Beveiligingsgids
Wat is wachtwoordkraaktijd?
Leer wat schattingen van wachtwoordkraaktijd betekenen, waarom aannames over aanvalssnelheid belangrijk zijn en waarom schattingen geen garanties zijn.
Samenvatting
Wachtwoordkraaktijd is een schatting van hoe lang een raad-aanval kan duren onder een specifiek model. Het model is belangrijk. Online raden tegen een live dienst is anders dan offline kraken van een gelekt wachtwoord-hash. Een universeel getal voor ‘tijd om te kraken’ is misleidend zonder aannames.
Gebruik de wachtwoordkraaktijd-calculator en sterktecontrole om scenario’s lokaal te vergelijken.
Online raden
Online raden wordt beperkt door de dienst. Snelheidslimieten, vergrendelingen, monitoring, MFA en anomaliedetectie kunnen aanvallen vertragen of stoppen. Een korte PIN kan alleen acceptabel zijn omdat het systeem pogingen beperkt.
Offline kraken
Offline kraken gebeurt wanneer aanvallers wachtwoord-hashes of versleuteld materiaal hebben. Snelheid hangt af van het hash-algoritme, kostenfactor, salt, hardware en aanvalsstrategie. Langzame wachtwoord-hashing zoals Argon2id, bcrypt of PBKDF2 is bedoeld om raden per seconde te verminderen.
Willekeurigheid en patronen
Kraaktijd-wiskunde is alleen zinvol als het wachtwoord echt willekeurig is. Password123! ziet er misschien complex uit, maar verschijnt vroeg in patroongebaseerd raden. Een willekeurig wachtwoord van 20 tekens is anders omdat het menselijke structuur mist.
Gedetailleerde richtlijnen
Deze gids richt zich op het verantwoord lezen van schattingen van wachtwoordkraaktijd. Het is geschreven voor gebruikers die jaargebaseerde schattingen zien en willen weten wat ze echt betekenen, dus het praktische doel is niet om een dramatische beveiligingsclaim te creëren. Het doel is om een wachtwoordgewoonte te kiezen die dagelijks gebruik overleeft: inlogformulieren, wachtwoordmanagers, mobiele toetsenborden, accountherstel, gedeelde apparaten en de occasionele dienst met vreemde validatieregels. Een veilige aanbeveling is alleen nuttig als een echt persoon deze consistent kan volgen.
Het veiligste startpunt is willekeurigheid plus uniciteit. Willekeurigheid betekent dat de waarde is geselecteerd uit een grote ruimte door een cryptografisch geschikte willekeurige bron, niet verzonnen uit een verjaardag, een huisdiernaam, een toetsenbordpatroon of een favoriete quote. Uniciteit betekent dat hetzelfde wachtwoord nergens anders wordt gebruikt. Een wachtwoord dat lang is maar hergebruikt, kan snel falen na één niet-gerelateerd datalek, terwijl een uniek willekeurig wachtwoord de schade beperkt tot het enkele account waar het werd gebruikt.
Voor dit onderwerp is een praktische voorinstelling scenario-gebaseerde schattingen voor online limieten, langzame hashes en snel offline raden. U kunt die voorinstelling toepassen met de wachtwoordkraaktijd-calculator en vervolgens de uiteindelijke waarde opslaan in een vertrouwde wachtwoordmanager. PwdGen genereert waarden lokaal in de browser met Web Crypto; het gegenereerde wachtwoord wordt niet naar een PwdGen-server gestuurd. Dat lokale ontwerp vermindert blootstelling aan de serverzijde, maar beschermt niet tegen elke dreiging. Een kwaadaardige browserextensie, een gecompromitteerd apparaat, een phishingpagina of onveilig clipboardbeheer kan nog steeds een geheim blootleggen nadat het is gegenereerd.
De meest voorkomende problemen om te vermijden zijn universele kraaktijdclaims, alleen-hardware-aannames, gelekte hashes, zwakke opslag en voorspelbare gebruikerspatronen. Deze problemen zijn belangrijk omdat aanvallers zelden elk mogelijk wachtwoord met brute force hoeven te proberen wanneer menselijke gewoonten hen een shortcut geven. Credential stuffing, phishing, gelekte wachtwoordlijsten en misbruik van accountherstel zijn vaak realistischer dan een pure wiskundige zoektocht. Daarom combineert het beste advies wachtwoordkwaliteit met accountniveaucontroles zoals MFA, passkeys, herstelcode-opslag en regelmatige controle van herstel-e-mail- of telefooninstellingen.
Gebruik deze checklist bij het toepassen van de aanbeveling:
- Vergelijk meer dan één aanvalsscenario.
- Behandel een groot getal niet als garantie.
- Vermijd hergebruikte wachtwoorden, ongeacht de schatting.
- Gebruik MFA voor accounts die dit ondersteunen.
Als een website de ideale instelling afwijst, forceer het wachtwoord dan niet met de hand in een zwakker patroon. Pas één variabele tegelijk aan. Als symbolen worden afgewezen, houd dan hoofdletters, kleine letters en cijfers ingeschakeld en verhoog de lengte. Als een maximale lengte laag is, gebruik dan de grootste geaccepteerde lengte en zorg dat de waarde uniek is. Als een wachtwoord hardop moet worden voorgelezen, afgedrukt of getypt op een televisie- of routerscherm, overweeg dan verwarrende tekens uit te sluiten en de lengte te verhogen om het kleinere alfabet te compenseren.
Onthoud ten slotte de grens van wachtwoordadvies. Een sterk wachtwoord is één verdedigingslaag, geen garantie. Het kan een phishingpagina niet veilig maken, malware niet repareren of compenseren voor een dienst die inloggegevens slecht opslaat. De nuttige gewoonte is saai maar duurzaam: genereer een unieke waarde, bewaar deze veilig, bescherm het herstelpad en vervang deze snel als u blootstelling vermoedt.
Een veilige volgende stap
Doe na het lezen van deze gids één kleine accountaudit in plaats van alles tegelijk te proberen te repareren. Kies het account dat de meeste problemen zou veroorzaken als het wordt overgenomen, bevestig dat het wachtwoord uniek is en controleer het herstel-e-mailadres, hersteltelefoonnummer, MFA-methode en back-upcode-opslag. Als een deel van die keten zwak is, verbeter dat deel dan voordat u naar accounts met een lager risico gaat. Deze volgorde houdt het werk beheersbaar en beschermt de accounts die aanvallers het meest waarschijnlijk als opstapje gebruiken. Voor wat is wachtwoordkraaktijd? is het beste resultaat een herhaalbare gewoonte: lokaal genereren, zorgvuldig opslaan en hergebruik vermijden.
Veelgestelde vragen
Waarom verschillen kraaktijd-calculators?
Ze gebruiken verschillende aannames over willekeurigheid, hashtype, hardware, online limieten en of het wachtwoord al bekend is uit lekken.
Is offline kraken sneller dan online raden?
Meestal ja. Offline aanvallers kunnen raden proberen zonder snelheidslimieten, terwijl online systemen pogingen kunnen beperken, vergrendelen en monitoren.
Moet ik een enkel resultaat van ‘miljoen jaar’ vertrouwen?
Behandel het als een schatting onder vermelde aannames, niet als een veiligheidsgarantie.