Je brein is eigenlijk helemaal niet slecht in het onthouden van wachtwoorden

Vorig jaar vroegen twee onderzoekers aan een groep vrijwilligers of zij in tien dagen tijd 90 keer op een website wilden inloggen. Hierbij mochten ze iedere keer een eigen wachtwoord verzinnen.

Nadat zij dit wachtwoord hadden ingevuld toonde de website de vrijwilligers een beveiligingscode. Deze bestond uit vier willekeurige letters of twee willekeurige woorden. Tijdens dit tiendaagse experiment werd de beveiligingscode steeds langer. De langste beveiligingscode bestond uit 12 willekeurige letters of zes willekeurige woorden. De code deed er steeds iets langer over om te laden waardoor de gebruikers, nog voordat het op het scherm te zien was, het zelf al konden herinneren.

Aan het einde van het experiment was 94 procent van de proefpersonen in staat om de beveiligingscode uit zijn hoofd te kennen. Dit waren nietszeggende karakters, zoals "zljndjjgjana" of betekenisloze teksten zoals "gaze sloth laugh grace relic born."

Zonder dat de proefpersonen het wisten hadden de onderzoekers hun brein getraind om de codes uit hun hoofd te leren.

"De woorden staan in mijn hoofd gegrift," vertelde een deelnemer volgens de onderzoekers.

Met dit experiment tonen de twee onderzoekers aan, dat onze hersenen helemaal niet slecht zijn in het onthouden van willekeurige en moeilijke wachtwoorden.

"Een groot deel van het menselijke brein is nog nooit onderzocht op het gebied van wachtwoorden," zei Jospeh Bonneau, een van de auteurs van het onderzoek. "Het menselijk geheugen zal je verbazen."

Dat is goed nieuws, want in 2015 kiezen mensen nog steeds makkelijk te kraken wachtwoorden, zoals "123456", "qwerty", of "wachtwoord" (serieus). Dit maakt de levens van malafide hackers en spionnen wel erg makkelijk.

Dat deze wachtwoorden snel worden geraden, oké, maar zelfs complexe wachtwoorden (denk aan woorden met speciale tekens, nummers of zinnen van songteksten of quotes) zijn ook niet helemaal veilig. Dankzij software die wachtwoorden kan kraken, door automatisch bepaalde combinaties van woorden en patronen te raden, kunnen zelfs beginnende hackers wachtwoorden kraken.

Volgens Jeremi Gosney, een wachtwoordenexpert en ethisch hacker, is het kraken van wachtwoorden een gevolg van een gebrek in onze hersenen. Onze hersenen zijn namelijk niet goed in het willekeurig bedenken van woorden of letter combinaties. Wachtwoorden worden vaak bepaald door herinneringen of elementen uit de pop cultuur. Zodoende ontstaan er dus niet willekeurige en makkelijk te kraken wachtwoorden.

"Als je wachtwoord niet totaal iets willekeurigs is, kunnen wij het kraken," zei Grosney, die ooit eens 90 procent van 16000 wachtwoorden kraakte in ongeveer 20 uur. "Wachtwoord hackers weten bijna al iedere truck die jij verzint om je wachtwoord sterker te maken."

Met de computerkracht van vandaag kunnen wachtwoordkrakers miljarden keren gokken per seconde. Misschien zelfs wel een miljarden keren, als we Edward Snowden mogen geloven.

Dit betekent dus dat het essentieel is om je wachtwoord lang en willekeurig te maken. Het beste is, wanneer je bang bent voor de NSA of Chinese spionnen, om je wachtwoord zeven woorden lang te maken. Dit vertelde Micah Lee, een technoloog bij The Intercept, aan Motherboard. Dankzij een methode met een echte dobbelsteen en een lijst van 7776 woorden kan je een wachtwoord maken dat vrijwel onmogelijk is om te kraken. Lee schreef dat het een hacker ongeveer 27 miljoen jaar zou kosten om te kraken.

In het experiment dat werd opgesteld door Bonneau en Schechter, waren de vrijwilligers in staat om willekeurige combinaties te onthouden van zes woorden. Zij schatte dat een hacker dit een miljoen dollar aan computerkracht zou kosten om de code in een jaar te kraken. Een voorbeeld van zo'n wachtwoord zou zijn "Gang Neon Ridge Blame Adobe Pulse."

Het enige wat je hoeft te doen is het wachtwoord regelmatig oefenen. Net als de vrijwilligers in het experiment.

"Wanneer je steeds iets opnieuw typt wordt het steeds makkelijker. Op een gegeven moment herinnert je brein het niet eens meer maar typ je het gewoon. Je vingers volgen elke keer hetzelfde patroon," vertelt Per Thorsheim, de oprichter van de wachtwoordenconferentie.

Thorsheim denkt, in tegenstelling tot Bonnaeu en Lee, dat het prima is als wachtwoorden niet helemaal willekeurig zijn. Wachtwoorden onthouden is lastig omdat "er helemaal niks leuk aan is, en het niet iets is dat je brein graag wilt onthouden."

Daarom raad hij aan om lange wachtwoorden te gebruiken die duidelijk voor jou zijn, persoonlijk zijn (dus geen bekende quotes of songteksten) en een positeve associatie oproepen. Zo gaf hij als voorbeeld een zin van een slaapliedje dat je moeder voor je zong toen je nog een kind was.

Voor zijn belangrijkste wachtwoorden gebruikt Bonneau dezelfde methode die hij in het experiment toepaste. Hij maakte een willekeurig wachtwoord met een script dat hij zelf geschreven heeft. Dit wachtwoord schrijft hij op een post-it die hij vervolgens in zijn portemonnee bewaarde en uit zijn hoofd leerde.

"Ik typ het een aantal dagen achter elkaar en haal het daarna niet meer uit mijn portemonnee."

In het echte leven hebben we echter wel te maken met nog een probleem, namelijk deze methode gebruiken voor alle websites en diensten waar we onszelf voor moeten inloggen.

Hierbij is het handig om je hersenen een geheugensteuntje te geven door gebruik te maken van een wachtwoordenmanager, die wachtwoorden voor je maakt, opslaat en automatisch voor je invult. Wachtwoorden expert Troy Hunt vertelde me: "Één ding onthouden is niet zo moeilijk, maar veel dingen onthouden is lastig."

Dat is waarom alle experts die ik gesproken heb mij aanraden om een wachtwoordenmanager te gebruiken, zoals Lastpass, 1Password, KeePassX of Dashlane. Met deze managers hoef je maar één wachtwoord of zin te onthouden die alle anderen ontgrendeld. Dit hoofdwachtwoord is dan de lange moeilijke reeks willekeurige woorden die je je brein kan trainen om te leren.

Hiervoor heb je alleen een dobbelsteen, een post-it en wat geduld nodig, je brein doet de rest.