Veilige wachtwoorden: hoe hou je complexe logins toch eenvoudig?
Moeten we je, zo kort na Wereld Wachtwoorddag nog vertellen dat een goed wachtwoord belangrijk is? Ja. Maar we leggen ook graag uit hoe je de weg kan vinden in een wirwar aan unieke combinaties en hoe je van ‘goed beveiligd’ naar ‘zo goed als onhackbaar’ gaat.
Wat is een goed wachtwoord?
Een goed wachtwoord is vooral moeilijk te raden voor zowel bekenden als onbekenden. Daarom is het idealiter lang (12 tekens, maar langer is doorgaans beter) en complex: een combinatie van hoofdletters, kleine letters, cijfers en vreemde tekens als $€#@{µ maken net iets moeilijker.
Die vreemde tekens zijn belangrijk. Naast mensen die je wachtwoord raden, gebruiken hackers ook systemen die massaal zo veel mogelijk combinaties van woorden of letters uitproberen. Gebruik je enkel letters, dan hebben ze keuze uit combinaties van de 26 letters van het alfabet. Met cijfers, hoofdletters en vreemde tekens wordt dat veel complexer.
Waarom moet dat voor elke dienst een ander wachtwoord zijn?
Gebruik je voor LinkedIn, Instagram, Twitter, Gmail en je Microsoft-account het wachtwoord ‘Datanews1’, en pakweg LinkedIn wordt gehackt, dan is de kans groot dat een hacker dat wachtwoord ook gaat uitproberen op andere diensten. Vergelijk het met een sleutel die je verliest, geen groot probleem als die enkelop je tuinhuis past, maar wel als ze ook de voordeur of je kluis kan openen.
Ik ben onbelangrijk, dus mij gaan ze niet hacken
Elke mens is belangrijk. Maar ook elke mens is een interessant doelwit. Misschien niet voor je bankrekening, werkgever of je intieme chatgesprekken, maar een online account is ook een identiteit. Voor hackers is het dan ook heel interessant om een account te hacken die perfect normaal is, om vervolgens te gaan spammen of andere mensen op te lichten of te hacken.
Of anders gezegd: je weet dat een mailtje van een Nigeriaanse prins waarschijnlijk oplichting is. Maar een chatbericht van een (gehackte) oude klasgenoot die vraagt om snel ergens op te klikken, zal een pak minder wantrouwen opwekken.
Wat ben ik met een wachtwoordmanager?
Voor elke dienst een ander en moeilijk te onthouden wachtwoord is lastig. Daarom is een wachtwoordmanager enorm aan te raden. Het is een app, een programma op je pc of een plugin in de browser die al je wachtwoorden en gebruikersnamen bewaart in een kluis zodat je zelf niets moet onthouden.
Veel wachtwoordmanagers genereren ook wachtwoorden die zo lang of complex zijn als je zelf wil. Bij sommigen kan je ook aangeven om een makkelijk uit te spreken, maar toch complex, wachtwoord te genereren.
Een aantal bekende en betrouwbare wachtwoordmanagers zijn Lastpass, 1Password, KeePass, Bitwarden, Dashlane en Truekey.
We vellen geen oordeel over de managers zelf. Er zijn ook andere apps die waarschijnlijk even goed werken en de ene heeft wat meer mogelijkheden dan de andere. Maar allen zorgen ze wel voor een goede beveiliging. Dat wil ook zeggen dat als zo’n dienst zelf wordt gehackt, je wachtwoorden zodanig zijn versleuteld dat ze niet zomaar voor het grijpen liggen.
Sommige browsers, onder meer Firefox en Chrome, hebben zelf een wachtwoordmanager en kunnen logingegevens voor jou onthouden. Firefox gaat binnenkort ook actief meldingen geven als een dienst die je gebruikt is gehackt. Toch zijn we een beetje wantrouwig voor die aanpak. Worden je wachtwoorden automatisch door je browser ingevuld, dan kan iemand die even je pc of smartphone gebruikt daar ook zomaar gebruik van maken.
Hoe onthoud ik het wachtwoord van een wachtwoordmanager?
Met een wachtwoordmanager moet je nog maar één wachtwoord onthouden, dat van de wachtwoordmanager zelf. Hierbij kunnen we niet genoeg benadrukken dat dit een lang en moeilijk te achterhalen wachtwoord moet zijn.
Dat wil ook zeggen dat je er een paar dagen op moet oefenen. Sommige apps laten je inloggen met je vingerafdruk en dat bespaart zeker tijd. Maar doe in de eerste dagen zeker de moeite om het wachtwoord zowel op je telefoon als pc volledig in te geven om dat wachtwoord in je vingers te hebben.
Wat is two-factor-authentication en heb ik het nodig?
Two-factor-authentication (kortweg 2FA) of multi factor authentication wil zeggen dat je niet alleen een wachtwoord nodig hebt, maar ook een extra bevestiging. Dat kan een sms-code zijn, een melding op je telefoon, of een speciaal gegenereerde code op een apart toestel. Zo voorkom je dat iemand die je wachtwoord bemachtigt of kan raden kan inloggen.
