Minimaal één hoofdletter, één kleine letter, één cijfer en één speciaal teken, het is één van de vele voorbeelden van eisen die websites aan de wachtwoorden van gebruikers stellen, tot grote onvrede van beveiligingsexpert Bruce Schneier. Onlangs genereerde hij bij het aanmaken van een online account met zijn eigen wachtwoordtool Password Safe een wachtwoord.

De website accepteerde dit wachtwoord niet omdat het geen twee cijfers bevatte, tot grote ergernis van Schneier. "Ik hou niet van wachtwoordregels omdat ze allemaal verschillend zijn. Zelfs wanneer iemand een systeem heeft om sterke wachtwoorden te genereren, is het waarschijnlijk dat wat ze ook maken niet voldoet aan iemands regels", aldus de beveiligingsexpert.

Het gebruik van wachtwoordregels ligt al jaren onder vuur. "Traditioneel werd gedacht dat een sterk wachtwoord uit verschillende symbolen, cijfers en hoofdletters bestond. Hoewel dit voor een vrij veilig wachtwoord zorgt, zijn ze lastiger te onthouden. Dit houdt in dat mensen of zwakke wachtwoorden kiezen of ze opschrijven. De makkelijkste manier om een sterk wachtwoord te kiezen dat te onthouden is, is het gebruik van drie willekeurige woorden", zo liet het Britse National Cyber Security Centre (NCSC) vijf jaar geleden al weten.

Een wachtwoord dat uit drie woorden bestaat maakt het volgens de overheidsinstantie eenvoudiger voor mensen om unieke wachtwoorden te kiezen die voor de meeste gevallen sterk genoeg zijn en eenvoudiger zijn te onthouden. Daarnaast moet deze aanpak ook voor meer verschillende wachtwoorden zorgen. Volgens het NCSC belemmeren de huidige complexiteitsvereisten van wachtwoorden de wachtwoorddiversiteit.

Schneier werkte mee aan de creatie van verschillende cryptografische algoritmes, zoals Blowfish en Twofish. Daarnaast schreef hij verschillende boeken, waaronder Beyond Fear en Applied Cryptography. Verder was hij betrokken bij het onderzoeken van verschillende documenten van klokkenluider Edward Snowden en richtte verschillende securitybedrijven op, waaronder Counterpane, dat in 2006 door BT werd overgenomen. Tevens is hij actief in de raden van bestuur van verschillende organisaties, waaronder burgerrechtenbeweging EFF, Access Now en het Electronic Privacy Information Center.