Op 24 november is het sinds enkele jaren de nationale “Verander Je Wachtwoord Dag”: een initiatief dat het leven is ingeblazen door onze vrienden bij Tweakers.
Met deze zogenoemde awareness-dag voor wachtwoorden willen ze ons er attent op maken om regelmatig onze wachtwoorden te veranderen. Hierbij uiteraard het liefst ook overal een uniek wachtwoord.
In theorie lijkt dit logisch, maar de realiteit staat hier soms iets verder vanaf…
1. Oude wachtwoorden
We kennen allemaal wel iemand wiens wachtwoord al jaar en dag ongewijzigd is. Dat is jammer genoeg ook vragen om problemen op het internet.
Als we dit pensioengerechtigde wachtwoord combineren met een gekend e-mailadres en gebruiken op verscheidene websites/accounts, dan komen we soms voor minder aangename verrassingen te staan.
Probeer je die website te herinneren waar je 10 jaar geleden een account op hebt gemaakt, bijvoorbeeld Netlog, Myspace of Napster. Lukt dit niet direct? Dat is perfect normaal; als het iets klein was, is de kans ook heel groot dat deze website is opgedoekt en de data (waaronder jouw accountgegevens) aan de hoogste bieder werd verkocht. Soms zijn er hackings op databanken van websites/services waar jouw accounts bij horen: zo komen mensen met slechte bedoelingen aan een wachtwoord met jouw naam erbij!
Een bijkomende zwakte van oudere generaties accounts is dat er vaak een recovery-systeem actief was met de bekende security-vragen, waaronder “wat is de naam van je eerste huisdier” en “wat is de oorspronkelijke familienaam van je moeder”.
Deze soort ‘veiligheidsvragen’ zijn sinds de komst van sociale media, waar iedereen volop informatie plaatst, steeds minder relevant geworden. Ze zijn zelfs een extra methode om het (mogelijks veilige) wachtwoord te omzeilen.
Om de proef op de som te nemen met de oude wachtwoorden en accounts is er een handige website die kan nagaan of er een wachtwoord voor je mail-account ergens gekend is. Op deze website kun je controleren of er ooit een zogenoemde ‘breach’ is geweest van een website/database met jouw mail-account. Je kunt zo ook zien welk wachtwoord hierbij gebruikt was.
Hopelijk vind je hier niets, in het andere geval is het hopen dat het een oud wachtwoord is wat je al jaren niet meer (her-) gebruikt op je accounts.
2. Sterke wachtwoorden
Wachtwoorden veranderen is iets dat binnen bedrijven al vaker verplicht doorgevoerd wordt: zo zorgen we ervoor dat we minder vatbaar zijn voor de ‘breaches’ zoals eerder aangehaald. Dit nobel doel wordt soms door onszelf onderuitgehaald.
Volgens onderzoek van de London Daily eind 2022 is wachtwoorden wijzigen, ondanks het feit dat het slechts gemiddeld 3 minuten 45 seconden duurt om een veilig wachtwoord in te stellen, één van de meest gehate taken.
De praktijk leert ons dat we bij vervelende klussen snel uitstelgedrag vertonen en van nature een beetje lui zijn en de kortste weg zoeken.
Als we toch altijd een nieuw wachtwoord moeten maken… dan kunnen we evengoed telkens een extra getalletje toevoegen (passwoord1234, passwoord12345, …) of een variatie nemen op het vorige wachtwoord, toch?
Het kan, maar echt veilig is het niet.
Een goed wachtwoord zou volgens sommige onderzoekers minstens 13 karakters lang moeten zijn, zowel grote als kleine letters bevatten, cijfers gebruiken én speciale karakters implementeren.
Wat de onderzoekers in gedachten hebben is iets willekeurigs gegenereerd zoals “!UM8u*kgkj5pv”. Super veilig! Zo veilig dat we het zelf niet goed kunnen onthouden.
De oplossing voor dit euvel is de wacht-zin: een wachtwoord bestaande uit enkele willekeurige woorden die je goed kunt onthouden. “Tarzan_50_Konijn!” bestaat uit 17 karakters, dus is langer dan de “!UM8u*kgkj5pv”, bevat de volledige complexiteit maar toch makkelijker te onthouden.
Een veiliger wachtwoord dat makkelijker te gebruiken valt: ideaal dus.
En toch lijkt het niet logisch dat dit veiliger is: we kunnen het makkelijker lezen en onthouden, dus het zal toch makkelijker te kraken zijn?
