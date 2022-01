Met een grote glimlach op mijn gezicht toetste ik 906609 in toen ik deze week met tweestapsverificatie moest inloggen bij Google. Je moet je inloggegevens natuurlijk niet delen met anderen, maar dit getal is al een week verlopen en bovendien was het niet van Google, maar van een andere aanbieder die ook een zescijferige code gebruikt bij het inloggen. Maar het was wel echt 906609, wat dus een tamelijk spectaculair getal is met die 906 en 609 die het omgekeerde van elkaar zijn en die allebei ondersteboven te lezen zijn.

Het viel me sowieso op dat er vaak mooie getallen tussen die inlogcodes zaten en ik vroeg me al af of die speciaal zo uitgekozen waren, tot iemand me er fijntjes op wees dat dit meer aan mij lag dan aan die getallen. Blijkbaar wordt niet iedereen enthousiast als ze 719333 moeten intoetsen, terwijl dit een priemgetal is dat priem blijft als je er aan de rechterkant steeds een cijfer vanaf haalt (71933, 7193, 719, 71 en 7 zijn ook allemaal ondeelbaar).

Een collega vroeg zich iets heel anders af bij die codes: waarom zijn het toch steeds zescijferige codes? Dáár had ik dan weer nooit bij stilgestaan. Maar toen ik het nakeek klopte het. Google, DigiD, Paypal, Twitter en nog talloze plekken waar ik inlog, gebruiken inderdaad stuk voor stuk codes van zes cijfers. Dat kan toch haast geen toeval zijn, waarom doen ze dat?

Die zes cijfers lijken een compromis tussen veiligheid en gebruiksvriendelijkheid. Hoe langer de code, hoe moeilijker hij te raden is. Een zescijferige code is honderd keer moeilijker om te raden dan een viercijferige.

Maar hoe langer de code is, hoe moeilijker hij foutloos over te typen is. Vaak moet je zo’n code ook even kort onthouden, als je hem bijvoorbeeld op je telefoon in een tekstbericht krijgt en dan in een app op dezelfde telefoon met de hand moet invoeren.

Mensen kunnen gemiddeld zo’n vijf tot negen cijfers in hun kortetermijngeheugen opslaan. Er zijn verschillen tussen culturen en natuurlijk tussen individuen. Toen ik mezelf speciaal voor deze column testte, lukte het me om negen cijfers onthouden. Maar dat lukt alleen als ik me héél goed concentreer, want in de praktijk ben ik reddeloos verloren als mensen de acht cijfers van hun mobiele nummer noemen en ik die moet onthouden tot ik een pen heb gevonden om ze op te schrijven. Acht is gewoon net te veel.

Zes cijfers onthouden lukt me eigenlijk altijd wel. Het is aardig om eens aan anderen te vragen hoe zij dat doen. Stel dat je 168214 moet onthouden. Hoe doe je dat in je hoofd? Ik maak hier automatisch twee groepjes van drie van, waarbij ik het eerste opsla als ‘honderdachtenzestig’ en het tweede als ‘twee-één-vier’. Maar het kan ook als zes losse cijfers, of als drie groepjes van twee of als je een held bent gewoon in één keer als honderdachtenzestigduizendtweehonderdveertien.

Is zes hiermee het ideale aantal cijfers voor een code bij tweestapsverificatiecode? Welnee. Er zijn ook bedrijven die er vier gebruiken, of die (heel slim qua veiligheid) zowel cijfers als letters combineren. Maar ik vermoed dat de meeste bedrijven nu domweg een zescijferige code gebruiken, omdat de meeste andere bedrijven ook een zescijferige code gebruiken.