Visuele wachtwoorden zijn makkelijker
Herbert Blankesteijn
Wachtwoorden leveren systeembeheerders voortdurend hoofdbrekens op, en computergebruikers trouwens ook. Aan veel treurnis zou een einde komen als een techniek wordt ingevoerd die Microsoft onlangs heeft gedemonstreerd. Het wachtwoord wordt daarbij een serie klikken op een kleurenpalet in plaats van een reeks karakters.
Wie houdt zich aan alle voorschriften van het ideale wachtwoordbeheer? Dan heb je wachtwoorden van tenminste acht tekens, met daarin hoofdletters, kleine letters, cijfers en leestekens, je verandert ze elke maand, voor elk account heb je een ander wachtwoord en je noteert deze nergens behalve in je hoofd.
Mijn intellectuele capaciteiten schieten hiervoor tekort. Systeembeheerders proberen hun gebruikers te dwingen zich aan sommige richtlijnen te houden. Soms worden wachtwoorden die onvoldoende lang of gevarieerd zijn, niet geaccepteerd door de computer. Of je wordt gedwongen op gezette tijden je wachtwoord te veranderen. Keerzijde daarvan is, dat mensen hun wachtwoord vergeten (of, nog erger, het wachtwoord noteren op een briefje dat aan de computer hangt). Ook daarvoor zijn geautomatiseerde oplossingen voorhanden, zoals actieve websurfers weten. Bij het maken van een account moet je soms zelf een vraag en een bijbehorend antwoord opgeven, voor het geval je je wachtwoord verliest. In geval van nood wordt je door de site waar je naar binnen wilt de vraag gesteld, geef je het vereiste antwoord en krijg je tenslotte je wachtwoordt weer toegemaild.
De moeilijkheid met een wachtwoord is, dat het makkelijk te onthouden moet zijn voor de rechtmatige eigenaar en moeilijk te raden, zelfs voor mensen die je goed kennen. Het is handig hiervoor een soort recept te hebben Bijvoorbeeld: <de laatste drie letters van de maand><het jaartal gedeeld door 0,7 en daarvan de laatste twee hele cijfers><de tweede, derde en vierde letter van de naam van het eerstvolgende lid van je gezin dat jarig is>. In oneven maanden doe je de eerste lettercombinatie in hoofdletters, in even maanden de tweede. Dit is natuurlijk maar een voorbeeld; zelfs op dit recept zijn eindeloos veel varianten mogelijk. Onwaarschijnlijk dat iemand zo'n wachtwoord raadt, of het systeem ontdekt.
Het idee waarmee Microsoft nu de boer opgaat, is naar verluidt niet nieuw. Het doet mij denken aan de manier waarop ik sommige telefoonnummers onthoud: weinig nummers zijn goed te onthouden als cijfercombinatie. Veel meer nummers zijn makkelijk te onthouden door het patroon dat je aanslaat op het toetsenbord van de telefoon.
Wat Microsoft heeft laten zien is de mogelijkheid om op een afbeelding een 'wachtpatroon' te klikken met de muis. De demonstratie in Mountain View, California werd gedaan met een plaatje met vlaggen van verschillende landen, maar volgens het softwarebedrijf kan het met iedere afbeelding, hoe ingewikkelder hoe beter.
De grap is, dat op deze manier de verleiding om bestaande woorden, namen of automerken als wachtwoorden te kiezen niet meer bestaat. Soms zijn deze makkelijk te raden, soms sneuvelen ze bij een 'dictionary attack', waarbij een computerprogramma domweg alle woorden uit het woordenboek probeert. Een patroon op een plaatje is eenvoudig te onthouden voor wie het heeft verzonnen, en is vrijwel niet te raden.
Nieuw is vooral dat Microsoft hier blijkbaar wat in ziet. Wat mij betreft mag dit morgen worden ingevoerd voor Windows, voor netwerken, voor providers, internetsites en noem maar op. Waarbij er nog twee varianten onderscheiden mogen worden:
- Eenvoudige kleurenvlakken, type vlaggen, waarbij het wachtwoord wordt samengesteld uit de kleuren van de aangeklikte pixels. Die moeten dan elke keer exact overeenstemmen.
- Foto's en dergelijke, waarbij niet de kleur maar de lokatie van elke klik wordt vastgelegd, en binnen een bepaalde foutenmarge moet worden herhaald.
Dit technische onderscheid is vooral van belang voor de makers van de software die een en ander in goede gebruikersvriendelijke banen moet leiden, en niet zozeer voor de consument. Het principe deugt.