Bij het aanmaken van een wachtwoord kunnen gebruikers het beste voor een passphrase kiezen, een wachtwoord dat uit meerdere woorden bestaat en idealiter door middel van Diceware is gemaakt, zo stelt de Autoriteit Persoonsgegevens (AP). De privacytoezichthouder stelde onlangs al dat standaard wachtwoordeisen slechte wachtwoorden in de hand werken. De AP adviseerde toen om lange, willekeurige wachtwoorden te kiezen.

"Het risico van een lang en willekeurig wachtwoord is alleen dat u dit snel vergeet. Het menselijk brein is nu eenmaal gemaakt om te werken in patronen en structuren, niet om rijtjes letters en symbolen te onthouden", stelt AP-technoloog Jonathan Ellen vandaag. In plaats van een standaard wachtwoord is het beter om voor een passphrase te kiezen, een wachtwoord dat uit meerdere woorden bestaat.

Diceware

Om een passphrase te maken adviseert de AP als eerste het gebruik van Diceware. Om mensen te helpen bij het kiezen van willekeurige woorden voor hun passphrase zijn er verschillende systemen bedacht. De bekendste woordenlijst is de Diceware-lijst van Arnold Reinhold die in 1995 werd gepubliceerd en 7776 woorden bevat. Door verschillende keren met een dobbelsteen te rollen komt er een getal uit, dat met een woord op de woordenlijst overeenkomt, vandaar ook de naam Diceware.

Op deze manier kan er geheel willekeurig een passphrase van verschillende woorden worden samengesteld. "De grootste uitdaging zit in het onthouden van de volgorde. Een goede manier om dat te doen, is een verhaaltje te bedenken waar de woorden in de juiste volgorde in voorkomen", zegt Ellen over het gebruik van Diceware. Wanneer het te lastig is om de willekeurige wachtwoorden te onthouden kunnen mensen ook een zelfverzonnen zin gebruiken.

"Een nadeel van deze methode is dat u inlevert op willekeur. Juist als de zin logisch is, biedt dit kansen voor een crimineel om de zin te voorspellen of op te nemen in een lijst van 'te proberen wachtwoorden'. Bekende spreekwoorden, uitdrukkingen of songteksten zijn dus ongeschikt", waarschuwt de AP-technoloog.

Zelfs met goed te onthouden passphrases bestaat de kans dat gebruikers er teveel moeten onthouden. Voor dergelijke scenario's raadt Ellen het gebruik van een wachtwoordkluis aan. Het master password waarmee er toegang tot de wachtwoordkluis wordt verkregen zou uit een via Diceware gemaakte passphrase van acht woorden moeten bestaan, gecombineerd met multifactorauthenticatie (MFA).