Kanye West op bezoek in het Witte Huis was al opmerkelijk te noemen, inmiddels is de pincode van zijn telefoon ook wereldnieuws.
Tijdens opnames van zijn ontmoeting met president Trump ontgrendelde hij zijn iPhone en dat werd op camera vastgelegd.
Voor iemand die nogal gecompliceerde en raadselachtig tweets de wereld in kan sturen, was zijn pincode kinderlijk eenvoudig. Zes keer 0 en je zit in zijn favoriete gadget.
En dat terwijl hij met zijn iPhone X – of XS – zelfs zonder code in te typen via gezichtsherkenning zijn iPhone had kunnen ontgrendelen.
Apple waarschuwt bij zulke simpele wachtwoorden middels een pop-up dat het verstandiger is om een minder voor de hand liggende code te kiezen dan 000000 of 123456, maar dat leek West niet nodig. Hopelijk heeft hij zijn wachtwoord inmiddels gewijzigd.
Toch vraag je je na verhalen als deze af: hoe veilig is een wachtwoord überhaupt?
Zo zag een veilig wachtwoord er tot voorheen uit
Vorig jaar onderzocht The Wall Street Journal al hoe een onkraakbaar wachtwoord eruit zou moeten zien en berekende de krant hoe groot de kans is en hoelang er nodig zou zijn om een wachtwoord te ontcijferen.
Je zou denken dat een wachtwoord zonder logica, met veel getallen, tekens en letters het veiligst zou zijn.
In 2003 adviseerde Bill Burr dit ook in een rapport van het National Institute of Standards and Technology, waar hij destijds manager was. Hij publiceerde een document van 6 pagina's, NIST Special Publication 800-63 Appendix A, met de subtitel ‘Estimating Password Entropy and Strength’.
Het werd dé standaard voor veilige wachtwoorden:
- Een wachtwoord moet minstens één hoofdletter bevatten
- Er moet een symbool in staan
- Er moet minstens één getal in staan
- Idealiter vervang je 'm iedere 90 dagen
Tot Burr vorig jaar aan WSJ bekende dat dit niet de veiligste optie was. Want hoewel deze combinaties voor mensen bijna niet te onthouden zijn, waren ze voor computeralgoritmes juist makkelijk te kraken.
Wat wel goed werkt? Woordcombinaties! En laten we die nou net hebben afgezworen omdat de naam van de kat in combinatie met die van kind en moeder niet veilig genoeg zou zijn.
Menselijke factor onmisbaar voor virtuele veiligheid
Als reactie op Burr's bekentenis zette WSJ hun computerwetenschapper aan het werk, die dat bevestigde. Een wachtwoord als Tr0ub4dor&3 kost een algoritme zo'n 3 dagen om te ontcijferen, een combinatie als correcthorsebatterystaple kost een algoritme 500 jaar. Dat maakt nogal verschil!
Dave Trott blaast dit bericht nieuw leven in met zijn column voor Campaign magazine, waarin hij aangeeft dat techniek wellicht de toekomst mag zijn, maar dat in veel gevallen een menselijke twist onmisbaar is: meat versus metal.
Dat is ook het geval met wachtwoorden: algoritmes kunnen alles wat logisch is makkelijk vervangen (letters door cijfers, symbolen voor andere tekens), maar een verband tussen een woordcombinatie bedacht door een mens (dus voor 99% uniek te maken), is voor de slimste computer een taaie kluif.
Toch maar weer je wachtwoord wijzigen.