Poëzie in je wachtwoord

Er schuilt een Sinterklaas in elke computergebruiker. Dat zeggen Amerikaanse wetenschappers die een formule bedachten voor een (bijna) niet te kraken wachtwoordgedicht. Door willekeurige woorden in een lekker lopend metrum op rijm te zetten, creëer je een wachtwoord dat uit 60 bits bestaat. Moeilijk genoeg om een snelle pc er elf jaar op te laten rekenen voordat hij het kan raden.

Poëzie is al duizenden jaren dé manier om complexe teksten te onthouden. Vandaar dat je een zinnetje als ‘Joanna kissing verified soprano finally reside’ makkelijk kunt reproduceren, en tegelijk een hacker hoofdpijn bezorgt.

Dat klinkt veilig. Veiliger dan 12345678, welcome01 of doorzichtige trucs als het verhaspelen (v3rh@5p3l3n) van bestaande woorden.

Eureka dus, de poëtische login? Niet helemaal. Wachtwoordzinnen zijn niet nieuw. Je moet een zinnetje bedenken als je browser Chrome gebruikt om inloggegevens voor websites in de cloud te bewaren. Ook onze overheid adviseert wachtwoordzinnen te gebruiken. Helaas accepteren veel webdiensten en bedrijfsnetwerken nog geen rijmelarij. Ze willen acht tot zestien tekens in een combinatie van kleine letters, hoofdletters, cijfers en speciale symbolen. Dat levert dan iets op als MloU5Ygn0TgJGhMe – mijn hoofd zit vol met zulke onuitspreekbare gedrochten. Zinnen onthouden is een stuk makkelijker; zo gebruik ik een strofe uit het zelfgeschreven lied Mama dat niemand kent behalve de auteur en zijn moeder.

Een wachtwoordkluis als 1Password of LastPass kan complexe, willekeurige wachtwoorden voor je genereren en onthouden, maar zo’n kluis is zelf ook weer beveiligd met een wachtwoord. Dat blijft de zwakke schakel. Wil je weten hoe zwak precies, kijk dan op veiliginternetten.nl om te weten hoe lang een computer er over doet om de code te kraken.

Alle formules ten spijt: alleen een wachtwoord als beveiliging is waardeloos en wachtwoordzinnen of -gedichten zijn een lapmiddel. Gebruik liever extra biometrische trucs als vingerafdrukken of irisscans en activeer zo vaak mogelijk een tweede authenticatiecheck via een code naar je mobiele telefoon.

Ook dat biedt geen garantie. Zo werd het AOL-mailaccount van CIA-baas John Brennan laatst gekraakt door een handige tiener. Die wist het wachtwoord te resetten nadat hij via Brennans mobiele provider antwoord had gekregen op alle controlevragen van AOL. De CIA-baas had werkmails boordevol staatsgeheimen doorgestuurd naar zijn persoonlijke mailbox.

Tegen zoveel domheid is zelfs een dadaïstisch hoogstandje als Joanna kissing verified soprano finally reside niet opgewassen.