Productiviteit

6 manieren om je wachtwoorden op te slaan

22109450_f693334c11_m Iedereen die iets online doet, kent het probleem: Het opnieuw bedenken van loginnamen en wachtwoorden. Mocht je nog voor al je online diensten dezelfde loginnaam en wachtwoord gebruiken, dan zou ik serieus bekijken of je dat niet anders kunt doen. Maak in elk geval een scheiding tussen de serieuze beveiliging (email, bankzaken, blog/site beheer) en de “probeersels” (alle nieuwe web 2.0 diensten die je na 1 week niet meer gebruikt). Maar wat kun je nog meer doen om je wachtwoorden beter te beheren? We geven een aantal tips…

Laat je browser het onthouden

De optie die veel mensen gebruiken, zorg dat je browser je loginnaam en wachtwoord onthoudt. Een voordeel is dat je inderdaad verschillende wachtwoorden kunt gebruiken, een nadeel is dat je niet makkelijk deze wachtwoorden tussen verschillende browsers kunt gebruiken. Gebruik je op verschillende machines Firefox? Dan is Foxmarks een interessante oplossing om je wachtwoorden en je bookmarks te synchroniseren

Een tekstbestand

Bij elke nieuw combinatie van een loginnaam en een wachtwoord voeg je deze toe aan een tekstbestand op je computer. Veilig? Afhankelijk hoe je met je computer/laptop omgaat. Het encrypten van het bestand met Truecrypt is wel een aanrader in elk geval!

Een wachtwoord-kluis

Programma’s als Roboform, Passkeeper en Ciphsafe zijn clientside applicaties die je wachtwoorden (veilig) kunnen onthouden. Ze hebben encryptie ingebouwd, nadeel is dat deze programma’s niet cross-platform zijn. Keepass daarentegen is er voor Windows, Mac, Linux, USB sticks, Blackberry en Symbian en heeft behoorlijk krachtige encryptie. Met Keepass kun je tevens wachtwoorden genereren in elke gewenste lengte en kenmerken (wel/geen hoofdletters, lettertekens etc).

Hersen-encyptie

Door voor jezelf een algoritme te bedenken waarmee je steeds nieuwe wachtwoorden bedenkt kun je je eigen encryptie toepassen. Op A Clean Design vind je een uitleg hoe je dit aan kunt pakken. Nadeel vind ik dat je dan eigenlijk al je bestaande wachtwoorden moet omzetten naar deze manier van encryptie, zodat je ook maar één manier van wachtwoord genereren hebt. Dat kan een tijdrovende (maar eenmalige) klus zijn.

Online password manager

Ik ben er geen voorstander van, maar je kunt je wachtwoorden ook online opslaan via Clipperz en Mashedlife.com. Met Firefox-addons en een single sign-on kom je een heel eind met het opslaan van je wachtwoorden, maar toch bekruipt mij het gevoel dat ik mijn wachtwoorden liever niet (exclusief) op een server heb staan, maar bij me heb op mijn laptop of USB stick (encrypted uiteraard)

OpenID

Met OpenID heb je de mogelijkheid om eenmaal een loginnaam en wachtwoord aan te maken en deze op verschillende sites en voor verschillende diensten te gebruiken. Hiermee zou OpenID het boegbeeld kunnen zijn voor het gebruik van één digitale identiteit bij meerdere dienstverleners. Deze OpenID wordt niet centraal opgeslagen, maar zijn veelal al bestaande services die je gebruikt. Zo kan je Gmail account een OpenID zijn, maar ook je Windows Live account of je Yahoo account. Of maak zelf een account aan op MijnOpenID.nl. Het grootste nadeel op dit moment is dat nog niet alle dienstverleners een OpenID als inlogaccount toestaan, dus soms zul je nog naar één van de bovenstaande middelen moeten teruggrijpen.

Heb jij nog goede tips of software waarmee wachtwoorden zijn te onthouden of te genereren? Laat ze achter in de reacties!

