DIY

Een veilig wachtwoord kun je niet onthouden

Geschreven door Frank Meeuwsen

Wachtwoord opslaanEen op de drie Nederlanders wisselt nooit van zijn wachtwoord; een minderheid wisselt eens per kwartaal al zijn wachtwoorden. Dat blijkt uit onderzoek dat is uitgevoerd in opdracht van ECP, als onderdeel van de bewustwordingscampagne Digibewust (Bron: Tweakers)
Uit het onderzoek blijkt onder andere dat 7% (van de 750 respondenten) eens per kwartaal zijn wachtwoord wijzigt. Daarnaast blijkt het nog slecht gesteld met de kwaliteit van de wachtwoorden. Tien procent gebruikt zijn eigen naam als toegang en evenveel mensen gebruiken die van hun partner of kinderen. Ook namen van huisdieren of data van huwelijken en verjaardagen zijn populair.
We horen tegelijk steeds vaker over inbraken in databases van websites waarbij toegangsgegevens zijn buitgemaakt. Daarom nog eens de belangrijkste tips op een rij voor een veilig wachtwoord.

Je wachtwoord is uniek

Zorg dat je een wachtwoord hebt wat je nog niet elders hebt gebruikt. Ooit. Zorg dat je geen slachtoffer wordt zoals velen die bij elke inbraak in een database (LinkedIn, Sony, Blizzard etc) op allerlei plekken hun wachtwoord moeten wijzigen omdat het overal hetzelfde is. Maak je wachtwoord voor elke toegang tot site of applicatie uniek.

Je wachtwoord is willekeurig

In je wachtwoorden is geen patroon te herkennen, zoals het g3bru1k v4n c1jf3r5. Want laten we eerlijk zijn, dat is toch wel de oudste truuk in het boekje en is zo makkelijk met software en een snelle computer te kraken. Gebruik geen bestaande woorden, geen familienamen, geen huisdieren. Zorg dat je wachtwoord hoofdletters, kleine letters, cijfers en vreemde tekens bevat. En geen Correct Horse Battery Staple of andere komische manieren als alternatief voor een moeilijke toegangscode.

Je wachtwoord is niet te onthouden

Dit is de belangrijkste regel van allemaal. Je wachtwoord hoef je niet te onthouden. Er zijn voldoende applicaties op de markt die zowel op je desktop als mobiel je wachtwoorden kunnen aanmaken, organiseren en bewaren, het is niet meer nodig om al die wachtwoorden te onthouden. En ja, de zwakste schakel is dan dat ene wachtwoord voor dat programma. Dat moet je onthouden. Maar het voordeel is, je hoeft maar één wachtwoord te onthouden en dat kun je zo sterk maken als je wilt. Een programma als KeePass (open source, gratis) heeft eveneens de mogelijkheid om een extra bestand op je computer als sleutel te gebruiken. Pas de combinatie van dat ene bestand en je wachtwoord, dan gaat het slot er af en kun je bij je wachtwoorden.

Dit is slechts het topje van de ijsberg als het om online beveiliging gaat. Maar een niet onbelangrijke top. Het is niet meer van deze tijd om wachtwoorden in een Excelsheet, op een Postit note of een “veilig papiertje” in de la te bewaren. Stap over op een wachtwoordmanager zoals KeePass of 1Password. Het is een stap die je zet maar als je eenmaal gewend bent aan de sneltoets om wachtwoorden op te vragen of te maken en op te slaan, dan wil je niet meer terug.

Meer artikelen op Lifehacking over wachtwoorden en online beveiliging

over de auteur

Frank Meeuwsen

Frank Meeuwsen is een onafhankelijk digitaal strateeg in zijn bedrijf The Incredible Adventure starts here... en oprichter van de website Lifehacking.nl. Tevens is hij voor Evernote de Nederlandse ambassadeur Zakelijk Gebruik.

Frank gelooft sterk in Getting Things Done. Nu nog het in de praktijk zien te houden. Je vindt hem vooral op Twitter en Google+.

Reageer

10 Reacties

  • Met ‘Correct Horse Battery Staple’ is weinig mis, zolang je het maar niet op meerdere plaatsen gebruikt. Een alternatief is de methode van Bruce Schneier waarbij je een zin vervormt tot een woord. Een wachtwoord moet makkelijk te onthouden zijn, maar moeilijk te kraken.
    Over het wisselen van wachtwoorden valt nog wel te discussiëren. Een goed gekozen wachtwoord hoeft onder normale omstandigheden niet ieder kwartaal te worden vervangen. De cilinder van je voordeurslot vervang je ook alleen maar als dat echt nodig is en zeker niet 4x per jaar.

    • Patrick,

      Je vergelijk met het voordeurslot gaat volgens mij niet op.
      Van je sleutels weet je waar die zijn. Om een sleutel na te maken heb je volgens mij de originele sleutel nodig. Met betrekking tot wachtwoorden moet je “vertrouwen” op databases en dergelijke en daar heb je niet alle zicht op.

      • Van een sleutel heb je meestal meerdere exemplaren waar je geen zicht op hebt. Die liggen ergens of er zijn meer mensen met dezelfde sleutel. Pas op het moment dat iemand een sleutel kwijt raakt, is het zinvol om de cilinder en de sleutels te vervangen. Dat geldt ook voor een wachtwoord. Pas op het moment dat iemand anders het heeft gezien/ontdekt of als er is ingebroken op een server, is het zinvol om het te vervangen.

  • De hacker die bedenkt om KeePass of 1Password te kraken is spekkoper! (als zelf de algoritmen van je pinpas gekraakt kunnen worden, moet dit toch ook mogelijk zijn?).
    Door alle wachtwoorden ergens digitaal op te slaan op één plek, heeft de hacker ineens toegang tot alles waarvan je dat dat het goed beveiligd was.
    En hoe weet ik zeker dat de leverancier van de gratis software zelf niet in je wachtwoordenlijstje kan kijken.
    Bovenstaande lijkt erg argwanend maar is volgens mij technisch niet ondenkbaar. En helaas, een betere oplossing weet ik ook niet.

    • Henk, je hebt zeker een punt. Technisch niet ondenkbaar. Zoals het technisch zeker denkbaar is dat een dergelijke kraak vrijwel direct gedicht zal worden door 1Pw of door de community van KeePass. KeePass is open source. In theorie (!) kan iedereen de broncode bestuderen en bekijken of daar iets vreemds gebeurt zoals de leverancier die meesnuffelt. Wat voor PR drama zou het zijn als dát bekend wordt? Dan kun je inpakken met je gratis software.
      Er zit een zekere mate van vertrouwen in het plaatsen van al je wachtwoorden in één kluis. Zoals het deels een kwestie van vertrouwen is om je huissleutel aan de buurvrouw te geven om de plantjes water te geven als je op vakantie bent. Zoals je je geld op een bank zet (OK, makkelijk te weerleggen nu…). Zoals je een internetprovider kiest.

  • Merk het zelf ook vaak bij mijn klanten wanneer we het er toevallig overhebben dat hun wachtwoorden vaak eenvoudig te kraken zijn. Heb zelfs wat programmaatjes in elkaar gezet, zodat ik het kan laten zien waar ze bij zijn. Ik kraak dan hun wachtwoord met hun goedkeuring.

    Ik raad iedereen dan ook aan om een zo gek mogelijke code te bedenken, bijvoorbeeld: 1475FadsghD”\32k” deze zijn zo goed als onmogelijk te kraken