Wachtwoordzin versus wachtwoord: wat is veiliger?
Wachtwoordzinnen met willekeurige woorden en complexe tekenwachtwoorden lossen hetzelfde probleem op verschillende manieren op. Zo verhouden ze zich op het gebied van entropie, onthoudbaarheid en veiligheid in de praktijk — en wanneer je welke gebruikt.
Het eerlijke antwoord: het hangt af van hoe ze zijn gemaakt
Een wachtwoordzin is niet automatisch veiliger dan een wachtwoord, en andersom ook niet. Wat telt is entropie — hoeveel echte willekeur het geheim bevat — en of een mens het daadwerkelijk kan gebruiken. Een willekeurig gegenereerde wachtwoordzin van zes woorden en een willekeurig gegenereerd wachtwoord van 20 tekens kunnen allebei extreem sterk zijn. Een wachtwoord dat je zelf hebt bedacht en een wachtwoordzin die je zelf hebt bedacht kunnen allebei zwak zijn.
Entropie vergelijken
Entropie wordt gemeten in bits, en meer bits betekent exponentieel meer raadpogingen om te kraken. Een complex wachtwoord perst meer entropie in elk teken, dus het kan sterk zijn terwijl het kort is. Een wachtwoordzin spreidt de entropie over hele woorden, dus heeft meer tekens nodig om dezelfde sterkte te bereiken — maar die tekens zijn veel gemakkelijker te onthouden. Zes willekeurige woorden komen rond de 70–80 bits uit; een volledig willekeurig wachtwoord van 16 tekens zit in een vergelijkbaar bereik. Beide weerstaan offline kraken comfortabel.
Onthoudbaarheid en bruikbaarheid vergelijken
Hier winnen wachtwoordzinnen. Mensen kunnen “haven-viool-kobalt-stempel” veel betrouwbaarder onthouden dan “7xQ!r2$kPm9#”, en ze kunnen het correct typen op een telefoon, een tv-afstandsbediening of een spelconsole. Voor elk geheim dat een mens moet onthouden — een hoofdwachtwoord, een apparaatlogin, een wifi-sleutel — is dat bruikbaarheidsvoordeel doorslaggevend.
Waar elk van beide wint
Gebruik een lang willekeurig wachtwoord voor accounts die je wachtwoordmanager bewaart en invult, want dichtheid wint van onthoudbaarheid wanneer een machine het werk doet. Gebruik een wachtwoordzin voor de geheimen die je zelf moet onthouden. In de praktijk is de ideale opzet allebei: één sterke wachtwoordzin om een wachtwoordmanager te ontgrendelen die lange willekeurige wachtwoorden voor al het overige bewaart.
Wat weinig helpt
Voorspelbare trucjes voegen weinig echte beveiliging toe: de eerste letter een hoofdletter maken, “a” vervangen door “@”, of “1!” achter een woordenboekwoord plakken zijn allemaal patronen die kraakhulpmiddelen het eerst proberen. Of je nu een wachtwoordzin of een wachtwoord kiest, de sterkte moet komen uit willekeur en lengte — niet uit slim ogende vervangingen.
Veelgestelde vragen
Is een wachtwoordzin altijd veiliger dan een wachtwoord?
Nee. Beide zijn slechts zo sterk als hun entropie. Een willekeurig gegenereerde wachtwoordzin en een willekeurig gegenereerd wachtwoord kunnen allebei zeer sterk zijn; zelfbedachte versies van beide zijn doorgaans zwak.
Waarom worden wachtwoordzinnen zo vaak aanbevolen?
Omdat ze een hoge entropie bereiken terwijl ze onthoudbaar en gemakkelijk te typen blijven. Voor geheimen die een mens moet onthouden, maakt die bruikbaarheid sterke keuzes praktisch.
Is een langer wachtwoord beter dan een kort complex wachtwoord?
Over het algemeen wel. Lengte verhoogt het aantal mogelijkheden sneller dan het inruilen van een paar symbolen. Een lang willekeurig wachtwoord of een wachtwoordzin van meerdere woorden verslaan beide een kort “complex” wachtwoord.
Welke moet ik gebruiken voor het hoofdwachtwoord van mijn wachtwoordmanager?
Een wachtwoordzin van zes of meer willekeurige woorden. Die heeft een hoge entropie en is onthoudbaar, wat precies is wat een hoofdwachtwoord nodig heeft.
Helpen tekenvervangingen zoals @ voor a?
Nauwelijks. Kraakhulpmiddelen verwachten die vervangingen. Echte sterkte komt uit willekeur en lengte, dus voeg liever een woord of tekens toe.