(Foto: Kool_SkatKat)

over de auteur

Frank Meeuwsen

Frank Meeuwsen is een onafhankelijk digitaal strateeg in zijn bedrijf The Incredible Adventure starts here... en oprichter van de website Lifehacking.nl. Tevens is hij voor Evernote de Nederlandse ambassadeur Zakelijk Gebruik.

Frank gelooft sterk in Getting Things Done. Nu nog het in de praktijk zien te houden. Je vindt hem vooral op Twitter en Google+.

Reageer

51 Reacties

  • Passpack is voor mij de beste optie: http://www.passpack.com/en/home/
    Online opslag met zware encryptie en een (goed beschermde) desktop client op basis van Adobe Air. Werkt voor mij perfect met betrekking tot de vele wachtwoorden die ik heb voor mijn werk en de wachtwoorden die ik in mijn browser bewaar (soms gooi ik de browser history leeg).

    Het grote voordeel is de bescherming met 3 credentials: master username en wachtwoord en een decrypt key. Nadeel daarvan is dat je niets meer kunt uitlezen als je de decrypt key kwijt bent, hun hebben die namelijk nergens bewaard (wat ook het grootste voordeel is, want iemand bij die organisatie kan dus nooit mijn wachtwoorden uitlezen).

  • Beveiliging is 1, maar tegen een diefstal is weinig bestand. Zelf afgelopen week twee inbraken meegemaakt en telkens alle wachtwoorden mogen veranderen. Van alles, dus ook de online password managers, open id’s etc. etc.

    Erg lastig, maar daartegen is weinig te doen!

  • Gewoon makkelijk doen net als ik:
    1 standaard woord onthouden en bij maken van nieuwe wachtwoorden, dat woord als eerst met erachter bijv de naam van de website of dienst.

    Bijv. standaard woord is “blaat” en ik registreer bij amazon, dan wordt m’n wachtwoord blaatamazon.
    de naam van de site of dienst zie je toch steeds als je die bezoekt dus dat ene woord onthouden is voldoende 😉

  • @Frank
    Wellicht goed om te vermelden dat je in Firefox een masterpassword op al je logins/wachtoorden die je wilt laten onthouden kunt zetten. Dan is het toch een beetje veilig.
    Overigens is Foxmarks net als andere online password managers niet echt veilig. Immers zij kunnen dan bij al je wachtwoorden. En als hun database gehackt wordt kunnen er ook andere bij.

    @Leon
    Als je je wachtwoorden in Keepass had gezet of in een truecrypt beveiligd bestand had je niets hoeven te veranderen 😉

  • RW: handig. Al heeft het wel als nadeel, dat als mensen je username/passwoord combinatie ergens tegenkomen, ze ook weten om welke website het gaat.
    Maar goed, dat is een klein minpuntje, want die combinatie zouden ze nergens tegen moeten komen.

  • RW: Ik ben het al een paar keer tegen gekomen dat sommige websites (tweakers zelfs volgens mij) die een strong wachtwoord willen, dus dan moet er een cijfer bij en hoofdletters. Dat is dan vervelend om te houden.

  • “Laat je browser onthouden” en “Een tekstbestand” zijn gewoon te onveilig om ze te noemen. Je hebt wel een slecht gevoel bij een online password manager, maar daar niet bij.

    OpenID is misschien een handig idee, maar wordt je OpenID gekraakt, dan zijn alle gerelateerde diensten gekraakt.

    Ik zeg: een password manager (persoonlijk gebruik ik Keepass) op een encrypted partitie (bv. Truecrypt) eventueel in combinatie met genereer techniek ala Hersenencryptie.

  • Ik hanteer de eenvoudige variant van de encryptie-methode. Ideaal voor sterke wachtwoorden.
    Iedereen kent veel cijfers in zijn bestaan, postcode, geboortedatum, sofi, huisnummers. Van jezelf, je partner, je familie. Keuze genoeg dus.

