Hoog tijd om een einde te maken aan het hergebruik van wachtwoorden

Je moet niet hetzelfde wachtwoord voor verschillende accounts gebruiken. Dat advies is ongeveer net zo oud als de eerste computer.

Maar om de een of andere reden blijft hergebruik van wachtwoorden een hardnekkig pijnpunt. Troy Hunt noemde dit het grootste beveiligingsprobleem van dit moment. Volgens Motherboard is het zonneklaar dat datalekken en hacks uit het verleden te wijten waren aan het gebruik van dezelfde wachtwoorden voor verschillende accounts. En Jan Wikholm, beveiligingsconsultant bij F-Secure, maakte in een recente podcast korte metten met al het optimisme dat er verbetering in het wachtwoordgebruik zal komen.

“Ik haat het om de feeststemming te bederven, maar op basis van wat we tijdens ons dagelijkse werk tegenkomen, zie ik het somber in”, luidde zijn antwoord op de vraag van Janne Kauhanen van Cyber Security Sauna of er verbetering zit in het wachtwoordgebruik.

Volgens Jan Wikholm gebruiken mensen identieke wachtwoorden omdat ze simpelweg er teveel van moeten onthouden. Veel mensen hebben banen die hen mentale stress bezorgen. En het onthouden van allerhande willekeurige combinaties tekens of lange zinsneden gooit alleen maar olie op het vuur. Bovendien helpt dit hen zelden met hun werk. Om deze reden nemen mensen het niet zo nauw met de kwaliteit van hun wachtwoorden (ze kiezen wachtwoorden die makkelijk te raden zijn), de kwantiteit van hun wachtwoorden (ze maken gebruik van een handvol sterke wachtwoorden) of een combinatie daarvan (ze beschermen diverse accounts met een wachtwoord dat makkelijk te onthouden én raden is).

Als gevolg hiervan blijft een overweldigend aantal gelekte wachtwoorden in gebruik.

We kunnen er niet genoeg op hameren dat het belangrijk is om niet steeds dezelfde wachtwoorden te gebruiken. Maar er is ook goed nieuws: het is verrassend eenvoudig om aan dit advies gehoor te geven als je een password manager gebruikt!

Een password manager is een softwareoplossing die fungeert als digitale kluis waarin je de sleutels van je digitale identiteit kunt opslaan en sterke en unieke wachtwoorden voor je kan genereren. Deze wachtwoorden worden opgeslagen op een sterk beveiligde, maar makkelijk toegankelijke locatie (lokaal of in de cloud), zodat je je die snel kunt gebruiken om je aan te melden bij websites, applicaties enzovoort. Het aanbod van gratis en betaalde oplossingen voor wachtwoordbeheer is voldoende groot om ruimte te bieden voor eenieders behoeften. Alle beveiligingsoplossingen van F-Secure voor particulieren en bedrijven bieden een ingebouwde password manager.

Jan Wikholm maakt zelf ook gebruik van een password manager. Hij ziet dit als de ‘heilige graal’ van internetbeveiliging. Hij plaatst daarbij wel de kanttekening dat je de password manager moet beveiligen met een bijzonder sterk wachtwoord. Het zoveelste wachtwoord om te houden, zou je denken, maar het mooie is dat je vervolgens (vrijwel) elk ander wachtwoord kunt vergeten. En daarmee komt er een hoop mentale ruimte in je hoofd vrij!

Dus zelfs als je een password manager gebruikt zul je een of twee sterke, unieke wachtwoorden moeten bedenken. De onderstaande tips van Jan Wikholm kunnen je daarmee helpen.

• Gebruik een unieke strategie voor elk wachtwoord dat je aanmaakt. Gebruik voor het ene wachtwoord een songtitel (demeestedromenzijnbedrog), voor het andere wachtwoord een fragment uit een kinderliedje (metzijnbootjenaarzuidlaren) enzovoort. Daarmee voorkom je dat cybercriminelen een patroon in je wachtwoordgebruik ontwaren. Vermijd het gebruik van maanden, jaartallen, namen en geboortedatums. Die zijn makkelijk te raden.
• Lengte is belangrijker dan complexiteit. Je wachtwoord zou minimaal 14 tekens lang moeten zijn. Het is dus zaak om woorden (het maakt niet uit of het om veel voorkomende woorden gaat) te combineren tot een zinsnede (demeestedromenzijnbedrog). De eerste letter van je wachtwoord hoeft niet per definitie een hoofdletter te zijn, want hackers houden al rekening met de mogelijkheid dat je een beginhoofdletter gebruikt.
• Maak de woorden waaruit je wachtwoord is opgebouwd onherkenbaar door letters toe te voegen of te verwijderen of die te vervangen door speciale tekens (dEm€€$ted£0menzijnB€dr0g). Meer voorbeelden en tips tref je hier
• Maak geen gebruik van variaties op het woord password of wachtwoord.

Ten slotte zou je terughoudend moeten zijn met platforms, diensten en applicaties die je verhinderen om een sterk wachtwoord te gebruiken. Er is geen enkele rechtvaardiging voor het instellen van een tekenlimiet voor wachtwoorden of het opwerpen van andere obstakels voor het gebruik van sterke wachtwoorden. Maak daarnaast waar mogelijk gebruik van multi-factorauthenticatie, in ieder geval voor je e-mailaccount (dat als wachtwoordmechanisme voor veel applicaties dient) en andere belangrijke accounts.