Wachtwoorden
Over wachtwoorden...
...wordt veel gezegd en geschreven.
Er zijn ontwikkelingen op dit gebied waaruit blijkt dat wat vroeger slim werd gevonden, nu niet meer zo handig is. Helaas volgen veel bedrijven de ontwikkelingen niet zo goed, waardoor je op veel plaatsen nog geconfronteerd wordt met ouderwetse regels.
Ook de adviezen zijn vaak tegenstrijdig.
Zo adviseert Norton↗ (van de virustester) om allerlei soorten telkens te gebruiken,
terwijl bijvoorbeeld Lifehacker↗ uitrekent dat een makkelijk te onthouden wachtwoord-zin met minimaal 20 tekens en alleen Hoofd- en kleine letters veel moeilijker is te kraken dan een onbegrijpelijk, niet te onthouden wachtwoord van acht tekens lang.
Het gaat dus om de lengte, niet om (voor ons wel, maar niet voor computers) moeilijke symbolen.
Het wordt steeds makkelijker om wachtwoorden te kraken, gewoon doordat de computers steeds sterker en sneller worden. Was vroeger een wachtwoord met acht tekens veilig, tegenwoordig moet het minimaal veertien tekens bevatten.
Wat zegt de wetenschap?
Dit is een link naar een college van de Universiteit van Nederland over wachtwoorden.
In het kort:
Gebruik een wachtwoordbeheerder (Password manager).
Laat die jouw wachtwoorden bedenken en opslaan.
Gebruik voor het account van de wachtwoordmanager een zelf gekozen, lang, uniek wachtwoord.
In het filmpje zie je daar een voorbeeld van.
Is mijn wachtwoord gelekt?
In juni 2021 bleek dat er een lijst is met 8,4 miljard(!) unieke wachtwoorden op het internet circuleert.
8,4 miljard gekraakte of gestolen wachtwoorden!
Het gaat om ruim 15 miljard accounts en om ruim 2,5 miljard unieke
e-mailadressen.
Controleer op de site van Cybernews.com↗ of jouw wachtwoord of
e-mailadres op een van die lijsten voorkomt.
Als dat zo is, verander dan meteen het wachtwoord bij dat account!
Goede en slechte wachtwoorden
Goede wachtwoorden
Drie of meer losse woorden die niets met elkaar en met jou te maken hebben, samen minimaal 20 tekens. Als het van de site moet, voeg dan een vreemd teken, getal en/of hoofdletter toe.
Gebruik niet de naam van kinderen of huisdieren en niet het merk of model van de auto.
Voorbeeld: Pinda schroef 3 in de pan!
Dat zijn 25 tekens. Dat is nauwelijks te kraken.
Slechte wachtwoorden
Namen van kinderen, huisdieren, het merk of model van de auto,
geboorte- of trouwdatums,
eenvoudige 'geheimtaal' (e wordt 3, i wordt 1),
een rijtje toetsen op het toetsenbord,
.....
Tips om wachtwoorden maken en te onthouden
Gebruik een wachtwoordbeheerder.
Gebruik een wachtwoordbeheerder.
Gebruik een wachtwoordbeheerder.
Gebruik verschillende wachtwoorden. Echt!
Het is écht niet slim om hetzelfde wachtwoord voor meerdere accounts te gebruiken, zeker niet als daar geld of gevoelige gegevens mee gemoeid zijn.
- het invoeren van een wachtwoord en een verificatiecode die naar een telefoonnummer is verzonden,
- het gebruik van een fysieke beveiligingssleutel of
- het scannen van een vingerafdruk of gezichtsherkenning.
Wat is wijsheid?
Dat is een gewetensvraag. Je kunt het zo veilig maken als je wil, maar het moet ook werkbaar blijven.
Zo zie ik mijzelf niet met een dongle (een soort usb-stick) werken.
Zorg er altijd voor dat je minimaal twee controlemiddelen hebt: een telefoonnummer en je e-mailadres.
Nóg veiliger is het om het telefoonnummer en e-mailadres van je partner op te nemen als alternatieve controlestap, voor het geval dat je jouw smartphone en/of laptop kwijtraakt.
Wat bijvoorbeeld als je op vakantie bent, je smartphone kwijtraakt, op een vreemde computer in wilt loggen om de factuur en de polisgegevens van je Drive op te halen, en het systeem wil dat je op de verloren smartphone een knop indrukt? Pech! Heb jij het papiertje met noodcodes bij je? Ik niet...
Geef bij een account daarom altijd alternatieve manieren aan om te verifiëren dat jij het bent. Zo kun je bij Google een telefoonnummer en een extra e-mailaccount opgeven.
Als je in kunt stellen dat je een waarschuwing krijgt als er op jouw account wordt ingelogd op een nieuw apparaat, zet dat dan aan. Zo krijg je snel een melding als er iets verdachts gebeurt.
De wachtwoorden op het apparaat laten versleutelen
Sinds januari 2023 kun je instellen dat de Google wachtwoordenbeheerder jouw wachtwoorden niet alleen bij Google zelf versleutelt, maar ook op jouw apparaat/apparaten.
Uitleg van Google
Als versleuteling op het apparaat is ingesteld, kunnen je wachtwoorden alleen op je apparaat worden ontgrendeld met je Google-wachtwoord of de schermvergrendeling van een geschikt apparaat. Als je versleuteling op het apparaat gebruikt, heeft niemand anders toegang tot je wachtwoorden.
Meer informatie hierover vind je bij Google↗.
Verificatie in 2 stappen (Multi Factor Authentication)
Een manier van inloggen die een stuk veiliger is dan alleen met een gebruikersnaam en wachtwoord is 2-Factor Verificatie (2FA), ook wel Multifactor Authentocatie genoemd.
Ik beschrijf dit op de pagina Verificatie in 2 stappen (2FA).
Nieuw: web authentication (webAuthn)
2FA is weliswaar veilig, maar niet heel erg gebruiksvriendelijk.
Google en de andere grote spelers op het internet zijn dit aan het veranderen: sinds mei 2023 kun je (voor jouw Google-account) toegangssleutels aanmaken.
Google doet dit voor je Google-account al automatisch op jouw Android-smartphone.
Het is een nieuwe manier van inloggen. Een manier waarbij je geen loginnaam, pincode en wachtwoord meer nodig hebt.
Deze manier van inloggen heet Web authentication. Op de pagina Over WebAuthn vind je daar meer over.