Wachtwoorden moet je niet hergebruiken. Dat is geen nieuw advies.
Maar om een of andere reden blijkt het in de praktijk moeilijk. Troy Hunt noemt het de grootste cybersecurity-kwestie van vandaag. Maar liefst veertig procent van de Nederlanders hergebruikt wachtwoorden voor meerdere accounts. In een recente podcast drukte F-Secure’s Security Consultant Jan Wikholm enig optimisme over deze situatie snel de kop in.
Toen Janne Kauhanen, host van onze podcast Cyber Security Sauna, hem vroeg of wachtwoorden veiliger gebruikt worden antwoordde hij: “Ik wil geen party pooper zijn, maar gebaseerd op wat wij zien, kan ik zeggen dat daar geen sprake van is.”
Volgens Jan hergebruiken mensen wachtwoorden omdat ze een stressvolle baan hebben en veel te veel wachtwoorden moeten onthouden. Een stel willekeurige tekenreeksen of lange zinnen sla je dan niet zo gemakkelijk op. Mensen kiezen daarom een middenweg en leveren daarmee in op de wachtwoordkwaliteit, het aantal of op beide. Ze kiezen bijvoorbeeld eenvoudige te raden wachtwoorden, een beperkt aantal sterke wachtwoorden of ze gebruiken een eenvoudig te onthouden (en te raden) wachtwoord voor meerdere accounts.
Zo krijg je situaties waarin een overweldigend aantal gecompromitteerde wachtwoorden in gebruik blijft.
Dus mensen adviseren om wachtwoorden niet opnieuw te gebruiken, is niets nieuws. Maar het is belangrijk genoeg om het steeds opnieuw te herhalen. Als je een wachtwoordmanager gebruikt, kun je dit advies heel eenvoudig in de praktijk brengen.
Wachtwoordmanagers zijn kluizen waarin je de sleutels tot jouw digitale identiteit kunt opslaan. Ze kunnen sterke, unieke wachtwoorden genereren en die vervolgens opslaan op een veilige, gemakkelijk toegankelijke plaats (lokaal of in de cloud). Zo kun je ze snel gebruiken om in te loggen bij websites, programma’s, enz. Er is een scala aan wachtwoordmanagers, zowel gratis als betaald. Dat is genoeg om aan bijna ieders behoeften tegemoet te komen (F-Secure biedt mogelijkheden voor wachtwoordmanagement voor particulieren en bedrijven).
Jan noemt een wachtwoordmanager ‘de heilige graal’ van jouw online beveiliging en erkent dat je een zeer sterk wachtwoord nodig hebt om het veilig te houden. Hoewel dit een wachtwoord is om te onthouden, kun je (bijna) elk ander wachtwoord vergeten. Meer ruimte in je hoofd dus!
Maar zelfs met wachtwoordmanagers, moet je een of twee sterke, unieke wachtwoorden maken. Een paar tips van Jan:
- Zorg voor unieke strategieën voor elk wachtwoord dat je maakt. Kies bijvoorbeeld songteksten voor één (checkyourselfbeforeyouwreckyourself), een kleuterrijmpje voor een andere (fivelittlemonkeysjumpingonthebed), enz. Dit voorkomt dat aanvallers patronen raden. Vermijd dingen zoals maanden en jaren, namen en verjaardagen, enz. in een wachtwoord. Die zijn gemakkelijk te raden.
- Lengte verslaat complexiteit. Je wachtwoord moet ten minste 14 tekens bevatten. Dus combineer woorden om zinnen te maken (checkyourselfbeforeyouwreckyourself). Doe geen moeite om van de eerste letter een hoofdletter te maken, aanvallers weten al dat je het doet.
- Verander bestaande woorden door letters te verwijderen of toe te voegen, ze te vervangen door speciale tekens of woorden samen te voegen om ze onherkenbaar te maken voor machines (chEkj00se£fB400rurse£f). Meer suggesties en voorbeelden vind je hier.
- Gebruik geen variaties op het woord wachtwoord.
Wees alert op platforms, services of andere programma’s die je ervan weerhouden om een goed wachtwoord in te voeren. Een limiet op het aantal karakters is bijvoorbeeld niet nodig. En gebruik waar mogelijk multifactor-authenticatie. Het is vooral belangrijk voor e-mail (dat vaak fungeert als een wachtwoordmechanisme) en andere kritische accounts.
Categorieën