    Ik associeer de site met een persoon waar ik gegevens van heb:
    Google – Guus
    Yahoo – Jan
    Schoolbank – Sandra
    Linkedin – Linda

    Guus + karakter + volledige postcode = Guus@4567AH
    Sterk want hoofdletters, kleine letters, cijfers + karakter (in mijn geval altijd @)

    Zo heb gebruik ik in totaal 6 wachtwoorden. Sommige namen kan ik gebruiken voor meerdere accounts.
    Het enige wat ik hoef te onthouden zijn de namen afgeleid van de site. De postcode zo ik kunnen opzoeken indien nodig.

    Heb je meer wachtwoorden dan is een simpele namenlijst in je agenda of pc geen probleem.

    Andere varianten zijn legio:
    Joris-14aug61
    Francien66@Tilburg

  • Ik gebruik LastPass Password Manager (https://lastpass.com/).
    De features vind je op https://lastpass.com/features.php

    Volgens de makers is het heel veilig want: zie ondermeer https://lastpass.com/faq.php#stolen

    Zelf vind ik de volgende opties heel handig:

    – 1 master paswoord (dat niet online wordt opgeslagen door lastpass)
    – Firefox & IE plugin kan form fields /user/pwd automatisch in vullen
    (ziet ook wanneer je zelf bv. het passwoord hebt veranderd voor een reeds opgeslagen site)
    – genereren van veilige paswoorden
    – onveilig opgeslagen wachtwoorden in FF/IE password manager verwijderen & deze managers uitschakelen (aangezien je die toch niet meer nodig hebt)

    Groetjes,
    Wim

  • Ik zou het liefst een encryptiemogelijkheid hebben voor Outlook; daarin bewaar ik e.e.a. (wel verstopt maar niet encrypted), zodat ik het ook beschikbaar heb op mijn PDA. Maar ja … niet echt beveiligd, he. Kent iemand iets dergelijks?

  • Dank voor alle extra tips en URL’s. Ik merk dat iedereen zijn eigen smaak en voorkeur heeft. Ben het met ric0 eens dat tekstbestanden en browser-reminders idd niet de meest veilige methode is, maar helaas nog wel de meest gebruikte. Persoonlijk gebruik ik ook Keepass voor mijn wachtwoorden en op een USB stick staan deze ook nog eens met Truecrypt geencrypt. Daarbij werk ik ook meer en meer met de “hersenencryptie” methode.
    @Miriam Je kunt eens naar Keepass kijken, deze heeft ook versies voor de PDA.

  • wat je natuurlijk ook kunt doen is een ‘normaal’ woord nemen en sommige karakters vervangen door $ @ of cijfers..

    Poes wordt dan P0e$

  • @Marie:
    en dan verlies je je agenda…

    Ter aanvulling op mijn vorige reactie: als je dan toch een onversleuteld bestand of lijst bijhoudt, zet dan daarin het normale woord en onthoudt je wijzigingen..

  • Ik houdt zelf op papier (en op de harde schijf) een lijstje bij, de meeste ken ik wel uit mijn hoofd. Voor vrijwel iedere dienst een apart wachtwoord. De lijst kan door niemand worden gekraakt want alle wachtwoorden hebben een standaard voorvoegsel dat alleen in mijn hoofd is vastgelegd.

    Een ander heeft dus in het ergste geval alleen maar een deel van mijn wachtwoord.

  • Wat ik zelf doe om een nieuw wachtwoord te onthouden is dit. Ik kies een woord uit mijn omgeving dat direct of indirect te maken heeft met de doelsite. Dan verander ik sommige letters in cijfers en vervolgens maak ik hoofdletters en kleine letters ervan en zodanig dat het om en om is. Het idee erachter is dat je dan een gevoel aankweekt om het moment dat je veelvuldig dat wachtwoord intypt. Omdat het een woord is en niet een naam is het voor de gebruiker makelijk te onthouden en voor de hacker moeilijker te kraken. Omdat het bovendien niet opgeslagen wordt (ook niet met windows, dit negeer ik, tenminste bij belangrijke zaken zoals de bank.) valt het ook niet makelijk te hacken.