De veiligheid is eigenlijk een kwestie van lengte en een beetje wiskunde.
Ons alfabet heeft 26 tekens die een computer kan proberen te gebruiken: elk karakter in ons wachtwoord heeft dus 26 verschillende pogingen voor de computer om te proberen, maar zodra we er de hoofdletters bijrekenen komen we al op 52, dan de cijfers voor een totaal van 62, … we zitten al snel aan grote hoeveelheden aan mogelijkheden om te proberen bij een “brute-force” (hardnekkig proberen van combinaties) van de computer. Voeg je er alle mogelijke leesbare speciale karakters aan toe, dan kom je al snel in de buurt van 94 mogelijke tekens. Combineer je dit alles met de lengte van je wachtwoord, bijvoorbeeld 17 karakters, dan krijg je dus een astronomisch aantal (9417) mogelijkheden waar een computer door moet vooraleer hij jouw paswoordcombinatie kan vinden.
Gekende woorden/wachtwoorden of citaten zal een hacker ook proberen te gebruiken. Daarvoor gebruiken ze zogenaamde “dictionary-attacks” of woordenboek-aanvallen. Gebruik daarom bij voorkeur een combinatie van willekeurige woorden. Als je wachtwoord telkens willekeurige woorden gebruikt, wordt het heel lastig om het met deze methodes te kraken.
Als laatste tip voor een goed wachtwoord kunnen we onze leerkrachten Nederlands even het angstzweet doen uitbreken: Dialect en foute spelling is hier een sterkte!
“NeGoeieFrutSpeciaal!KomdeIeveraanselNiTegen” is hopelijk nog leesbaar voor de Kempenaren onder ons, maar met zijn 43 karakters enorm veilig en tevens niet te kraken door een woordenboek-aanval.
Wil je graag testen hoe veilig een (potentieel) wachtwoord is? Via deze website kun je een indicatie krijgen van hoe lang een hacker er ongeveer over zou doen om het te kraken.
3. Wachtwoordkluizen of password-managers
We krijgen vaak van klanten en kennissen de vraag: “Waarom zou je op ALLES een ander, uniek wachtwoord willen gebruiken? Geen mens kan dat toch allemaal onthouden?”.
Hierop geven we altijd hetzelfde antwoord: “Inderdaad”.
Tegenwoordig staan we op vlak van account-bescherming een pak verder dan vroeger en zijn er handige hulpmiddelen om deze wachtwoorden bij te houden op een veilige manier.
Wachtwoordkluizen kunnen, met behulp van een zogenoemd “Master-wachtwoord”, een hoop wachtwoorden bijhouden.
Door het gebruik van één wachtwoord om toegang te krijgen tot alle andere wachtwoorden is het dan ook van belang om geregeld het “Master-wachtwoord” te wijzigen. Doorgaans bevat een moderne “password-manager” ook de mogelijkheid om zelf wachtwoorden te genereren. Zo hoef je niet telkens zelf een wachtwoord uit te vinden voor de verschillende toepassingen waarvoor je een wachtwoord gebruikt.
De password-managers of wachtwoordkluizen die tegenwoordig vaak worden gebruikt zijn op zich enorm veilig: bekijk het als een kluis bij een bank waar verscheidene mensen hun geld of waardevolle spullen onderbrengen. Het is een pak lastiger om (als hacker) in een kluis binnen te raken dan de post-it van iemands bureau te lezen.
Enkele goede starters voor persoonlijke gebruik om naar te zoeken zijn een Keepass of Bitwarden.
Voor klanten van CISA hebben we bedrijfsspecifieke oplossingen met nog heel wat extra mogelijkheden beschikbaar. We kunnen ook bijspringen met aanvullende infosessies en assistentie bij de opzet van het systeem zodat iedereen er vlot mee overweg kan.
4. Multi-factor Authenticatie (MFA)
Bij de meeste wachtwoordkluizen is er naast het master-wachtwoord ook een bijkomende vereiste: de Multi-factor authenticatie. Hierbij zal er bij een aanmeldpoging ook een extra code nodig zijn om je aan te melden. Die code kan je bezorgd worden via mail of sms naar jouw opgegeven e-mailadres of telefoonnummer, of je krijgt de code via een app of een ander toestelletje.
Deze extra stap laat je pas aanloggen als je met een extra methode kunt aantonen dat je ook werkelijk de persoon bent die toegang mag krijgen tot het account.
