Op dit moment wordt de gebruiker op de meeste inlogportalen verplicht om zich aan bepaalde regels te houden: het wachtwoord moet bijvoorbeeld tussen de 8 en 20 karakters inhouden en minimum één symbool of cijfer bevatten. Zulke richtlijnen moeten ervoor zorgen dat gebruikers geen voorspelbare wachtwoorden kiezen zoals ‘password’, maar dat is minder effectief dan verwacht, zo blijkt. “Analyses van gelekte wachtwoorddatabanken onthullen dat het voordeel van zo’n regels niet zo significant zijn als eerst gedacht, hoewel de impact op gebruiksgemak en het onthouden groot is,” aldus het NIST in hun laatste rapport.

Makkelijker

Met behulp van zulke regels worden gebruikers gedwongen om een complex wachtwoord te verzinnen, zoals een willekeurige serie van letters en cijfers. Die wachtwoorden zijn echter niet gebruiksvriendelijk en zijn bovendien ook niet per se veiliger. Veel gebruikers zullen immers kiezen voor een wachtwoord dat voldoet aan de regels, maar ook compenseren op complexiteit. Dat resulteert in wachtwoorden die nauwelijks verschillende van het origineel, zoals ‘password123’ of ‘w@chtwoord”: makkelijker te onthouden, maar ook makkelijker te kraken.

Lange wachtwoorden

Daarom spoort het NIST aan om wachtwoorden tot 64 karakters toe te laten. Mensen kunnen immers makkelijker wachtwoorden onthouden als het gaat om een zin of een reeks woorden, in plaats van een serie van willekeurige karakters. Ook spaties moeten worden toegelaten, zegt het instituut; iets dat nu vaak niet mogelijk is bij het kiezen van een wachtwoord.

De richtlijnen zou ervoor moeten zorgen dat gebruikers langere wachtwoorden kiezen die uiteindelijk moeilijker te kraken zijn dan de resultaten die worden gekozen op basis van strikte regels. Een woord op zich is relatief snel te achterhalen door een ‘brute force attack’, maar een lange reeks van woorden, al dan niet met symbolen en cijfers, is alvast moeilijk te kraken dan “wachtwoord123”.

Naast het pleidooi voor langere wachtwoorden, raadt het rapport aan om gebruikers niet te verplichten om hun wachtwoorden regelmatig te veranderen en veelgebruikte wachtwoorden te verbannen. De aanbevelingen van het NIST zijn vooral van toepassing op Amerikaanse overheden en andere organisaties, maar worden vaak ook aangenomen in de privé-industrie.