structurering Aangesloten Banken. 'Als je je
wachtwoord afgeeft aan een ander, plaatsje
als het ware alvast een handtekening onder
een brief waarvan je de inhoud niet kent.
Dat is gevaarlijk. Dus daarom is het van be
lang goede wachtwoorden te kiezen en die
geheim te houden.'
Gemakkelijk te raden 'Een handteke
ning is over het algemeen lastig na te ma
ken. Met een wachtwoord is dat anders', al
dus Van Dok. 'Omdat je zo'n wachtwoord
moet onthouden, kiezen mensen vaak een
voudige, korte woorden: het merk van hun
auto of de voornaam van vrouw of kinderen.
Inbrekers in computers hebben
hele lijsten met veel
gebruikte wachtwoor
den, waarmee ze kra
ken heel succesvol uit
voeren. Anders dan bij
het zetten van een
handtekening, maakt af
kijken of raden van een
wachtwoord meteen ook
het gebruik mogelijk.
Zelfs een gedeelte is
vaak genoeg om het res
tant te raden, zeker wan
neer je het slachtoffer een
beetje kent.'
Een zekere lengte
Wat is nu een goed wacht
woord? Van Dok: 'Een goed
wachtwoord heeft een zekere
lengte om het raden en uit
proberen moeilijk te maken.
In het algemeen wordt een minimumlengte
van zes posities aangehouden. Naarmate
het aantal tekens toeneemt, wordt vanzelf
sprekend het aantal mogelijke combinaties
groter. En dat loopt snel op. Met twee posi
ties heb je met letters en cijfers 1.296
mogelijkheden. Met vier posities wordt het
aantal al 16.79.616. De alleen uit cijfers
bestaande pincode heeft 10.000 mogelijk
heden. Gelukkig heb je om geld te krijgen
méér nodig dan alleen je pin. Zonder pas
lukt het niet. Dat geldt straks ook bij Laura
en nu al bij telebankieren voor bedrijven.
Daar heb je een chipkaart en een wacht
woord nodig.'
Onthouden Naarmate het aantal posi
ties groter wordt, worden wachtwoorden
vaak wel moeilijker om te onthouden. Op
schrijven is minder verstandig vanwege het
opbergprobleem. Dagelijks het wachtwoord
op papier uitrekenen vanuit de agenda of de
telefoonklapper is ook niet echt handig.
Daarvoor is meestal een ezelsbruggetje no
dig. Van Dok heeft voorbeelden van ezels
bruggetjes: 'De omkering, de verwisseling,
fonetische spellingen de 'eerste lettertruc'.
Bij omkering wordt bijvoorbeeld margriet
teirgram. De verwisseling van IBM naar HAL
uit de film Space Odyssee is een klassieker.
Elke letter zit een positie eerder in het alfa
bet. Bij de fonetische spelling wordt het
wachtwoord geschreven zoals het wordt uit
gesproken: Safeguard kan dan seefkaart
worden. Voor het gebruik van de 'eerste let
tertruc' is wat muzikale kennis nodig. De
eerste letters van de woorden van een tekst
regel vormen samen een wachtwoord. De
regel: 'schenk ik jou tulpen uit
Amsterdam' levert het wacht
woord 'sijtua' op. Zo zijn er tal
van manieren om een wacht
woord te maken en het te ont
houden.'
Letters en cijfers combi
neren 'Gebruik als het kan
zowel cijfers als letters', ad
viseert Van Dok. 'En altijd
geldt: Houd je wachtwoord
en de manier waarop je het
hebt bedacht geheim. Het
wachtwoord moet worden veranderd als het
vermoeden bestaat dat een ander het kent
of de methode weet waarop het woord is sa
mengesteld. Verander dan zowel van wacht
woord als van methode. Een praktisch pro
bleem kan ontstaan als iemand ziek wordt,
of met vakantie is en een ander plotseling
bij bepaalde gegevens moet kunnen komen.
In zo'n geval kan een systeembeheerder hel
pen en iemand anders toegang geven tot
het systeem. In sommige situaties - zoals
bij de hardware wachtwoorden van een
Olivetti pc - lukt dat niet. In een dergelijk ge
val is het verstandig om, in overleg met de
chef, het wachtwoord in een gesloten enve
lop op een veilige plaats op te bergen. Dan
kan in geval van nood met behulp daarvan
de pc worden gebruikt. De veiligheid is er mee
gediend als er bij terugkomst een nieuw
wachtwoord volgens een nieuwe methode
wordt samengesteld', aldus Van Dok.
Van Dok wijst er tenslotte op dat de ge
autoriseerde gebruiker van een pc verant
woordelijk is voor het gebruik van de appa
ratuur. Hij blijft dat ook als een ander er ge
bruik van maakt.
Van Dok: 'Ook posters op de publikatieborden zulten aandacht vragen voor een goed
wachtwoordgebruik.