  • Ik gebruik portable Keepass op een door truecrypt encrypted partitie net als Rico.
    Op die partitie staat ook portable firefox en portable ccleaner. (Wissen met 7x overschrijven.) Volgens mij is dit superveilig.
    Die envrypted partitie staat gewoon op mijn harde schijf, maar een kopie neem ik mee op een USB stick voor op het werk. Nadeel is dat je administrator rights moet hebben om truecrypt te kunnen gebruiken.

  • Beste is nog altijd onthouden.
    Zelf heb ik een aantal wachtwoorden voor een aantal ‘prioriteiten’
    van de ‘onkraakbare’, voor gevoelige systemen, tot eentje voor de fora die ik zo heel af en toe eens bezoek.

    om te onthouden: kies 2 woorden van minimaal 9 karakters met eenzelfde thema. Haal er aan de voor- of achterkant zoveel tekens af dat er 8 karakters overblijven. Maak een van de letters een hoofDletter, en ook eentje een cijf3r of lee$teken. vervolgens kun je ze nog samenvoegen, en zelfs in elkaar weven en/of neiaardmo.
    Uiteindelijk krijg je dan bijvoorbeeld:
    thema computers:
    toetsenbord –> toetsenb –> T0etsenb (ww1)
    beeldscherm –> beeldsch –> bEeld$ch (ww2)
    en varieren maar in oplopende moeilijkheid:
    aan elkaar: T0etsenbbEeld$ch en bEeld$chT0etsenb
    omgedraaid en aaneen: bneste0Thc$dleEb
    omgedraaid en geweven: hbcn$edslteeE0bT
    tip: omdraaien is eenvoudig!: toets letter en pijl-links letter, pijl-links etc. werkt voor 99% van de invulvelden.

    Je hoeft natuurlijk niet alle manieren te gebruiken. Zelf gebruik ik er 3 voor de verschillende niveaus. Uiteindelijk hoef je maar 2 woorden te onthouden, plus een categorie waarbinnen je ww moet vallen. Heb je dan toch nog het verkeerde ww? dan moet het wel die op basis van je andere woord zijn 😉
    Geen gedoe meer met 3 keer verkeerd doen enzo!

  • Ik ben het er niet eens dat onthouden de beste manier is. OA omdat je dan de passwords moet intypen, dat levert altijd gevaar op ivm eventuele keyloggers.

  • Gewoon allemaal een vingerafdruk en iris scanner aanschaffen en wachtwoorden afschaffen. 😉

    Ik vrees dat bijna iedere methode zijn zwakke en sterke punten heeft qua beveiliging en dat er geen panacé is. De zwakste schakel blijft de menselijke schakel die dan wel ezelsbruggetjes nodig heeft om zijn wachtwoord te onthouden, dan wel die domweg teveel wachtwoorden heeft om fatsoenlijk te kunnen onthouden (en dus al dan niet versleutelde lijstjes bij gaat houden).

  • Gebruik zelf sxipper, maar is niet ideaal. Nadeel is dat switchen weer lastig is. Sxipper wil altijd overal inloggen wat dus inhoud dat als ik op hyves in mijn vrienden kijk, hij meteen wil inloggen in de mail om te kijken of er meer vrienden zijn. Toen ik zag dat hij ook mijn credit card gegevens onthield heb ik die er maar even uitgegooid, die tik ik zelf wel over 🙂

    Grappig genoeg gebruik ik in de basis 2 wachtwoorden. Een basis (bestaande uit hoofd en kleine letters en cijfers, maar wel terug te herleiden naar mijn persoon, 7 karakters lang). En een ‘zwaar’ password (een random combinatie van hoofd en kleine letters en cijfers, toevallig mijn oude casema wachtwoord van 10 jaar geleden dat toen niet te veranderen is en daarom in mijn hoofd zit) voor mail en zware zaken.

