Over wachtwoorden

Over wachtwoorden...

...wordt veel gezegd en geschreven.

Er zijn ontwikkelingen op dit gebied waaruit blijkt dat wat vroeger slim werd gevonden, nu niet meer zo handig is. Helaas volgen veel bedrijven de ontwikkelingen niet zo goed, waardoor je op veel plaatsen nog geconfronteerd wordt met ouderwetse regels. Ook de adviezen zijn vaak tegenstrijdig. Zo adviseert Norton (van de virustester) om allerlei soorten telkens te gebruiken, terwijl bijvoorbeeld Lifehacker uitrekent dat een makkelijk te onthouden wachtwoordzin met minimaal 20 tekens en alleen Hoofd- en kleine letters veel moeilijker is te kraken dan een onbegrijpelijk, niet te onthouden wachtwoord van acht tekens lang.

Het gaat dus om de lengte, niet om (voor ons wel, maar niet voor computers) moeilijke symbolen.

Het wordt steeds makkelijker om wachtwoorden te kraken, gewoon doordat de computers steeds sterker en sneller worden. Was vroeger een wachtwoord van acht tekens lang veilig, tegenwoordig moet je er toch minimaal veertien gebruiken.

Wat zegt de wetenschap?

Dit is een link naar een college van de Universiteit van Nederland over wachtwoorden.

In het kort:

  1. Gebruik een wachtwoordbeheerder (Password manager).

  2. Laat die jouw wachtwoorden bedenken en opslaan.

  3. Gebruik voor het account van de wachtwoordmanager een zelf gekozen, lang, uniek wachtwoord. In het filmpje zie je daar een voorbeeld van.

Goede en slechte wachtwoorden

Goede wachtwoorden

  1. Drie of meer losse woorden die niets met elkaar en met jou te maken hebben, samen minimaal 20 tekens. Als het van de site moet, voeg dan een vreemd teken, getal en/of hoofdletter toe.

  2. Gebruik niet de naam van kinderen of huisdieren en niet het merk of model van de auto.

Voorbeeld: Pinda schroef 3 in de pan!
Dat zijn 25 tekens. Dat is nauwelijks te kraken.

Slechte wachtwoorden

  • Namen van kinderen, huisdieren, het merk of model van de auto,

  • geboorte- of trouwdatums,

  • eenvoudige 'geheimtaal' (e wordt 3, i wordt 1),

  • een rijtje toetsen op het toetsenbord,

  • .....

Tips om wachtwoorden maken en te onthouden

  1. Gebruik een wachtwoordbeheerder.

  2. Gebruik een wachtwoordbeheerder.

  3. Gebruik een wachtwoordbeheerder.

  4. Schrijft voor eventuele nabestaanden dat ene hoofdwachtwoord (van die wachtwoordbeheerder) op een papiertje, doe dat in een envelop en geef het aan die persoon in bewaring.

  5. Gebruik in ieder geval voor het account van de wachtwoordbeheerder twee-traps-beveiliging (zie hieronder). Met alleen het wachtwoord kan niemand dan iets beginnen.

Gebruik verschillende wachtwoorden. Echt!

Het is echt niet slim om hetzelfde wachtwoord voor meerdere accounts te gebruiken, zeker niet als daar geld of gevoelige gegevens mee gemoeid zijn.

Gebruik een wachtwoordbeheerder!

Ook hier rollen de specialisten over elkaar heen. Is de wachtwoordbeheerder van Chrome nu wel of niet veilig? Wat zijn goede of betere alternatieven?

Handig en makkelijk: Google

Mijn advies: iedere wachtwoordbeheerder is beter dan geen wachtwoordbeheerder. En Chrome is misschien niet de veiligste, maar is zeker niet onveilig. En het is makkelijk in gebruik. Je hoeft er niets voor te installeren, het is gratis en het werkt overal waar je met Chrome of Android werkt, ook op smartphone en tablet.

De instellingen voor Google-wachtwoordenbeheer vind je in de Chrome browser-instellingen (de drie puntjes rechtsboven in het venster).

Veilig, transparant en onafhankelijk: Bitwarden

Als je jouw wachtwoorden niet bij Google onder wilt brengen, is dit misschien iets voor je: Bitwarden. Het is een Open Source-systeem. Dit betekent dat iedereen de programmacode kan bekijken en dus kan controleren of er geen stiekeme dingen gebeuren of dat er achterdeurtjes in zitten.

