Je beste wachtwoord is pure poëzie

Rijm en metrum maken het makkelijker om complexe zinnen te onthouden. Al van oudsher: Homerus' heldendicht over Odysseus telt 12.000 versregels.

Er schuilt een Sinterklaas in elke computergebruiker. Dat zeggen de Amerikaanse wetenschappers die een formule bedachten voor een (bijna) niet te kraken wachtwoordgedicht. Door willekeurige woorden in een lekker lopend metrum op rijm te zetten, creëer je een wachtwoord dat uit 60 bits bestaat. Moeilijk genoeg om een snelle computer er 11 jaar op te laten rekenen voordat-ie het kan raden.

Poëzie is al duizenden jaren dé manier om complexe teksten te onthouden. Vandaar dat je een rijmend zinnetje als  Joanna kissing verified soprano finally reside  makkelijk kunt reproduceren en ondertussen een hacker hoofdpijn bezorgt.

Hier kun je zelf voorbeelden van willekeurige wachtgedichten genereren en zo klinken ze, achter elkaar. En in het Nederlands?  Eh…  Konijnen praktisch leverworst spaghetti kraakbeen lavakorst. Of, wat minder random: Het Nederlandse koningspaar zit nu onder het pandahaar.
Het Drs. P.-gehalte stijgt vanzelf.

Lange zinnen zijn veiliger

Langere wachtwoordgedichten zijn veiliger dan 12345678, welcome01, namen van huisdieren, geboortedata of doorzichtige trucs als het verhaspelen (v3rh@5p3l3n) van bestaande woorden.

Eureka dus, de poëtische login? Niet helemaal. Lange wachtwoordzinnen zijn niet nieuw. Je moet bijvoorbeeld een zinnetje bedenken als je browser Chrome gebruikt om inloggegevens voor websites in de cloud te bewaren, zodat je zowel op je telefoon als op je computer overal bij kunt. De overheid adviseert ook al om wachtwoordzinnen te gebruiken.

Veel webdiensten en bedrijfsnetwerken accepteren geen rijmelarij. Ze willen 8 tot maximaal 16 of 20 tekens in een combinatie van kleine letters, hoofdletters, cijfers en speciale symbolen. Dat levert dan een wachtwoord op als MloU5Ygn0TgJGhMe – mijn hoofd zit vol met zulke onuitspreekbare gedrochten. Zinnen onthouden is een stuk makkelijker; zo gebruik ik één strofe uit het zelfgeschreven lied ‘Mama’ dat niemand kent behalve de auteur en zijn moeder.

Een wachtwoordkluis als 1Password of LastPass kan al die willekeurige wachtwoorden voor je onthouden, maar zo’n kluis is zelf ook weer beveiligd met een wachtwoord. Dat blijft de zwakke schakel. Wil je weten hoe zwak die schakel precies is, kijk dan op de site veiliginternetten.nl om te weten hoe lang een computer er over doet om de code te kraken.

Maar wachtwoorden blijven kwetsbaar

Alle formules ten spijt: wachtwoorden als beveiliging zijn waardeloos, wachtwoordzinnen of wachtwoordgedichten slechts een lapmiddel. Ze kunnen vergeten, gestolen, doorgegeven  en misbruikt worden. Gebruik ze liever in combinatie met biometrische trucs als vingerafdrukken en irisscans, en activeer een tweede authenticatiecheck via een code naar je mobiele telefoon.

Ook dat biedt geen garantie. Zo werd de AOL-mailaccount van CIA-baas John Brennan laatst gekraakt door een handige tiener. Die wist het wachtwoord te resetten nadat hij via Brennans mobiele provider antwoord had gekregen op alle controlevragen van AOL. De CIA-baas had werkmails boordevol staatsgeheimen doorgestuurd naar zijn persoonlijke mailbox. Cadeautje voor Wikileaks.

Tegen zoveel domheid is zelfs een dadaïstisch hoogstandje als Joanna kissing verified soprano finally reside niet opgewassen.