Om het simpeler te brengen: als je buurman het wachtwoord tot je account weet, kan hij nog altijd niet aanloggen tenzij hij ook toegang heeft tot je (hopelijk vergrendelde) telefoon.
Mocht je toch onverhoopt je smartphone kwijtraken, weet dat je doorgaans ook een back-up methode hebt om je identiteit als extra stap aan te tonen.
Is MFA dan iets nieuws op vlak van security? Neen: we gebruiken al langer een eID met kaartlezers, bankkaarten die fysiek in een toestel gestoken worden, een bijkomende vingerafdruk- of gezichtsherkenning om ons via onze telefoon toegang te geven tot allerlei toepassingen.
Hierbij komt het telkens op hetzelfde neer: iets dat uniek is aan jou. Je buurman heeft immers niet dezelfde identiteitskaart, vingerafdruk of gezicht.
5. Waar gaat het in de toekomst met onze wachtwoorden naartoe?
Zoals eerder in het artikel aangehaald is het wijzigen van wachtwoorden één van de meest gehate klussen waar gebruikers zich mee geconfronteerd zien. Ook de uitgevers van hard- en software hebben deze boodschap opgepikt. Samen met de zoektocht naar nog veiligere methodes om te controleren of de persoon achter de knoppen wel degelijk de persoon is die hij zegt te zijn, wil men ook het gebruiksgemak en de gehate taak van het wijzigen en kiezen van een nieuwe wachtwoord uit de wereld helpen.
Daarom zet men vandaag in op de “passkey”. Deze relatief jonge inlogmethode steunt op biometrische verificatiemiddelen zoals gezichtsherkenning / gezichtsuitdrukking of vingerafdrukken, al dan niet gecombineerd met een pincode. De lijst aan systemen en websites is vandaag nog eerder beperkt tot de bekende spelers (Microsoft Windows 11, Google, Paypal, Adobe,…) maar vindt steeds meer aanhang. Het werkt een beetje zoals de wachtwoordkluis alleen wordt het wachtwoord wat tussen beide systemen uitgewisseld wordt (de passkey) gegenereerd door het systeem zelf en blijft deze in theorie voor de gebruiker onzichtbaar: het enige wat de gebruiker moet doen, is zich aan zijn toestel “kenbaar” maken door gezichtsherkenning, vingerafdruk en/of pincode. Vergelijk het met hoe je je aanmeldt via Itsme, maar dan op je computer.
6. Besluit
De cybersecurity-wereld is enorm ver gevorderd en het veilig houden van je data op computers en andere toestellen is iets waar software zeer sterk in geworden is. De zwakke schakel is steeds vaker de ‘human factor’; menselijke fouten met menselijke gevolgen. Ondanks het feit dat software uitgevers steeds meer inzetten op inlog technologieën waar we niet langer wachtwoorden voor moeten verzinnen, zal er nog vele jaren software op de markt zijn waar je een klassiek wachtwoord voor nodig hebt. Om die sites of software veilig te houden is een goede wachtwoord-hygiëne van groot belang. Bekijk het als volgt: “Wachtwoorden zijn als ondergoed”, regelmatig verversen, laat ze nergens rondslingeren en deel ze niet met vrienden en we houden er niet van dat ze op internet ten toon gezet worden…
Samengevat in 5 tips:
- Kies voor een langer wachtwoord op basis van een gemakkelijk te memoriseren zin die geen citaat is. (dialect en schrijffouten zijn voor één keer een plus!)
- Deel zo weinig mogelijk jouw wachtwoord en wijzig je wachtwoord nadat je het met iemand gedeeld hebt.
- Probeer voor elke site / software een ander wachtwoord te gebruiken en laat je hierbij assisteren door een password-manager of wachtwoordkluis met meervoudige beveiliging.
- Wijzig je wachtwoord(en) minstens jaarlijks en liefst sneller
- Versterk je wachtwoord(en) waar mogelijk door het inzetten van bijkomende beveiligingstechnieken zoals de MFA (Multi Factor Authentication) waarbij er een extra bewijsmiddel gevraagd wordt om je identiteit aan te tonen.
We hopen dat na het lezen van deze post een nieuwe golf van wachtwoord-hygiëne komt en de accounts van onze lezers net weer wat veiliger worden. Geef hackers geen kans om er met jouw identiteit vandoor te gaan!
