4 simpele tips voor veiligere wachtwoorden
Wie kent het niet: je bent druk bezig en om bij een webpagina te kunnen moet je even een account maken. Dan heb je een wachtwoord nodig. Wat vul je in? Geen inspiratie… Eens kijken, ‘hallo’ of ‘qwerty’? Misschien de o van ‘hallo’ vervangen door een 0? Of nog makkelijker: je gebruikt het wachtwoord dat je voor heel veel diensten gebruikt. Dus tik je Welk0m01! weer eens in. En klaar! Het is verleidelijk om dit even snel te doen, maar ook gevaarlijk. Hoe kies je dan wél een veilig wachtwoord?
Want: in de Europese maand van de cybersecurity is het de hoogste tijd om wachtwoorden serieus aan te pakken. Bijvoorbeeld met de tips uit het boekje ‘Pas op je passwords’ (affiliate) van Patrick Mackaaij.
Mensen zijn gewoontedieren
Er was eens een programma op TV waarin een inbreker die zijn leven gebeterd had met een cameraploeg op stap ging om te laten zien hoe makkelijk het is om in huizen in te breken. En, eenmaal binnen, hoe voorspelbaar mensen zijn. Iedereen denkt waardevolle spullen goed opgeborgen te hebben, maar kennelijk denken we vaak hetzelfde en komen we op dezelfde plekken uit die inbrekers kennen. Hetzelfde geldt voor het bedenken van wachtwoorden.
Als je even snel een wachtwoord moet verzinnen, dan zijn woorden als ‘hallo’, ‘welkom’, ‘qwerty’, ‘12345’ en zelfs ‘wachtwoord’ heel voor de hand liggende keuzes die veel mensen gebruiken. Net zo goed als ‘welk0m’ of ‘w@chtw00rd’ dus. Kennelijk hebben meer mensen gebrek aan inspiratie bij het kiezen van een wachtwoord, aangezien ‘wachtwoord’ en ‘password’ in de top 10 van meest gebruikte wachtwoorden staan.
Het is zoals een schoonmaker op Schiphol ooit zei over de mens als gewoontedier: ‘Bijna iedereen kiest één van de achterste toiletten met het idee dat niemand zo ver doorloopt en die toiletten dus schoner zijn. Maar iedereen denkt dat, dus die achterste toiletten worden eigenlijk het vaakst gebruikt.’ En vraag iemand snel om een gereedschap en een kleur te noemen en de meesten zullen rood en hamer zeggen. Kortom, we delen als mensen meer dan je misschien denkt. En daar valt misbruik van te maken.
Je wachtwoord recyclen? Niet doen!
Als je je aanmeldt voor een nieuwsbrief of een e-book is een eenvoudig te raden wachtwoord niet zo’n punt. Immers, als iemand dat ontdekt, loop je nog weinig risico. Gevaarlijk wordt het als je datzelfde wachtwoord ook voor andere sites gebruikt. En zeker als je het wachtwoord van je belangrijkste e-mailadres op meer plekken gebruikt, loop je risico. Immers, via dat e-mailadres kun je bij veel waardevolle informatie en kun je andere wachtwoorden resetten. Als je bij een dienst je wachtwoord vergeten bent, wordt de reset-link naar je mailadres gestuurd. Wie daar bij kan, heeft toegang tot heel veel diensten.
Nu denk je misschien dat een hackerscollectief in een ver land niet op jouw digitale leven uit is. Dat zal misschien niet. Maar als er bestanden te koop zijn met combinaties van e-mailadressen en wachtwoorden, dan is het wel heel makkelijk te kijken welke van die combinaties werken op belangrijkere plekken dan de inlog voor een nieuwsbrief. En dan kun je pech hebben.
Regelmatig wordt bekend gemaakt dat er bij een organisatie data is buitgemaakt of gelekt is. LinkedIn, Adobe, Decathlon, Booking, Transavia om er een paar te noemen. Kijk eens op Have I been Powned om te zien of jouw e-mailadres ooit in zo’n lek betrokken is. Mackaaij beschrijft in ‘Pas op je passwords’ hoe organisaties soms erg slordig met wachtwoorden omgaan, zoals wachtwoorden die in leesbare tekst in een bestand staan.
De valkuilen van een nieuw wachtwoord bedenken
Organisaties die medewerkers vragen regelmatig een nieuw wachtwoord te bedenken, lijken daarmee beter af dan organisaties die toestaan dat je eeuwig hetzelfde wachtwoord gebruikt. Helaas blijkt dat niet zo goed te werken, aangezien die medewerkers dan nog vaker inspiratieloos iets in moeten tikken. Zeker als ze het al zo lang uitgesteld hebben dat ze nú een wachtwoord moeten veranderen, omdat je anders niet kunt inloggen. Dan ligt een te makkelijk wachtwoord of een voorspelbare verandering van het wachtwoord voor de hand. Denk aan het toevoegen van de maand van het jaar of het voorspelbaar ophogen van een getal in het wachtwoord.
