Toetsenbordconstructie wachtwoord

door typeringsman

Laatst had ik een gesprek met een opruimdeskundige in opleiding over het veilig en handig beheren van inlogcodes. Je hebt er nogal veel nodig tegenwoordig, en veiligheidsdeskundigen raden aan om voor iedere dienst een ander wachtwoord te kiezen. Daarnaast moet dat wachtwoord aan allerlei veiligheidseisen voldoen: lang genoeg en niet zomaar een bestaand woord zijn wat computers aan de hand van woordenboeken kunnen proberen en ‘raden’. Maar doe je dat, dan heb je al snel een waslijst van wachtwoorden die je niet kunt onthouden. Die schrijf je dan dus ergens op en dat is ook weer niet zo veilig.

Je zou het liefst een methode hebben waardoor je ze niet op hoeft te schrijven (dus veilig), maar kunt bedenken, of ter plekke af kunt leiden uit de situatie waar je ze voor nodig hebt (waardoor je ze niet uit je hoofd hoeft te leren). Die wachtwoorden zien er echter uit als volslagen willekeurige rijen tekens en kunnen dus niet zomaar geraden worden door mensen en computers (alhoewel die in beginsel natuurlijk álle mogelijke rijen tekens in korte tijd kunnen afgaan en uitproberen – niets is in cyberspace onkraakbaar uiteraard). Je zou zo’n wachtwoordmethode af kunnen leiden uit je toetsenbord. Dat is er immers altijd als je moet inloggen. Het toetsenbord van je computer is, als je het goed bekijkt een raamwerk, een matrix van tekens. Op de mijne (Toshiba) ziet het belangrijkste rechthoekige stuk er zo uit:

1 2 3 4 5 6 7 8 9 0
q w e r t y u i o p
a s d f g h j k l ;
z x c v b n m , . /

De basis van de wachtwoordmethode is nu dat je blokjes tekens ‘ziet’ op je toetsenbord die – indien nodig – over de randen doorlopen en weer uitkomen aan de andere kant van het toetsenbord. Probeer bijvoorbeeld op je eigen toetsenbord nu het 2 x 4-blokje te zien dat gevormd wordt door de toetsen 3, 4, e, r, d, f, c en v. Of, g, t, h, y, j, u, k, i. Zo’n 2 x 4 blokje valt echter over de rand als je bijvoorbeeld begint met z, x, c, v – die heeft dan boven zijn wederhelft met 1, 2, 3, 4. Hetzelfde kan met 0, p, ;, en / die samen met 1, q, a, en z een 2 x 4 vormen. De toepassing van het ‘zien’ van die blokjes voor wachtwoorden is nu dat je voor jezelf een standaard manier bedenkt voor hoe je die blokjes maakt op basis van een aantal keuzes, in onderstaande stappen [a] t/m [e], waarbij we er vanuit gaan dat je wachtwoorden van 8 tekens nodig hebt, waarvoor je blokjes van 2 x 4 tekens maakt (8 is meestal voldoende).

[a] je kiest een startpunt op het toetsenbord op basis van een letter van de dienst waarvoor het wachtwoord gemaakt wordt. Welke letter dat is kies je zelf; de eerste, de tweede, de laatste, de één na laatste, etc. (mocht je ‘de zesde’ kiezen en de dienst heeft maar vijf letters, zoals Digid, dan ga je vooraan weer verder met tellen en is de zesde letter in dit geval dus weer de eerste). Het is verstandig wat je hier kiest als regel aan te houden, zodat je later niet meer hoeft te zoeken. Dus stel Annet de Jong maakt een wachtwoord voor haar Digid en kiest consequent de laatste letter van de naam van de dienst waarop ze inlogt, dan begint het wachtwoord hiervoor dus met een d.

[b] vervolgens kies je een richting op je toetsenbord van waaruit het wachtwoord vertrekt. Omdat je toetsenbord een rechthoekige matrixindeling kent zijn er standaard uiteraard vier richtingen waar je heen kan vanuit toets d, naar boven, naar beneden, naar links en naar rechts. Je kunt de vertrekrichting altijd hetzelfde houden of wisselen per dienst, maar dat laatste vergt weer meer onthouden. Stel we kiezen hier ‘naar beneden’.

[c] vanuit de letter d (zie [a]) kun je twee blokjes 2 x 4 toetsen op je toetsenbord zien die ‘naar beneden’ lopen. Dat begint met:

s d en d f
x c    c v

, maar omdat we het toetsenbord zien als een donut en de randen van het toetsenbord ‘aan elkaar vast zitten’ lopen die blokjes dus door als

s d en d f
x c    c v
2 3    3 4
w e    e r

. Je kunt hier dus een keus maken of je de linker- of de rechterversie gebruikt (koos je een andere ‘windrichting’, dan heb je ook uiteraard steeds twee opties, maar dan steeds veelvouden van 90 graden gedraaid). We kiezen hier de ‘linker’.

