David Jennes
Verander je wachtwoord-dag zorgt voor vals gevoel van veiligheid
24 november is ‘Verander je wachtwoord’-dag. Bijna dagelijks lezen we berichten over hackers, phishing of datalekken waarbij wachtwoorden voor shopping-websites, sociale media of mediaplatformen in verkeerde handen vallen. Toch is het veranderen van wachtwoord wellicht niet de juiste strategie, zegt David Jennes, Digital Security expert bij Wisemen. ‘Ik geloof niet in ‘Verander je wachtwoord’-dag, er is wel nood aan betere wachtwoordhygiëne. Tot er oplossingen komen die 100% veilig zijn.’
We kennen het allemaal: we doen onze inbox open en er zit een mailtje in van de IT-dienst die ons opdraagt om ons wachtwoord te veranderen. Of we loggen (per ongeluk) uit bij ons favoriete streamingplatform en weten met de beste wil niet meer wat ons wachtwoord ook weer was. Resultaat: we moeten op zoek naar een nieuw wachtwoord.
Het klinkt wellicht vreemd, maar ik ben geen fan van initiatieven als ‘Verander je wachtwoord’-dag. Goed bedoeld, maar het geeft mensen een vals gevoel van veiligheid.
Passkeys dé oplossing
In de nabije toekomst moeten deze problemen met wachtwoorden tot het verleden horen. De sector werkt immers aan een sluitende oplossing om veilig en zonder wachtwoorden in te loggen: de passkeys.
Passkeys zijn 2-delige sleutels die geëncrypteerd op je persoonlijk toestel staan. Enkel het publieke deel – een soort ‘naam’ van de sleutel – wordt gedeeld met de website of service. Het zijn geen bestanden, die je niet zomaar kan kopiëren of delen. Met die sleutel wordt een eenmalig virtueel wachtwoord aangemaakt dat toegang geeft tot de website of de app. Die koppeling is alleen maar mogelijk aan de hand van biometrie, zoals de gezichtsherkenning op je smartphone. Het virtuele wachtwoord staat ook nergens neergeschreven, of je moet het nergens invoeren. Dat maakt hacking of phishing onmogelijk. Een eenvoudige technologie, en 100% veilig.
Voorlopig wordt deze technologie nog maar op beperkte schaal toegepast, maar daar komt in de komende maanden verandering in. Hoewel bijvoorbeeld iPhones al passkeys aanbieden, worden ze in de praktijk vandaag nog maar zeer beperkt gebruikt. Wellicht zullen technologie- en financiële apps en sites de early adopters zijn. Ik verwacht dat we in de loop van volgend jaar al met passkeys kunnen werken bij de grote digitale spelers zoals Microsoft, Facebook, WordPress, Google of Twitter. En dan zijn wachtwoorden als ‘Sloeber82’ of ‘Ob1W4nK3n0b1’ verleden tijd.
Wachtwoordmanagers zijnthe next best thing
Maar tot dan zijn we aangewezen op tools die wel al breed worden toegepast. Zoals wachtwoordmanagers.
Mensen zijn gewend om alles zoveel mogelijk zelf proberen te onthouden. De website of het platform legt criteria op waar het nieuwe wachtwoord moet aan beantwoorden. Dus kiezen ze een combinatie die makkelijk te onthouden is, of ze pakken het oude wachtwoord en zetten er een 1 achter. Eenvoudige variaties die uiteindelijk zorgen voor zwakke wachtwoorden. Dat maakt het er allemaal niet veiliger op.
Hoe kan het dan wel veilig? De technologie is voortdurend in evolutie. Websites en apps stellen nieuwe gebruikers zelf een wachtwoord voor. Deze automatisch gegenereerde wachtwoorden met combinaties van tekens die niemand kan onthouden, zijn een goede eerste stap. Maar de wachtwoordmanager die je browser of smartphone standaard aanbiedt, doet dat voor jou. Hij slaat de wachtwoorden op in een kluis en biedt ze vanzelf aan wanneer dat nodig is. Zo’n wachtwoordmanager gebruiken zoals het hoort, maakt je gegevens veiliger.
In afwachting van de passkeys-technologie, blijft dit the next best thing. Toch gebruikt minder dan een op de tien Belgen een wachtwoordmanager. Wellicht is het verstandiger om mensen aan te sporen om deze tools meer en beter te gebruiken, in plaats van hen op te roepen om een (onveiliger) nieuw wachtwoord aan te maken.
In afwachting van de doorbraak van de passkeys, geeft David Jennes, Digital Security expert bij Wisemen, 7 tips voor een betere wachtwoordhygiëne:
- Gebruik per website of app een uniek willekeurig wachtwoord.
- Gebruik wachtwoorden van 20 tekens of langer.
- Gebruik in je wachtwoord voldoende variatie: hoofd- en kleine letters, cijfers, lees- en andere tekens mogen allemaal in een wachtwoord staan.
- Krijg je de melding dat je wachtwoord mee in een datalek zit, pas het meteen aan.
- Om al die wachtwoorden te ‘onthouden’, gebruik je best een wachtwoordmanager. Die zitten standaard in je browser of smartphone, of gebruik hiervoor een tool zoals 1Password of LastPass. Deze tools genereren ook (veilige) wachtwoorden, zodat je niet steeds zelf iets nieuws moet bedenken.
- Maak waar het kan zoveel mogelijk gebruik van biometrie (gezichtsherkenning, gebruik van vingerafdruk, …). Zo log je in aan de hand van lichaams’eigenschappen’ die niet te hacken zijn, wat voor een gevoelige bijkomende beveiliging zorgt. Veel bank-apps geven deze optie vandaag al. Bovendien maakt het gebruiken van biometrie de risico’s bij diefstal of verlies van je smartphone een heel stuk kleiner.
- Twijfel je of je account werd gehackt, of krijg je vreemde e-mails? Op https://haveibeenpwned.com/ kan je controleren of jouw account nog veilig is.
Fout opgemerkt of meer nieuws? Meld het hier