Complexe wachtwoorden onthouden lastig? Valt wel mee!
Een sterk wachtwoord onthouden is helemaal niet zo moeilijk als het lijkt. Als we maar een beetje geholpen worden door een spelelement. Wachtwoordsystemen moeten daarom aangepast worden aan onze manier van onthouden.
Mensen zijn blijkbaar niet in staat om complexe wachtwoorden te onthouden. De conventionele wijsheid is dat we een rij van zes á zeven nummers kunnen opslaan. Daarom bestaan wachtwoorden meestal uit voor de hand liggende woorden of cijferreeksen die helaas te simpel te kraken zijn met een brute force-aanval.
Lees ook: 5 tools voor eenvoudig wachtwoordbeheer
Wachtwoordmythe
Maar klopt die aanname dat we geen complexe wachtwoorden kunnen onthouden wel? Want diverse onderzoeken wijzen erop dat dit een mythe is: we zouden meer kunnen onthouden als we daartoe gedwongen worden. Het klassieke voorbeeld zijn de telefoonnummers: vroeger onthielden we er veel meer, omdat dat praktisch was. Nu staan ze in je toestel en is het niet meer nodig. Hoeveel nummers - van je huidige lijst - kun jij nog oplepelen?
Joseph Bonneau van Princeton University nam samen met Stuart Schechter van Microsoft Research de proef op de som over deze hardnekkige wachtwoordmythe en liet deelnemers aan een onderzoek stiekem een steeds complexer wordende reeks onthouden (PDF). Het onderzoek zelf deed zich voor als een test voor oplettendheid, compleet met een spel waarin de Stroop-taak werd gebruikt. Maar eigenlijk werd gekeken naar het allereerste stuk van de test: de inlogprocedure.
Gemotiveerd om te onthouden
Participanten van het oplettendheidsonderzoek moesten tijdens een periode van twee weken bij een website liefst 90 keer inloggen met een eigen gekozen wachtwoord. Ze kregen vervolgens een korte code (4 tekens of twee woorden, goed een 18-bit-code) voor de neus die ze ter bevestiging moesten intoetsen.
Daarna werd een vertraging ingebouwd tussen het intoetsen van het wachtwoord en de bevestigingscode. Deelnemers konden meteen verder gaan als ze zélf de code, die niet veranderde, intoetsten en werden daarmee gemotiveerd de code te onthouden. De code werd ondertussen in twee stappen complexer, tot uiteindelijk een reeks van zes woorden óf twaalf tekens, oftewel 56 bit.
Drie dagen later...
Zes van de 182 deelnemers (exclusief de controlegroep van 41 mensen - zij kregen geen bevestigingscode) leerden helemaal niets en kregen nooit het derde aanvullende blok voor de kiezen, omdat ze het tweede codeblok niet (correct) invoerden. Vier daarvan vertelden uiteindelijk dat ze expres de vertragingstijd van zo'n 7 seconden afwachtten, omdat ze vreesden anders een nóg complexere code te moeten onthouden. Wat dus ook zo was.
In totaal konden 161 mensen drie dagen na afloop van het experiment de code nog uit het geheugen ophalen. Ongeveer een vijfde daarvan had de code opgeschreven. De rest deed het uit het blote hoofd. "De meeste mensen kunnen wél sterke cryptografische sleutels onthouden, als ze systemen gebruiken die niet zijn beperkt zoals de huidige eenmalige invoersystemen", concluderen de onderzoekers. Het duo presenteert de bevindingen volgende maand op Usenix.