    Grappig genoeg sla ik die uit gemakszucht ook op in sxipper. Veilig? Vast niet. Overigens hebben de banken weer dermate vreemde eisen dat ik daar allemaal weer andere wachtwoorden heb, waarbij enkel Alex ook de functionaliteit van Sxipper heeft kunnen uitschakelen (wat best uniek is, SNS fundcoach heeft dat bijvoorbeeld niet).

  • Ik heb ze allemaal in een Excel 2007 bestand gezet met een 16 karakter lang wachtwoord. Dat wachtwoord moet ik onthouden en dan kun je daarna overal bij…

  • mmmm, ik vind de oplossing van Boxch eigenlijk wel het handigst, ik stuur mezelf altijd een berichtje die ik dan opsla in mijn outlook, in een map. Het onderwerp is dan de vermelding van de dienst, in het bericht het username en ww. maar ik begrijp dat dat dus helemaal niet veilig is.

  • Net als Robert in de eerste reactie gebruik ik ook Passpack. Er is ook een offline client van. Bevalt prima. De master passwords zijn goed te onthouden. Je gebruikt bijvoorbeeld een voor jou heel bekende zin (een citaat, regel uit een song, spreekwoord). Eventueel kun je daarin de klinkers weglaten, bijzondere tekens tussenvoegen, telwoorden vervangen door cijfers etc. Volgens mij niet of nauwelijks te kraken.
    Ook creditcardnummers, pincodes etc. kun je erin opslaan.
    Voordeel van Passpack online: overal ter wereld op te vragen.
    Nadeel(tje): gratis versie is geloof ik beperkt tot 100 wachtwoorden.

  • Ik gebruik een excel bestand. Met een standaard woord maak ik wachtwoorden die ik invul als sterretjes en op de plaats waar een letter staat zet ik die wel in excel. Bijvoorbeeld: er staat: ********** , in dat geval weet ik dat er “zeergeheim” staat. Wanneer ik voor een toegang het wachtwoord heb moeten aanapssen omdat het niet aan eisen voldoet staat er bijvoorbeeld: Z***&*/**# vertaald naar letters: Zeer&e/ei# i.p.v. zeergeheim. Diegene die het excel bestand weet te openen weet alleen de inlognaam en niet het wachtwoord. Ik zeg “weet te openen” omdat ik het excel bestand heb verpakt in een RAR met password encryptie. Een password op een RAR bestand van 8 tekens lang met medegebruik van niet alphanummerieke tekens heeft naar berekeningen een tijd van ongeveer 220.000 jaar nodig met de snelst verkrijgbare PC op dit moment. Dit heeft te maken met het feit dat een RAR eerst geopend moet worden en dan pas een wachtwoord vraagt. Openen, password proberen en sluiten, etc. Het maximaal aantal keren dat nodig is komt op 8 tot de macht 67 (3,2138760885179805510839241846823e+60). Deze staat in mijn online mailbox. Om erbij te komen heb ik alleen mijn wachtwoord nodig voor deze mailbox.

  • Hoi,

    Ik ben zelf fan van password managers. Ik gebruik zelf Roboform2Go, deze versie draait op een USB stick. De password lijst hierin is op verschillende manieren te versleutelen met een masterpassword. De USB stick zelf is natuurlijk ook te encrypten. Ook zonder encryptie heb je er niet veel aan als je de stick vind.

    Voordeel van de USB versie is dat je het op verschillende computers kunt gebruiken.

    In Roboform wordt de URL opgeslagen en als je die intypt herkent roboform de URL en cult de inlog gegevens in (of vraagt om dit te doen). Het pakket kan ook allerlei andere formuliervelden onthouden en in één keer een profiel invullen. Andersom, als je een nieuw formulier invult vraagt Roboform om de gegevens op te slaan. Zo krijg je ook een aardige historie van websites waar je je hebt aangemeld. Als je één en hetzelfde wachtwoord gebruikt of hetzelfde wachtwoord + een algoritme dan weet je nog niet waar je allemaal een account hebt. Het bijhouden in een eigen lijst vind ik zelf niet handig omdat ik ook een groot aantal profielen heb (fora, hyves, klantenservices, webwinkels, webmails etc..).

