Waarom drie vaste tekenreeksen als wachtwoord? Is dat niet te gemakkelijk te onthouden? Of is het meer een soort validatienummer?
Als het echt om een wachtwoord gaat, laat de gebruiker liever zijn eigen vrijheid gebruiken met enkele beperkingen. Bijvoorbeeld met:
- Minimaal 8 tekens lang.
- Minimaal één hoofdletter.
- Minimaal een speciaal karakter.
Maar maak het niet te gek. Gebruikers moeten het zelf nog wel goed kunnen onthouden.
Ik zou persoonlijk gewoon geen eisen aan een wachtwoord stellen, behalve dat hij niet leeg mag zijn. Als ik als wachtwoord "banaan" wil kiezen is dat mijn zaak en heeft niemand daar verder wat mee te maken.
Het ligt eraan wat je wilt beveiligen. Als het om een hele persoonlijke administratie gaat, dan zou ik toch wel zeker eisen stellen, omdat sommige gebruikers geen weet hebben van veilige wachtwoorden. Voor creditcard-gegevens is dit zelfs verplicht met vele eisen!
En als de databases ooit uitlekken, dan is een rainbow-table al voldoende voor de hackers om in no-time toegang te krijgen tot een account. Dus, ik zelf zou eisen stellen aan een wachtwoord. De 'domste' gebruikers met simpele wachtwoorden zullen je eigenlijk wel dankbaar zijn.
Ik wil het gebruiken voor een WordPress plugin, middels het invoeren van deze 'sleutel' krijgt men toegang tot extra opties. Het hoeft wat mij betreft niet onkraakbaar te zijn: iedere sleutel die deze volgorde en samenstelling heeft mag toegang krijgen.
De 'domste' gebruikers met simpele wachtwoorden zullen je eigenlijk wel dankbaar zijn.
Nee, want die hangen dan een post-it met het wachtwoord aan hun PC. En ja, dat heb ik zien gebeuren. Je kan in die gevallen gewoon veel beter wachtwoorden regelmatig laten wijzigen. Dat is eenvoudig genoeg te forceren.