[d] nu moet je beslissen hoe dit blokje van 2 x 4 tekens vervolgens resulteert in een reeks tekens die achter elkaar staat. Dat linkerblokje kan 1) dscx32ew worden (steeds afwisselend rechts/links en dan achtereenvolgens de rijen afgaan), 2) sdxc23we (steeds afwisselend links/rechts en dan achtereenvolgens de rijen afgaan), 3) dc3esx2w (eerst de rechter kolom en dan de linker kolom) of 4) sx2wdc3e (eerst de linker kolom en dan de rechter kolom). Omdat 2) en 4) helemaal niet met een d beginnen zoals we bij [a] hadden gekozen en dat dus minder logisch is om te onthouden, vallen die mogelijkheden af. We kiezen hier 1) dscx32ew, dus op het toetsenbord ziet dat er uit als

s d met de intoetsvolgorde 2 1
x c                 4 3
2 3                 6 5
w e                 8 7

. Er zijn hiermee dus nu al 16 basismogelijkheden voor het kiezen van je methode om op de standaard te kiezen basisletter toe te passen als die je consequent toepast (4 ([b], vertrekrichtingen) x 2 ([c], linker- of rechterversie) x 2 ([d], ordenmethode voor de tekens) = 16; ben je niet consequent, dan is het aantal mogelijkheden natuurlijk oneindig veel groter). Welke van die keuzes je maakt, dus hoe het blokje tekens verloopt op het toetsenbord en je daarmee omgaat, schrijf je niet op, maar onthoud je alleen visueel. Dus, in je gedachten onthoud je in dit geval

o x
o o
o o
o o

, waarbij x de standaard letter van de dienst (hier dus de laatste) is. De volgorde van afwerken van de toetsen die je kiest gaat snel ‘in je vingers’ zitten.

Zelfs als iedereen deze methodebeschrijving zou lezen en je wachtwoorden zou willen kraken, dan zou dat dus al niet eenvoudig zijn (zeker niet als je inlognaam ook moeilijk te raden is) omdat hoe de 2 x 4 gebaseerd is op x niet vaststaat. Maar het wordt nog moeilijker te raden.

[e] omdat veel diensten van je wachtwoord verlangen dat dat ook een hoofdletter bevat, kies je een vaste plaats in het blokje van 8 tekens waarbij je de shift-toets [o] ingedrukt houdt. In dit voorbeeld is het de laatste (achtste teken). Voor je toetsenbord onthoud je dat visueel als

o x in het voorbeeld dus s d
o o                                       x c
o o                                       2 3
[o]o                                      W e

, wat dus resulteert in dscx32eW.

Daarmee zijn er al 16 x 8 = 128 mogelijkheden voor de basissleutel, waarvan je je persoonlijke keuze opnieuw alleen visueel in je hoofd onthoudt. (Uiteraard kun je beginletter en SHIFT samen laten vallen – en is het systeem eenvoudig zeer veel moeilijker te maken door standaard meerdere shift-plaatsen te gebruiken, of om CAPS LOCK aan te zetten en SHIFT juist uit te zetten voor één positie. Dan wordt de sleutel alleen iets moeilijker om te onthouden.)

De basissleutel die we in het voorbeeld hebben gemaakt onthoud je dus uiteindelijk als “eerste letter dienst, linker blokje naar beneden, laatste letter shift”. Dus, stel je voor onze gebruiker Annet de Jong kiest die methode niet alleen voor Digid, maar ook voor Google, Facebook, LinkedIn dan worden haar wachtwoorden daarvoor

ewdscx3@ [Google]
kj,m87iU [Facebook]
nb65ythG [LinkedIn]

. Op basis van “eerste letter dienst, linker blokje naar beneden, laatste letter shift” is het dus

gfbv54tR [Google]
fdvc43rE [Facebook]
lk.,98oI [LinkedIn]

. En stel, Annet kiest “laatste letter dienst, linker blokje naar rechts, laatste letter shift” dan worden die wachtwoorden

edrftgyH [Google]
k,l.;/aZ [Facebook]
n6m7,8.( [LinkedIn]

. Voor zover ik weet staan op de meeste toetsen rechts naast de m de , de . en de /, maar die laatste kan anders zijn. Ga dit thuis goed na. In het buitenland moet je trouwens opletten en misschien toch eerst je wachtwoorden uitschrijven omdat sommige tekens daar soms op een andere plaats zitten.

Als je deze beschrijving leest klinkt het ingewikkelder dan het is, dus probeer eens of je tot dezelfde resultaten komt en of dat makkelijk te volgen is. Het aardige van deze methode is, dat de constructie van die wachtwoorden visueel heel logisch is als je eraan gewend raakt, terwijl de wachtwoorden zelf cryptische nonsens lijken.

—–

Naschrift: natuurlijk kan de methode ook uitgevoerd worden met 3 x 3 tekens. Het aantal vertrekrichtingen vanuit een letter is dan niet 4 (vertrekrichtingen) x 2 (linker- en rechterversie), maar 4 (linker- en rechterversie vallen samen versies van andere vertrekrichtingen). Er ontstaan dan echter weer allerlei nieuwe mogelijkheden om met de toetsvolgorde binnen 3 x 3 om te gaan, waarvan ‘de spiraal’ misschien wel de leukste is (visueel: vanuit f bijvoorbeeld fgtredcvb) die vanuit elke positie weer 8 variaties kent. In tegenspraak met wat de reclame altijd zegt: probeer ze niet allemaal.

Advertenties