Degenen die wel verschillende wachtwoorden voor verschillende diensten gebruiken, maken het lastiger om gehackt te worden. Al is een verschillend wachtwoord gebaseerd op een systeem uiteindelijk ook niet zo veilig. Als je eenzelfde woord aanvult met letters van de dienst waar het wachtwoord voor is, bijvoorbeeld TW voor Twitter en LI voor LinkedIn, dan ben je niet zo veilig als je zou willen.
De verplichting om in je wachtwoord cijfers en leestekens te gebruiken, leidt vaak tot hetzelfde: een uitroepteken achter je wachtwoord en het omzetten van de i en 1 of s en $, oftewel leet speak (ook wel: l33t of 1337). Hoofdletter verplicht? Dan is dat vaak de eerste letter van een woord.
4 tips voor veiligere wachtwoorden
Het nadeel van veilige wachtwoorden is dat het lastig is er voor elke online dienst eentje te bedenken en die dan telkens weer in te voeren. In de browser kun je dat nog aan Chrome of Firefox overlaten als je inschat dat dat veilig is. Maar op je smartphone is het al snel veel gedoe om een complexe tekenreeks in te voeren. Hoe lastiger het is, hoe groter de kans is dat je het niet gaat doen. Hoe dan wel? Mackaaij geeft een paar bruikbare tips:
- Gebruik geen wachtwoord maar een wachtzin. Een zin die nergens voorkomt, dus iets als ‘dekrkdlvliegtoverdesfa.’ Gebruik daarin niet jouw naam of de naam van de dienst waar je wil inloggen. En liefst ook geen woorden die in een woordenboek staan. Zorg dat je dit voor elke dienst opnieuw doet.
- Zet dubbele authenticatie aan als een dienst die aanbiedt. Dat maakt dat je naast je login iets aanvullends moet doen, zoals via Google Authenticator een code genereren of met een vingerafdruk bevestigen dat jij het echt bent die in wil loggen.
- Als je beveiligingsvragen beantwoordt, doe dat dan niet letterlijk. Stel een dienst vraagt als beveiligingsvragen de naam van je eerste huisdier en basisschool, dan zijn die gegevens te social engineeren, oftewel: de kunst van het mensen manipuleren om vertrouwelijke gegevens los te krijgen. In een gesprek is het niet vreemd om op huisdieren of een basisschool te komen. En zulke informatie is soms ook van je socialmedia-profiel of posts af te halen. Beantwoord de vraag naar een naam dus liever met een gek woord of een complexe wachtzin.
- Nog veiliger, en gemakkelijker is het gebruik van een passwordmanager. Dat is een dienst die voor jou heel complexe wachtwoorden genereert, voor elke dienst uniek, en deze invult als jij moet inloggen op je laptop, smartphone of bijvoorbeeld tablet. Je hoeft nu nog maar één wachtwoord te onthouden, namelijk dat van je passwordmanager. Dat is dan wel meteen een heel belangrijke. In het boek lees je hoe je hiervoor Bitwarden kunt gebruiken, een open-source app.
Er zijn ook bekendere alternatieven, zoals LastPass en 1Password. Het belangrijkste is dat je een passwordmanager gebruikt, maar als je het selectieproces wil overslaan, raadt Mackaaij Bitwarden aan. Het is een dienst waarbij het basisgebruik gratis is en bijvoorbeeld samenwerking of zakelijk gebruik een betaalde feature is. Bitwarden ontwikkelt nieuwe onderdelen en luistert naar de gebruikers. Bitwarden is een open-source-programma, dus de liefhebbers kunnen de code bekijken. Maar, nogmaals, een passwordmanager gebruiken is belangrijker dan dat het per se Bitwarden is. Zo’n passwordmanager kun je dan ook een code laten genereren als antwoord op beveiligingsvragen.
Aan de slag met veilige wachtwoorden
‘Pas op je passwords‘ (affiliate) van Patrick Mackaaij is een compact, leesbaar boek. Het maakt duidelijk wat het risico is van één of enkele zwakke wachtwoorden. Wat je dan wel moet doen, wordt concreet uitgelegd en is zo makkelijk dat niks meer in de weg staat voor veilige en unieke wachtwoorden. Een mooi project voor oktober, de maand van de cybersecurity.