Zo houd je je wachtwoorden veilig

Je hebt wel iets te verbergen. Daarom gebruik je wachtwoorden, de ‘sleutels’ tot jouw privacy en vertrouwelijke gegevens. Mensen, mijzelf incluis, gaan echter niet standaard veilig om met wachtwoorden en dat brengt (grote) risico’s met zich mee. In dit artikel zet ik uiteen hoe je je wachtwoordbeveiliging kunt verbeteren.

Regels voor wachtwoorden

Om je online accounts goed te beveiligen houd je je aan de volgende regels:

  • Gebruik een goed wachtwoord
  • Gebruik een wachtwoord niet vaker
  • Schrijf een wachtwoord niet op, verstuur het niet via onveilige chat of e-mail

Een goed wachtwoord

Een goed wachtwoord is een wachtwoord dat niet door een persoon te raden is en niet eenvoudig door een computer te kraken.
Een zogenaamde passphrase als wachtwoord zoals “neem een combinatie van willekeurige woorden” is vele malen sterker dan “naamvankind2011” of “5%jZ@ni”. De laatste wordt in 7 minuten door een moderne computer ontcijferd. De eerste kost de hedendaagse computer een heleboel jaren.

De resultaten voor deze wachtwoorden volgens deze wachtwoord checker:

  • “Eva2011” kost een hedendaagse computer 2 seconden om te raden / kraken
  • “5%jZ@ni” duurt ongeveer 7 minuten
  • “This is quite a secure password” een decillion jaar (das heel lang).

Een slecht wachtwoord

91% van de accounts is beveiligd met een wachtwoord dat voorkomt in de top 1000 van meestgebruikte wachtwoorden. Dit zijn meestal zeer eenvoudige wachtwoorden, zoals de top 5 laat zien:

  1. password
  2. 123456
  3. 12345678
  4. 1234
  5. qwerty

Gebruik dergelijke wachtwoorden niet. Hackers proberen de meestgebruikte wachtwoorden standaard (en snel) uit en hebben daarbij een grote kans een wachtwoord te raden (in 91% van de gevallen dus).

Een volledig overzicht van veelgebruikte wachtwoorden vind je hier.

Gebruik een wachtwoord niet vaker

Een wachtwoord vaker gebruiken brengt grote risico’s met zich mee. Wanneer je wachtwoord voor 1 account bekend is dan kan daarmee namelijk ook in de andere services waar je op inlogt gebruikt worden. Raakt je Facebook wachtwoord bekend dat je ook gebruikt voor je e-mail dan hebben kwaadwillenden via je e-mail gelijk toegang tot je hele online leven.

Je kunt denken dat je wachtwoord bij niemand bekend raakt, omdat je niets te verbergen hebt, niemand jouw wachtwoord kent of er niemand is die jou probeert te hacken. Maar dat is naïef.

Regelmatig lekken er databases met gebruikersnamen en wachtwoorden. De kans is groot dat jouw gebruikersnaam en wachtwoord daar ook tussen zit. Op de website haveibeenpwned, waar je kunt kijken of jouw e-mailadres in een datalek voorkomt staan inmiddels 202 websites met 2,5 miljard accounts in de database, waaronder LinkedIn, MySpace en Dropbox.

Voor hackers is het eenvoudig proberen of het wachtwoord en het mailadres dat jij gebruikte voor de service die gehacked is ook werkt voor andere services. Probeer vooral zelf eens of je e-mailadres (privé / werk) in de database voorkomt

Beheer wachtwoorden met een wachtwoord manager

Het probleem met het hanteren van deze regels is dat veel verschillende moeilijke wachtwoorden voor een mens niet te onthouden zijn. Daarom vervallen we eenvoudig in hergebruik van eenvoudigere wachtwoorden. Het gebruik van een password (wachtwoord) manager is daarom onontbeerlijk als je jouw gegevens goed wilt beveiligen.

In een wachtwoord manager kun je alle verschillende moeilijke wachtwoorden veilig bewaren zodat je ze niet hoeft te onthouden. Hiervoor maken wachtwoord managers het mogelijk om je wachtwoorden te synchroniseren over verschillende apparaten (toegang vanaf je telefoon, laptop, desktop) en eenvoudig in te loggen (zonder wachtwoorden te hoeven invoeren).