2FA brengt natuurlijk wat meer werk met zich mee, maar we moeten daarbij nuanceren dat je het vooral gebruikt wanneer je ergens voor het eerst inlogt. Koop je een nieuwe smartphone of gebruik je een nieuwe pc of browser, dan vraagt dat de eerste keer wat extra werk. Maar het voorkomt wel dat iemand vanuit Panama in je mailbox kan geraken.
2FA is voor elke account nuttig, maar zeker voor je belangrijkste platformen (je persoonlijke mailbox, sociale media,…) aan te raden. Geen zin in een wirwar aan sms’jes, meldingen, mailtjes en andere rooksignalen? Een dienst als Authy laat toe om 2FA voor verschillende diensten in één app te combineren.
Is mijn account of wachtwoord nog veilig?
Elke online dienst is vatbaar voor een datalek. Soms door een menselijke fout, soms omdat hackers zeer goed te werk gaan. Maar het idee dat bekende of grote diensten minder kwetsbaar zijn is fout. LinkedIn, Dropbox, Adobe… allemaal hebben ze de afgelopen jaren wel ‘een incident’ gehad.
Om te weten of je accountgegevens mogelijk online circuleren kan je terecht bij Haveibeenpwned.com, een site die op zoek gaat naar gegevens van gehackte diensten. Geef je e-mailadres op Haveibeenpwned laat je weten of en waar je getroffen bent. Uiteraard is het aan te raden om dat wachtwoord zo snel mogelijk te veranderen en hetzelfde wachtwoord nooit meer te hergebruiken.
Hoe vaak verander ik mijn wachtwoord?
Hierop bestaat helaas geen éénduidig antwoord. Bent je een diplomaat die tussen de VS en China moet bemiddelen dan is wekelijks geen slechte praktijk. Ga je dat als doorsnee gebruiker doen? Waarschijnlijk niet.
In sommige bedrijven moet het wachtwoord elke drie tot zes maanden worden gewijzigd, maar zelfs dat kan voor wachtwoordmoeheid zorgen waarbij dat mensen slordig worden en continu wisselen tussen twee wachtwoorden of het ergens op papier opschrijven.
Als je geen 2FA hebt geactiveerd dan lijkt om de 1-2 jaar ons geen slechte gewoonte. Maar wacht niet bij twijfel. Merk je verdachte zaken op je account? Wordt de dienst in kwestie gehackt? Verander dan meteen.
Ook als je een wachtwoord deelt met iemand, verander het dan zodra dat delen niet langer nodig is. Hetzelfde geldt als je inlogt op een onbekende computer. Je weet immers nooit of toetsaanslagen of ingevulde schermen worden bijgehouden.
Iets extremer: een hardwarematige securitykey
Wil je echt heel zeker zijn dat niemand zomaar in je account kan? Dan is een fysieke digitale sleutel de oplossing. Meestal komen ze in de vorm van een usb-stick (gewone usb, micro usb of usb-C), of met een NFC- of Bluetooth-verbinding om te kunnen inloggen. Zo log je in zonder extra meldingen of codes. Uiteraard mag je de sleutel niet verliezen of het kan wel eens een stuk moeilijker worden om in te loggen.
De twee bekendste makers van security keys zijn Yubico en Google (Titan). Maar The Verge maakte een jaar geleden nog een handig overzicht van enkele sleutels.
Denk na: wat kan er foutlopen
Een interessante denkoefening is om even stil te staan bij wat er kan foutlopen als iemand je account overneemt. Als dat bij een webshop gebeurt, worden dan ook je kredietkaartgegevens opgegeven waardoor iemand kan bestellen op jouw kosten? Log je met je account van Facebook ook in bij andere diensten en hoeveel gevoelige informatie bevatten die?
Maar hou er ook rekening mee als je een wachtwoord doorgeeft in een gesprek op Whatsapp of Slack. Je weet immers nooit wie er nog meekijkt. We willen niet oproepen tot algemene paranoia, maar in het geval van wachtwoordveiligheid zijn het allemaal stappen die je best op voorhand onderneemt en waarbij je uit moet gaan van de ergste mogelijke situatie. Ofwel om problemen te voorkomen, of om bij problemen zo snel mogelijk alles te kunnen herstellen.
Ben ik nu honderd procent veilig?
Neen. Maar je bent wel een pak veiliger. Dat maakt dat hackers, wanneer ze duizenden accounts uitproberen, minder snel of niet bij jou binnengeraken. Het voorkomt dat je ooit uren of dagen moet besteden om terug in je account te geraken, of je identiteit moet gaan bewijzen. Maar ook dat vrienden, familie of je collega’s worden opgelicht.
Vergelijk het een beetje met mondmaskers dragen, handen wassen en afstand houden: verslaat het een gevaarlijk longvirus? Neen. Maar de kans dat jij of je omgeving er door getroffen worden wordt wel een pak kleiner en daar is iedereen mee gebaat.
Fout opgemerkt of meer nieuws? Meld het hier