© CIDimport

Werken met wachtwoorden

Geplaatst: 15 oktober 2010 - 10:18

Aangepast: 27 augustus 2022 - 10:39

Redactie ID.nl

Een wachtwoord zorgt voor veiligheid. Maar voordat u nu gerust achterover leunt: wat denkt u te doen als u uw wachtwoord vergeet? Of kwijtraakt?

Een wachtwoord zorgt voor veiligheid. Maar voordat u nu gerust achterover leunt: wat denkt u te doen als u uw wachtwoord vergeet? Of kwijtraakt? En wat te denken van kwaadwillende hackers? Tijd voor een lesje 'Werken met wachtwoorden'.

Werken met wachtwoorden-16325157

© CIDimport

Hacken, kraken, raden en weggeven

Meestal spreken we overigens niet alleen over een enkel wachtwoord, maar over een 'wachtwoordcombinatie': een toegangscode die samen met een wachtwoord een unieke verbinding vormt. Als u het uzelf gemakkelijk wilt maken, dan gebruikt u voor alles wat u doet dezelfde toegangscode en hetzelfde wachtwoord. Als die wachtwoordcombinatie echter wordt gehackt (van internet geplukt), gekraakt (systematisch geprobeerd), geraden (slim nagedacht) of weggegeven (dom), dan is de mogelijke ramp niet te overzien. Maar geen zorgen, want al zou een inlogcode bij een internetdienst in handen van derden komen, de e-mailberichten van die dienst blijven in uw eigen elektronische postbus terechtkomen. Dus dan bent u meteen gewaarschuwd. Bovendien zijn de meeste systemen beveiligd tegen het te vaak proberen van verkeerde wachtwoordcombinaties en worden ze preventief 'op slot' gezet.

Eén wachtwoord voor alles?

We hebben het nu over één wachtwoordcombinatie voor alle doeleinden. Dat is uiteraard minder veilig dan verschillende wachtwoordcombinaties voor verschillende doeleinden, maar het werkt natuurlijk een stuk prettiger. Hoe veilig kunt u die wachtwoordcombinatie maken? We nemen een willekeurig voorbeeld: Jan Peter Balkenende, geboren op 7 mei 1956 te Biezelinge, onder meer bekend vanwege zijn 'krokettenmotie' uit 1993. Met deze gegevens gaan we enkele toegangscodes en wachtwoorden samenstellen die eenvoudig zijn te onthouden; de e-mailadressen laten we even voor wat ze zijn.

Brutekrachtaanpak

We beginnen met de wachtwoordcombinatie 'JPB' en 'JPB'. Is dat eenvoudig of niet? Welnu, dat nemen we mee naar de hacker of de hackersoftware die het kraken voor z'n rekening gaat nemen. De meest gebruikte manier om codes te kraken is de zogeheten Brute Force Approach, waarbij we een-voor-een alle combinaties van het alfabet gaan proberen. Als we daarbij uitgaan van een toegangscode van drie hoofdletters en een wachtwoord van drie hoofdletters, dan zijn er 26 ('J') x 26 ('P') x 26 ('B') x 26 ('J') x 26 ('P') x 26 ('B') = 308.915.776 combinaties die we moeten onderzoeken als blijkt dat we - bij 'A' begonnen - uiteindelijk prijs hebben bij de toegangscode 'ZZZ' met het wachtwoord 'ZZZ'. Als dat proces kan worden geautomatiseerd, dan is een beetje computer daar vrij snel mee klaar!

Snel raak

En dan hebben we het nog niet over de slimme hacker(software) gehad, want als we bepaalde lettercombinaties - denk aan de gegevens van het doelwit - aanvankelijk voorrang geven en andere lettercombinaties - zoals dubbele letters - aanvankelijk weglaten, dan is het logisch dat we wat sneller raak schieten. Al moeten we er dan nog altijd rekening mee houden dat we tot het bittere einde moeten blijven proberen, want als het niet slim en snel lukt, dan moet het dom en langzaam. Voor wat betreft het inloggen bij een besturingssysteem kan het aantal nutteloze probeerpogingen worden ingeperkt door een login-stop van een bepaalde tijd, maar als er losse bestanden moeten worden ontsloten dan kunt u net zolang blijven proberen als nodig is.

Hoofdletters en kleine letters

Nu een andere wachtwoordcombinatie: 'JanPeter' en 'Kroket'. Nog steeds eenvoudig, toch? Alleen zijn het nu niet enkel hoofdletters maar ook kleine letters. En er worden meer tekens gebruikt. Als we aannemen dat de juiste lengtes van de toegangscode en het wachtwoord bekend zijn, dan schieten we meteen door naar 52 ('J') x 52 ('a') x 52 ('n') x 52 ('P') x 52 ('e') x 52 ('t') x 52 ('e') x 52 ('r') x 52 ('K') x 52 ('r') x 52 ('o') x 52 ('k') x 52 ('e') x 52 ('t') = 1.056.931.425. 538.820.521.590.784 combinaties! Ja, daar is zelfs een zware computer wel even mee bezig. Slechts een kleine stap verder komen we bij de wachtwoordcombinatie 'J1P9B5B6' en '19Kroket93', waardoor de vermenigvuldigfactor sowieso meteen doorschiet naar de 62. Toch is deze combinatie nog steeds reuze gemakkelijk te onthouden! En als we ook de algemene lettertekens als het uitroepteken en het vraagteken erbij nemen, wordt de vermenigvuldigingsfactor - de spatie telt niet mee - zelfs 95!

