Het National Institute of Standards and Technology (NIST) heeft een conceptversie uitgebracht van onder andere de nieuwe wachtwoorden standaard. Ondanks het feit dat 2-factor authenticatie steeds toegankelijker wordt gebruiken veel organisaties nog steeds een gebruikersnaam en wachtwoord combinatie voor authenticatie. Ook oplossingen als password managers worden vaak niet ondersteund door ICT of niet organisatie-breed uitgerold.
Bij beveiligingstesten op de interne infrastructuur lukt het regelmatig om toegang te krijgen tot de domain controller. Hier wordt er een zogenaamde “hashdump” uitgevoerd op de versleutelde wachtwoorden van de gebruikers te bemachtigen. Vervolgens wordt er een poging gedaan om deze te kraken door middel van een brute force aanval. Bij alle uitgevoerde beveiligingstesten blijkt dat rond de 20% van alle wachtwoorden binnen 24 uur gekraakt kan worden met behulp van een laptop. Hieruit kan de conclusie getrokken worden dat veel gebruikers nog steeds makkelijk te raden wachtwoorden gebruiken.
Vaak wordt gedacht dat een wachtwoord bestaande uit letters, hoofdletters, cijfers en speciale tekens als veilig wordt gezien. Dit is niet altijd het geval. Omdat wachtwoorden complex moeten zijn kiezen gebruikers vaak een zo kort mogelijk wachtwoord zodat deze makkelijker onthouden kan worden. Onderstaand voorbeeld van xkcd geeft dit mooi weer:
Wanneer geen 2-factor authenticatie wordt ondersteund of geen password manager waarmee gegenereerde wachtwoorden gebruikt kan worden is de beste oplossing in plaats van een wachtwoord een zogenaamde “passphrase” te gebruiken. Een passphrase betreft een dan wel niet cryptische zin die wel of geen betekenis heeft. Door bijvoorbeeld het gebruik van leestekens, een hoofdletter aan het begin en een leesteken aan het einde, wordt er vaak ook aan de complexiteits-eisen voldaan.
De website How Secure Is My Password laat dit concept goed zien. Een wachtwoord van 14x “a” duurt 51 jaar om te kraken, terwijl een “complex” wachtwoord als “Welkom0!” bestaande uit letters, hoofdletters, cijfers en een speciaal teken van 8 karakters slechts 9 uur duurt. Door de lengte van het wachtwoord te vergroten worden zogenaamde “brute force” aanvallen bemoeilijkt en wordt de kans op het succesvol raden van een wachtwoord aanzienlijk verkleind.