Je kunt het je haast niet voorstellen, maar uit een recent onderzoek blijkt dat nog altijd 17 procent van de mensen ‘123456’ als wachtwoord gebruiken, gevolgd door het even zo verrassende ‘123456789’. Nu is het nogal een open deur om te stellen dat dit geen veilige wachtwoorden zijn, maar wat moet je dan wel doen? Yard Digital helpt je op weg.
Hoewel fabrikanten en ontwikkelaars druk bezig zijn met de ontwikkeling van producten met iris- of vingerafdrukscanners lijken dat soort innovaties nog ver weg als het gaat om internet. Wie actief is op sites en communities moet in 99 van de honderd gevallen inloggen met een gebruikersnaam en wachtwoord. Dan kun je er maar beter voor zorgen dat je dit zo goed mogelijk doet.
Hackers zijn tegenwoordig slimmer dan ooit en kunnen relatief snel achter je gegevens komen, zeker wanneer je een zwak wachtwoord gebruikt. Gebruik daarom geen namen van familieleden of geboortedata van je kinderen of woonplaatsen. Dit is namelijk eenvoudig te achterhalen door derden. Gebruik hoofd en kleine letters, cijfers en interpunctie. Gebruik meer dan 10 tekens. Het lijken nogal logische oplossingen, maar het wordt nogal vaak vergeten. Te vaak.
Facebook in tien minuten gehackt
Natuurlijk, hoe veilig je wachtwoord ook is, er bestaat altijd een kans gehackt te worden. Zo deed Esquire-auteur Rens Lieman voor een artikel ooit een oproep hem (al dan niet anoniem) te hacken. Binnen één minuut (!) had iemand zijn Facebook gekraakt. En onlangs kwam SGP-voorman Kees van der Staaij nogal negatief in het nieuws doordat RTL-techjournalist Daniel Verlaan in samenwerking met een handige jongen op een relatief eenvoudige wijze zijn twitteraccount wist te veroveren. Via de ‘brute-force-techniek’, waarbij er in no-time duizenden (redelijk voorspelbare) wachtwoorden worden uitgeprobeerd, kon Verlaan het account binnen, om vervolgens dit tweetje te versturen:
Wat we maar willen zeggen: let op je wachtwoord.
Tweestapsverificatie
Meest belangrijk is echter te kijken naar Two Factor Authentication (2FA). Deze techniek is niets meer dan een dubbele check. Nadat je eerst een wachtwoord hebt ingegeven, ontvang je elders een bericht waarbij je aangeeft dat jij inderdaad wilt inloggen en niet iemand anders. Bekend voorbeeld is DigID, waarbij je na het invoeren van je gegevens een code per SMS krijgt opgestuurd die je moet ingeven op de site.
Lang niet alle online diensten en sites gebruiken overigens 2FA, maar de verwachting is dat dit de komende tijd gaat veranderen. Gmail en Facebook zijn bekende diensten waarbij je al wel gebruik kunt maken van tweestapsverificatie (vaak moet je dit overigens wel zelf aanzetten).
Verder hebben veel mensen de neiging om één wachtwoord voor meerdere sites te gebruiken. Dat is niet zo slim: via diverse programmaatjes kunnen kwaadwillenden op eenvoudige wijze met jouw gegevens het internet afstruinen. Voor je het weet hebben ze niet alleen je Twitter-account, maar ook al je andere diensten te pakken.
Het is dus raadzaam om meerdere wachtwoorden voor verschillende sites of communities te gebruiken. Maar als proactieve internetgebruiker is dat nogal een gedoe: hoe onthoud je die tientallen verschillende paswoorden?
Wachtwoord opslaan in browser: niet doen
Tegenwoordig bieden browsers de mogelijkheid om je wachtwoorden automatisch voor je op te slaan. Dit is echter af te raden. Zo gebruikt Google Chrome voor de versleuteling het hoofdwachtwoord van Windows. Als een hacker toegang krijgt tot je pc, kan hij dan gemakkelijk alle opgeslagen wachtwoorden binnen harken. FireFox en Safari zijn met behulp van encryptie iets veiliger, maar nog altijd lijkt het slimmer om te zoeken naar een alternatief.
Een oplossing zit er in het gebruik van een wachtwoordmanager. Dat is een (soms) gratis tool die fungeert als een soort van kluis waarin je al je wachtwoorden stalt. Een wachtwoordmanager heeft een sterke versleuteling waardoor eventuele kwaadwillenden geen kans krijgen.
Een wachtwoordmanager heeft een sterke versleuteling waardoor kwaadwillenden geen kans krijgen.
Belangrijk bij het gebruik van een wachtwoordmanager is de keuze van het hoofdwachtwoord: de moet sterk zijn, met hoofd en kleine letters, getallen en uitroeptekens. En, het lijkt misschien nodeloos om te zeggen, maar: deze mag nooit in verkeerde handen vallen. Oh, en mocht je ‘m vergeten, dan heb je pech: er is geen mogelijkheid om een vervangend wachtwoord aan te vragen. Zo ben je echt altijd de enige die bij de kluis kan. Yard Digital zet de drie belangrijkste wachtwoordmanagers op een rijtje.
Wachtwoordmanagers getest:
LastPass
Een van de bekendste managers is LastPass. Deze logt dankzij een handige browserextensie automatisch in bij opgeslagen sites. LastPass geeft een waarschuwing wanneer een website slachtoffer is van een hack en controleert of je niet per ongeluk hetzelfde wachtwoord gebruikt bij verschillende sites. De dienst is gratis, maar wie alles uit Last Pass wil halen betaald ongeveer 12 euro per jaar.
LogMeOnce
LogMeOnce kent bijzondere functies. Je kunt namelijk ‘passworldless’ inloggen. Je gebruikt voor verificatie geen wachtwoord, maar een ander apparaat, denk aan je smartphone of tablet. Er zijn apps voor Android en iOS. Via de website van LogMeOnce beheer je alle wachtwoorden, waarbij met een druk op de knop alle zwakke broeders te zien zijn. Voor extra veiligheid kun je Two Factor Authentication aanzetten.
Dashlane
Overzichtelijke wachtwoordmanager die volautomatisch inlogt op websites. Zelfs het klikken op ‘Inloggen’ is niet meer nodig. Opmerkelijke feature is ‘Emergency Contact’, waarbij je iemand kiest die eventueel toegang mag vragen tot de manager. Dat kan handig zijn als een collega moet inloggen als je er niet bent. Dashlane is er in een gratis vorm, maar synchroniseert dan geen wachtwoorden tussen apparaten. De beste optie is daarom een betaald account van circa 38 euro per jaar te nemen.