    Roboform2Go is er ook in een U3 versie. Als je een U3 stick hebt kan je Roboform in het U3 menu zetten. U3 heeft als voordeel dat het ook een encryptie heeft. Als je de USB stick dan ergens laat slingeren en iemand vind hem kan deze niet geopend worden. Er is dan ook niet te zien dat er een password lijst op staat en het meest denkbare scenario is dat de USB stick geformatteerd wordt met de nieuwste U3 software. Dan is de password lijst ook automatisch weg.

  • Ik gebruik al langere tijd Access Manager 2 van Citi-Software.
    Dit programma werkt met een master-password en slaat de gegevens op in een versleuteld database bestand.
    De userinterface is eenvoudig. Het programma biedt ook de mogelijkheid om passwords te genereren, of bv een link naar een ander document te leggen.

  • @ Peter de Boer (7 januari) “OA omdat je dan de passwords moet intypen, dat levert altijd gevaar op ivm eventuele keyloggers.”

    –> je dient toch ten alle tijden je machine schoon te houden van virus- en andere hack-, spy- en malware…
    Of je nou windows, mac, linux gebruikt… altijd blijven checken!
    Dan is het gevaar van keyloggers ernstig klein.

  • De beste methode vind ik beginletters van een zin nemen en dan een aantal tekens veranderen. Dan kun je heel gemakkelijk heel moeilijke wachtwoorden onthouden en ze zonder hulpmiddelen reproduceren.

    a1kZm!dWm2n

    Altijd is kortjakje ziek… 😉

  • Ik heb een tiental wachtwoorden op een A6je staan, met de betreffende site erbij, dat in een la bij de pc. Laatje open, even kijken en klaar is Kees.
    Dit is ook handig als er een vraag met antwoord gevraagd wordt, je bedenkt soms de grootste onzin met dito antwoord, en 2 dagen later ben je alles vergeten.

  • Ik gebruik voor de meeste wachtwoorden een standaarddeel van 6 karakters met hoofdletters, kleine letters en cijfers. Daaraan plak ik twee letters of cijfers die wat te maken hebben met dat waar ik op inlog, bijvoorbeeld GM voor GMail, TN voor Tweakers.net, LI voor Linked-In, etc. Zo heb ik toch verschillende wachtwoorden voor alle diensten zonder dat ik ze ergens op hoef te schrijven.

    Verder sla ik zaken zoals registratiecodes die ik vaak nodig heb, pin-codes en wachtwoorden die niet in mijn standaarschema passen allemaal op in de password keeper van mijn Blackberry. Altijd bij de hand en redelijk goed beveiligd.

  • Voor de Mac is er OnePassword. Daarin staan mijn 300+ gebruikersnaam- en wachtwoordcombinaties van honderden sites opgeslagen. Toegankelijk met één master password.

    Het programma genereert op verzoek ook ingewikkelde letter-en cijfercombinaties en onthoudt standaard invulgegevens (identities, bijvoorbeeld de zaak en privé-NAW-gegevens, maar ook credit card-gegevens) zodat je formulieren online met één klik invult.

    Als je op een site komt, herkent Onepassword de site en kun je inloggen, eventueel met een identiteit naar keuze (ik heb bijvoorbeeld 3 twitter-accounts, dus dan moet ik even de juiste kiezen uit het pull-down menu).

    Het is niet gratis, maar in tijd- en rompslompbesparing heb ik die paar tientjes al 100 keer terugverdiend.

  • Ik gebruik al een tijd SplashID, werkt op zowel iPhone, iPad en Mac, synchroniseren gaat prima en heb zo’n ruim 200 wachtwoorden lijd onder handbereik. Tot heden geen enkel probleem mee gehad. Wat mij betreft een aanrader.