Nieuwjaarsresolutie: jouw wachtwoorden in topconditie krijgen

Mocht er nog plek zijn op je lijst met nieuwjaarsresoluties, dan hebben wij een aantal tips over hoe je jouw wachtwoorden kunt verbeteren.

Velen van ons zijn 2019 in gegaan met nieuwjaarsresoluties. Meer bewegen, het minderen van ongezonde eetgewoonten en het besparen van meer geld zijn allemaal zeer respectabele doelen op zich, maar gaan ze ver genoeg? We leven in een tijdperk met ontelbaar veel apps en sites die schreeuwen om je te helpen met het behalen van jouw persoonlijke doelen, waarvan dus ook, je raadt het al, je goede voornemens voor het nieuwe jaar.

Wie superfit het nieuwe jaar in wil gaan, kan beginnen bij de basis door zijn gewoonten in voeding en conditie te verbeteren. Bij cybersecurity geldt dit ook en de basis hier zijn je wachtwoorden. Om je wachtwoorden in topconditie te krijgen, zijn hier een aantal tips om het nieuwe jaar cyber-fit te starten:

  1. Geen wachtwoorden, maar wachtzinnen

Wachtwoorden hebben een slechte reputatie, wat over het algemeen terecht is, want ze kunnen zwak bevonden worden in de zin van veiligheid en gemak. Zo blijkt uit onderzoek vorig jaar dat een grote hoeveelheid e-mailadressen en miljoenen wachtwoorden van Nederlanders op straat liggen. Ook de database met 772,9 miljoen unieke e-emailadressen en 21,2 miljoen unieke wachtwoorden die onbekende tijd openbaar online hebben gestaan, tonen aan dat een goede wachtwoordhygiëne belangrijk is. Wetende dat het niet veilig is, blijft veel van wat het internet aanbiedt echter afhankelijk van je aanmeldingen voor online services door middel van een gebruikersnaam en wachtwoordcombinatie als authenticatie.

Wachtwoorden worden vaak beschouwd als de eerste, helaas vaak de enige, beveiligingslinie die je virtuele en echte bezit beschermt tegen indringers. Wachtwoorden bieden echter niet veel bescherming, tenzij ze in de eerste plaats sterk en uniek zijn voor elk apparaat en account.

simple-login

Helaas is het voor velen nog onduidelijk wat een wachtwoord nou sterk maakt. Laten we daar duidelijk over zijn: Lengte! Maar hoe onthoud je een lang wachtwoord? En wat zou het makkelijker kunnen maken? Geen wachtWOORDEN, maar wachtZINNEN! Typische wachtzinnen zijn over het algemeen veiliger en gebruikersvriendelijker dan standaardwachtwoorden. Hoe langer de wachtzin en des te meer woorden, hoe beter. Start met zeven woorden voor een gezonde start.

Met elk extra karakter, om nog maar te zwijgen van woorden, stijgt het aantal mogelijke combinaties exponentieel, waardoor wachtwoord-krakende-aanvallen veel minder kans van slagen hebben. En wat online aanvallen bijna onmogelijk maakt is het onbeperkte lengte op de wachtwoordinvoer, maar dit komt helaas nog steeds veel te vaak voor.

  1. Niet zomaar wachtzinnen, maar unieke wachtzinnen

Een ander voorbehoud is om zinnen te vermijden die alledaags worden gebruikt, zoals volledige boeken, beroemde citaten, of songteksten. De afzonderlijke woorden moeten in willekeurige volgorde staan en aangevuld worden met speciale tekens en tekensubstitutie, terwijl ze tegelijkertijd een verborgen betekenis behouden voor de maker. Voor praktische richtlijnen over het maken van jouw wachtzinnen, kun je deze korte video raadplegen.

Vervolgens is het natuurlijk ook nodig dat elke wachtzin voor elk account verschillend is, zodat een lek van een van jouw wachtzinnen niet weerklinkt via je andere en mogelijk waardevollere accounts. Helaas, de gevaarlijke praktijk van het wachtwoord recycling is overal aanwezig, en aanvallers kunnen zonder twijfel misbruik maken met behulp van een geautomatiseerde techniek die bekend staat als ‘credential stuffing’.

Het is vrij waarschijnlijk dat je teveel online accounts gebruikt om een unieke wachtzin voor elk van hen te onthouden. In dat geval is het de moeite waard om een betrouwbare wachtwoordkluis of -beheerder te overwegen die jouw wachtwoordopslag versleutelt en veel van de pijn wegneemt die met wachtwoordbeheer gepaard gaat. Natuurlijk kan een dergelijke tool ook willekeurige en complexe wachtwoorden en wachtzinnen voor je genereren.

  1. Gebruik 2FA in combinatie met een hardware sleutel

Een ander probleem met wachtwoorden en wachtzinnen kan zich voordoen wanneer deze niet alleen de eerste, maar eigenlijk de enige verdedigingslinie voor jouw accountbeveiliging zijn. Wanneer die barrière afbrokkelt, vaak door een phishing-aanval of door aanvallers die op de een of andere manier je inloggegevens uitwerken, kan een extra authenticatiefactor die niet afhankelijk is van 'iets dat je kent', indringers verhinderen.

