De vorige bijdrage in deze rubriek –over veilige wachtwoorden– leverde een lezersvraag op over de cloud. Een andere aandachtige lezer stuurde instructies door van het National Institute of Standards and Technology (NIST). Een wachtwoord dat je kunt onthouden, is volgens de Amerikaanse overheidsinstelling net zo goed als een ingewikkeld wachtwoord. Als het maar lang genoeg is – dus minimaal 15 tekens telt.

Daar zit iets in. Criminelen gokken met hun krachtige apparatuur tot wel 100 miljard verschillende wachtwoorden per seconde. Een wachtwoord van één letter is dus razendsnel gekraakt. Maar iedere extra letter levert een factor zesentwintig (het aantal letters van het alfabet) aan extra raadpogingen op.

Om wachtwoord van twee letters te raden, zijn dus maximaal zesentwintig keer zesentwintig pogingen nodig; een wachtwoord van drie letters kost zesentwintig keer zesentwintig keer zesentwintig pogingen, enzovoorts. Een langer wachtwoord vergt, kortom, meer pogingen en dus meer tijd.

Speciale tekens zijn zo bezien niet nodig voor een wachtwoord dat zich moeilijk laat kraken: je kunt een hacker ook het bos insturen met een begrijpelijk maar lang wachtwoord. Het duurt, alle technologische vooruitgang ten spijt, bijvoorbeeld een quindeciljoen jaar (een 1 met 48 nullen) om het wachtwoord ”reformatorisch dagblad wachtwoordmanager” te kraken.
Desondanks voegen cijfers en speciale tekens iets toe. Alleen al de cijfers nul tot en met negen verhogen het aantal beschikbare tekens immers van zesentwintig naar zesendertig. Gebruik je ”r3f0rmat0r1sch-dagblad-wachtw00rdmanag3r”, dan duurt het kraken maar liefst 100 x 1090 jaar.

Maar eerlijk is eerlijk, het wordt er niet gemakkelijker op om zo’n wachtwoord te onthouden. Software waarin je al je wachtwoorden opslaat, biedt dan uitkomst. Opgeslagen wachtwoorden kun je vervolgens via de cloud –een uitgebreid netwerk van externe servers (netwerkcomputers) over de hele wereld die onder meer data opslaan– op elk apparaat gebruiken. Wachtwoordmanagers kunnen vaak ook veilige wachtwoorden genereren en controleren of accounts niet zijn gehackt.

Ga niet blindvaren op een wachtwoordmanager. Schakel, waar mogelijk, meervoudige verificatie in

Zo bezien vormen ze een Zwitsers zakmes in het cyberwoud. Blijft de vraag of ze helemaal waterdicht zijn. In 2022 hackten criminelen de bekende wachtwoordmanager LastPass, waarna ze toegang hadden tot miljoenen -weliswaar versleutelde- wachtwoorden. Afgelopen maand waarschuwde het bedrijf zijn gebruikers opnieuw voor hackers. Deskundigen zagen in 2025 sowieso het aantal aanvallen op wachtwoordmanagers toenemen: die vormen immers een goudmijn vol accounts.

Wat te doen? In elk geval niet blindvaren op een wachtwoordmanager. Schakel, waar mogelijk, meervoudige verificatie in. Daarbij moet een inlogpoging op een computer worden bevestigd door middel van een code of vingerafdruk. Zo kan een hacker niet met één poging van zijn digitale stormram de digitale toegangspoort aan diggelen rammen. En wees altijd alert, want de mens blijft de zwakste schakel.