Internetgebruikers hoeven slechts drie wachtwoorden te onthouden om al hun online accounts en gegevens te beschermen, aldus beveiligingsexpert Robert Graham. Hij reageert op het lek van 860.000 wachtwoorden van Stratfor-klanten. Volgens sommige berichten zou dit aantonen dat zelfs experts zwakke wachtwoorden kiezen en dat het verstandig is om lange, complexe wachtwoorden te gebruiken.
"Dat is fout advies. Je wachtwoord voor een gratis of goedkoop Strafor account hoeft niet complex te zijn, omdat er weinig te verliezen valt als hackers het raden", aldus Graham. Het belangrijkste is volgens hem dat het wachtwoord uniek is. "De meeste websites zijn net als Stratfor en zijn slecht beveiligd." Informatie die gebruikers op dit soort sites achterlaten wordt volgens Graham vroeger of later door hackers gestolen. Wordt het hier gebruikte wachtwoord ook voor andere accounts gebruikt, dan zullen de aanvallers ook die accounts kapen.
Drie
Graham verdeelt de websites op het internet in drie lagen. De belangrijkste laag is het e-mailaccount. "Als je e-mailaccount wordt gehackt, kunnen hackers de wachtwoorden van al je andere accounts resetten." Dit wachtwoord moet volgens de expert complex zijn en niets met andere accounts te maken hebben.
De tweede laag zijn grote webwinkels, zoals Amazon.com en Apple.com. "Deze grote websites worden waarschijnlijk niet gehackt. Je kunt waarschijnlijk hetzelfde wachtwoord voor al deze accounts gebruiken."
De laatste en minst belangrijke laag is voor websites zoals Stratfor, merkt Graham op. "Waar het geen ramp is als je wachtwoord verloren raakt. Je zou een eenvoudig wachtwoord zoals passwd1234 voor al deze accounts kunnen kiezen. Het wordt waarschijnlijk binnen een jaar gestolen, maar wat boeit het?"
Uniek
"Je hebt dus echt maar drie wachtwoorden voor elke laag nodig, dus zoveel moeite is het niet." Voor extra bescherming adviseert Graham om het wachtwoord uniek te maken, bijvoorbeeld bij de derde laag. Gebruikers zouden in dit geval de domeinnaam als wachtwoord kunnen gebruiken. "Bijvoorbeeld 'passwdStratfor1'. Als een hacker inbreekt en een geautomatiseerd script draait om te zien of je wachtwoord uniek is, zal het script geen match op andere sites vinden."
Een hacker die het wachtwoord handmatig controleert zal het "schema" ontdekken, maar met een lek van 860.000 wachtwoorden is het onwaarschijnlijk dat iemand elk wachtwoord handmatig naloopt.
"Samengevat, je eerste wachtwoord moet niet complex, maar uniek zijn. Als hackers een website zoals Stratfor hacken en ontdekken dat je wachtwoord 'password1' is, hoef je je niet te schamen. Je moet gewoon zeggen dat je Stratfor account je niets kan schelen en dat het wachtwoord niet bij je belangrijke accounts te gebruiken is."
http://www.security.nl/artikel/39772/1/%22Drie_wachtwoorden_voldoende_voor_consument%22.html