Twee-factor-authenticatie (2FA), of multi-factor-authenticatie (MFA), is een uitstekende manier om de veiligheid van je accounts te verbeteren. Dit geldt vooral in combinatie met hardware sleutels of speciale apps, en minder met SMS-gebaseerde 2FA. Hoewel veel online services 2FA-opties bieden, zijn er maar een paar die het gebruik ervan vereisen. De acceptatie van 2FA is echter in opkomst en het is nog nooit zo eenvoudig geweest. Ongeacht van de implementatie, het aanmelden voor 2FA waar mogelijk is, is de extra inspanning zeker waard, omdat het kan helpen in verschillende scenario's, waaronder wanneer je nooit ten prooi bent gevallen aan een cyberaanval die een van je wachtwoorden aantast.

Twee-factor-authenticatie (2FA), of multi-factor-authenticatie (MFA), is een uitstekende manier om de veiligheid van je accounts te verbeteren.

In feite is het zeer waarschijnlijk dat sommige van je authenticatiegegevens al worden gestolen en online worden geplaatst of beschikbaar worden gesteld voor de verkoop op ondergrondse marktplaatsen. De bron van deze wachtwoordlekken omvat de vele beveiligingsinbreuken die online services, detailhandelaren, hotelketens en dergelijke hebben aangetast.

Bovendien kan de gedupeerde entiteit de wachtwoorden van de gebruikers hebben beveiligd met zwakke hashings en functies. Het komt zelfs voor dat de wachtwoorden in platte tekst worden opgeslagen. Sterker nog, de serviceprovider, laat staan jezelf, weet misschien pas een hele tijd later dat hackers de vaak onvoldoende beveiligde gegevens hebben gestolen of ze hebben gekocht op het dark web. Dus je hebt geen kans om ad-hoc verdedigingsmaatregelen te nemen. Nogmaals, dit is ook waar de extra authenticatiefactor meestal pogingen tot overname van accounts zal dwarsbomen.

Vind je dit moeilijk te geloven? Ga je gang en kijk zelf op Have I Been Pwned? of een van jouw online accounts deel uitmaakt van een bekende overtreding. Afgezien van de bijna 5,7 miljard verdacht gemaakte accounts die de site indexeert, heeft deze ook een cache van meer dan een half miljard publiekelijk gelekte of gestolen wachtwoorden in duidelijke tekst die zijn onthuld in eerdere schendingen.

  1. Opschonen van ongebruikte accounts

Het gaat wellicht tegen je intuïtie in, maar het verbeteren van je wachtwoordveiligheid kan ook betekenen dat je sommige wachtwoorden niet nodig hebt. Dit houdt in dat je de banden met de services die je niet langer gebruikt, moet verbreken, zodat je hier geen rekening meer mee hoeft te houden. We hebben allemaal wel accounts aangemaakt die we niet langer gebruiken. Wellicht hebben we er in de loop van jaren wel een aantal gemaakt, waaronder enkele die we ons nauwelijks herinneren. Maar de zinspreuk 'het internet vergeet niet' past hier ook, en vergeten is ook iets wat je niet zou moeten doen.

Je vraagt je misschien af wat het probleem is van ongebruikte accounts. Het zit namelijk zo: Ook al is het maar een spoor van je veel jongere zelf, het kan een potentieel gevaar vormen. De service van dit account kan worden gehackt waardoor je wachtwoord inzichtelijk wordt of het kan worden verkocht aan nieuwe eigenaren wiens intenties niet altijd even eerlijk zijn. Een andere mogelijkheid is dat kwaadwillende je account overnemen en deze kunnen misbruiken om toegang te krijgen tot accounts waar je meer waarde aan hecht. Dit kan wellicht doordat ze meer privégegevens over jou hebben verzameld of omdat je niet voor elk account een unieke wachtzin gebruikt.

Schoon ongebruikte accounts op.

Maar wat niet bestaat, kan niet worden overgenomen, toch? Voel geen spijt: stuur die accounts naar een betere plek en kijk nooit meer achterom.

Er zijn zelfs diensten die beloven om je online voetafdruk, zonder dat je elke inactieve account handmatig moet terughalen of doorkammen, af te sluiten. Het gebruik van een service om online accounts te verwijderen is misschien niet voor iedereen weggelegd, omdat je in essentie de ontwikkelaars van deze tools op hun woord moet vertrouwen.

Terwijl je al bezig bent, overweeg ook meteen om verbindingen te verbreken met apps en services van derden die zijn gekoppeld aan je accounts op sociale en andere grote sites, met name de apps die je niet langer gebruikt. Deze apps kunnen ook worden misbruikt als andere toegangspunten voor ongeoorloofde gegevensverzameling of nog erger. Om hun toegang tot jouw account en gegevens te blokkeren, navigeer je naar de privacy- of beveiligingsinstellingen van jouw online service(s) naar keuze; vanaf daar duurt het meestal slechts een paar klikken.

Wat nu?

Veilig online blijven anno 2019 wordt niet eenvoudiger. Een goede basishygiëne is ontzettend belangrijk en daarbij is het grondig aanpakken van je wachtwoorden een hele belangrijke. We komen daarom binnenkort met meer tips om jouw persoonlijke security te versterken. Voor nu, veel succes en veiligheid toegewenst, en blijf vooral cyber-fit!