Alléén het wachtwoord

In de meeste gevallen is alléén het wachtwoord interessant. Immers, net als in het loginscherm van Windows wordt de gebruikersnaam al getoond of is er slechts één toegangscode nodig. Welnu, dat is niet meer dan een klein voordeeltje voor de hacker(software), want de lengte van enerzijds het wachtwoord of de toegangscodes en anderzijds het aantal te gebruiken lettertekens blijft bepalend voor de hoeveelheid pogingen die mogelijk nodig zijn om te slagen. Conclusie: hoe gecompliceerder u het maakt, des te veiliger het wordt. De truc is echter om het voor anderen gecompliceerd maar voor ú eenvoudig te houden. Gebruik dan natuurlijk niet 1, maar 3 of 4 wachtwoordcombinaties of wachtwoorden, waarbij de gemakkelijke versies voor de minder riskante doeleinden zijn.

De praktijk

Het eerste wachtwoord waarmee u te maken krijgt, is het wachtwoord van Windows. Dat wachtwoord moet worden ingevoerd om te kunnen doorstarten naar het Bureaublad of om de Schermbeveiliging op te heffen. Het wachtwoord van Windows kunt u instellen als u de eigenschappen van uw eigen gebruikersaccount gaat aanpassen. In geval van Windows kan daar een geheugensteuntje worden bijgezet, maar wees voorzichtig, want iedereen krijgt dat geheugensteuntje te zien. Ook is het mogelijk een 'wachtwoordhersteldiskette' aan te maken, zodat inloggen altijd weer mogelijk is. Maar het nadeel is dat deze niet in verkeerde handen mag vallen.

Wachtwoord kwijt?

Mocht het inloggen bij Windows niet lukken, schakel dan om te beginnen de Caps Lock-status van het toetsenbord eens in of uit. Nog steeds niet gelukt? Probeer uw wachtwoord eens 'blind' in te typen, maar dan met een toets naar boven, beneden, links en rechts. Soms onthouden uw vingers beter dan uw hersens! Een ander paardenmiddel luistert naar de naam 'Offline NT Password & Registry Editor'. Deze vindt u op The Ultimate Boot cd (www.ultimatebootcd.com). U kunt uw pc starten vanaf cd en buiten Windows om de wachtwoorden schoonvegen; dat van de Administrator voorop. En eenmaal ingelogd als Administrator kunt u herstellen wat nodig is. Via het Computerbeheer zijn overigens alle wachtwoorden van alle gebruikersaccounts snel te wijzigen.

Veilige modus

Over de account Administrator gesproken: binnen Windows XP kunt u als Administrator in de Veilige Modus (tijdens het booten op F8 drukken) inloggen en meestal is er dan niet eens een wachtwoord nodig (probeer ook 'blank' of 'empty'). Binnen Windows Vista moet het Administrator-account mogelijk nog worden geactiveerd - beslist een aanrader. U regelt dat via het Computerbeheer. Het vermeende veiligheidsprobleem is overigens eenvoudig op te lossen door op het Administrator-account gewoon een goed wachtwoord te zetten. En dat iemand met behulp van een cd altijd uw pc kan hacken, moet u voor lief nemen, want met een pistool tegen uw hoofd lukt het namelijk ook!

Wachtwoord onzichtbaar

Lastig aan wachtwoorden is dat u ze niet te zien krijgt; in plaats van letters ziet u bolletjes of sterretjes. Maar achter die bolletjes staan wel degelijk letters! Stel, u bent het wachtwoord kwijt waarmee u inlogt bij uw internetaanbieder. Het geluk bij dit ongeluk is dat dit wachtwoord identiek is aan het wachtwoord waarmee u uw POP3-postbus benadert. En dat betekent dat dit wachtwoord ook - mits u het laat 'onthouden' - bestaat binnen de e-mailclient. Met de tool Asterisk Password Reveal van www.paqtool.com maakt u het wachtwoord eenvoudig zichtbaar: sleep het lampje naar het wachtwoordveld. Staan er wachtwoorden in velden van Internet Explorer? Ook die kan Asterisk Password Reveal terugvinden. Handig als u bijvoorbeeld de wep-sleutel - inloggen is wel gelukt - van het wifi-basisstation bent kwijtgeraakt.

Wachtwoord kraken

 Tot slot nog enkele opmerkingen over het kraken van een wachtwoord door 'te blijven proberen'. Met de Free Word Excel Password Wizard (www.freewordexcelpassword.com) vindt u alle wachtwoorden van alle Word- en Excel-documenten terug, al is daar - afhankelijk van de eerder genoemde factoren - veel rekentijd voor nodig. Een andere tool is de ZIP Password Finder (www.astonsoft.com) waarmee u zip-bestanden kunt ontcijferen. Ook nu geldt dat u net zolang blijft proberen totdat het juiste wachtwoord is gevonden. Overigens hoeft een wachtwoordkraakprogramma niet per se het 'originele wachtwoord' te vinden. Het is namelijk ook mogelijk dat een onverwachte lettercombinatie het juiste effect weet te sorteren.

Dit artikel komt uit Computer Idee nummer 20, jaargang 2009.

Deel dit artikel
Voeg toe aan favorieten