  • De gratis versie is voor 'normale gebruikers' genoeg. Hij biedt onder meer:

    • Het opslaan van wachtwoorden in de webbrowser en in Android apps;

    • Het verzinnen van een wachtwoord;

    • Een extensie voor eenvoudig en snel wachtwoordbeheer;

    • Het automatisch invullen van de inloggegevens in de browser en Android apps;

  • Voor $ 10 per jaar krijg je de Premium Features. Die biedt daarbij nog:

    • Opslagruimte voor beveiligde bestanden (bijvoorbeeld een kopie van je rijbewijs).

    • Andere functies, meer voor specialisten.

  • Voor $ 1 per maand krijg je de Family Sharing waarbij maximaal vijf gezinsleden een account krijgen. Je kunt hier accountgegevens met elkaar delen. Handig als je een abonnement hebt op een digitale krant bijvoorbeeld.

Bitwarden werkt op alle soorten computers, smartphones en tablets (Windows, Linux, Mac, Android, iOS, Chromebooks) en in de meeste webbrowsers (Chrome, Edge, Firefox, Opera, Safari etc.).

Bitwarden slaat jouw gegevens op de Bitwarden servers op, maar je kunt er ook voor kiezen om ze op jouw eigen apparatuur op te slaan (niet voor leken).

Op de Chromebook kun je de Bitwarden extensie installeren, van waaruit je allerlei dingen kunt instellen en naar opgeslagen sites kunt gaan. Meer over extensies vind je op deze pagina.

Je kunt aangeven hoe wachtwoorden opgebouwd moeten worden: als willekeurige tekens of als woorden, al of niet aangevuld met cijfers en hoofdletters. Als je ook bijzondere tekens op moet nemen, doe dat dan als scheidingsteken.

Multifactorauthenticatie (MFA)

MFA is inloggen met een extra drempel. Dit maakt het lastiger om ergens in te breken als je alleen de inloggegevens van iemand weet.

Het idee is dat:

  • je iets wat je weet (inlognaam en wachtwoord) moet combineren met

  • wat je hebt (smartphone gekoppeld aan een mobiel nummer, e-mailadres, dongle) of

  • een specifiek gegeven (vingerafdruk, de plaats waar je bent, de tijdelijke code in een authenticatie-app).

Met alleen het wachtwoord kom je dus niet binnen.

Je kunt het anderen (maar ook jezelf) zo moeilijk maken als je wilt.

Bedrijven die gevoelige gegevens over jou opslaan, vragen of verplichten je om MFA te gebruiken. Voorbeelden:

  • De bank wil een pincode en soms ook gegevens van de digipas weten voor je geld kunt overmaken.

  • De belastingdienst wil dat je met DigiD inlogt.

  • DigiD vraagt vanuit de DigiD-app, code en een pincode.

  • Google, Microsoft en Facebook adviseren je om 2-staps authenticatie te gebruiken (een sms of een melding in de smartphone).

Wat is wijsheid?

Dat is een gewetensvraag. Je kunt het zo veilig maken als je wilt, maar het moet ook werkbaar blijven.
Zo zie ik mijzelf niet met een dongle (een soort usb-stick) werken.

Misschien vloek ik hier in de kerk, maar ik denk dat een sterk wachtwoord dat je kunt onthouden (en gezond verstand) soms beter is dan twee-trapsbeveiliging met een zwak wachtwoord.

Wat heb je eraan als je op vakantie bent, je smartphone kwijtraakt, op een vreemde computer in wilt loggen om de factuur en de polisgegevens van je Drive op te halen, en het systeem wil dat je op de verloren smartphone een knop indrukt? Pech! Heb jij het papiertje met noodcodes bij je? Ik niet...

Geef bij een account altijd alternatieve manieren aan om te verifiëren dat jij het bent. Zo kun je bij Google een telefoonnummer en een extra e-mailaccount opgeven.

Als je in kunt stellen dat je een waarschuwing krijgt als er op jouw account wordt ingelogd op een nieuw apparaat, zet dat dan aan. Zo krijg je snel een melding als er iets verdachts gebeurt.