Door de opzet van wachtwoord managers zijn je wachtwoorden veiliger en eenvoudiger toegankelijk dan wachtwoorden elders op te slaan.
In een wachtwoord manager kun je meer gegevens veilig bewaren (en delen) die je beter in Dropbox, je e-mail of andere onveilige plaatsen opslaat zoals je credit card gegevens, pincodes, identiteitsbewijzen en andere vertrouwelijke gegevens.

Password managers: 1password en LastPass

De twee bekendste wachtwoord managers en over het algemeen als beste en veiligste beschouwde wachtwoord managers zijn Lastpass en 1password.

LastPass heeft een gratis versie waarmee je al een heleboel mogelijkheden kunt gebruiken; de premium versie met meer mogelijkheden kost $12 per jaar.

1password kent geen gratis versie, je betaalt $36 per jaar voor de eenvoudigste variant.

Er zitten verschillen tussen beiden, maar om je veiligheid te verbeteren zijn beiden een prima keuze. Al neemt de kritiek op de veiligheid van LastPass zelf toe. Ik gebruik zelf LastPass en overweeg over te stappen naar 1password.

Zodra je een wachtwoord manager gebruikt kun je met deze wachtwoord manager veilige wachtwoorden genereren die je niet hoeft te onthouden. Neem de tijd om om voor elke service die je gebruikt een uniek veilig (nieuw) wachtwoord te genereren, in te stellen en in de wachtwoord manager op te slaan.

Passphrase in plaats van wachtwoord

Voor de toegang tot de wachtwoord manager gebruik je een wachtwoord. Dit is in principe het enige wachtwoord dat je hoeft te onthouden. Zorg er voor dat dit wachtwoord heel sterk is, je deze kunt onthouden.

Tip: Kies vier of meer willekeurige woorden (geen namen (van vrouw of kinderen), adres, geboortedata, postcode, etc) en gebruik dit als passphrase voor je wachtwoord. Bijvoorbeeld iets willekeurigs als “tijger tomaat deken strepsil”. Dat is veel sterker dan een enkel(e) woord of naam gecombineerd met jaartal.

xkcd legt dit treffend uit:

Maar gebruik nou niet (meer) “correct horse battery staple” als wachtwoord!

Two factor authentication (2fa)

Steeds vaker kun je naast de wachtwoordbeveiliging accounts met een tweede laag beveiligen, de zogenaamde ‘2 factor authentication’ (2fa). Hiermee moet je iets weten (je inlog / wachtwoord) en iets hebben (vaak je mobiele telefoon) om in te kunnen loggen.
Is je wachtwoord bij iemand bekend dan kan hij nog niet inloggen zonder je mobiele telefoon.

Google Authenticator, Lastpass Authenticator en Authy zijn bekende oplossingen voor 2fa. Ik geef de voorkeur aan Authy om niet afhankelijk van Google te zijn en te voorkomen dat beide authenticaties via 1 bedrijf plaatsvinden (Lastpass gebruik ik al als wachtwoord manager). Authy kun je in tegenstelling tot Google Authenticator ook op andere apparaten dan je mobiele telefoon gebruiken zodat je een alternatief hebt wanneer je je telefoon kwijt bent.

Conclusie

Er bestaat geen beveiliging die niet te kraken is. Zo is er ook geen manier om wachtwoorden 100% sterk te maken en te bewaren. Je kunt wel een enorme stap voorwaarts maken in de beveiliging van je gegevens. Door de basisregels aan te houden, een wachtwoord manager te gebruiken en two factor authenticatie toe te passen om je belangrijkste gegevens te beschermen en aanbieders te kiezen die privacy first stellen kun je vaak wel je eigen beveiliging meer dan 100% verbeteren.

Wanneer je naar aanleiding van dit artikel wachtwoorden aan het aanpassen bent ben je in ieder geval al de eerste stappen naar een betere beveiliging aan het nemen.

Disclaimer
Wanneer je via een link in dit artikel registreert voor Lastpass ontvang ik een maand gratis Lastpass. Elke promotie voor LastPass komt voort uit persoonlijke ervaring, LastPass wordt niet vermeld om geld te verdienen.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s