Wie kent het niet? Je meldt je aan op het werk, thuis of bij een online dienst en het eerste dat wordt gevraagd zijn een gebruikersnaam en wachtwoord. Crap! Weer een wachtwoord dat ik moet verzinnen en onthouden… Weet je wat? Ik gebruik gewoon een wachtwoord dat ik al eerder heb gebruikt. Scheelt weer moeilijk doen. En dat is nu precies de reden dat er zo verschrikkelijk veel accounts gekraakt worden.
“Dat zal mij niet gebeuren”, hoor ik je denken. Ik durf te wedden dat de meeste mensen van wie het account gekraakt is precies hetzelfde dachten, in elk geval totdat ze gekraakt werden. En weet je nu wat het ergste is? Niet eens dat een vreemd iemand heeft zitten neuzen in e-mails, bankrekening(en) of persoonlijke gegevens. Nee, dat vind ik lang niet zo erg als het feit dat meer dan 90% van de mensen die ooit gehackt is binnen een jaar weer in zijn of haar oude patroon vervalt; wachtwoorden hergebruiken.
Waarom wachtwoorden?
Wachtwoorden – vaak in combinatie met een gebruikersnaam (dûh) – zijn bedoeld om ongewenste toegang tot (persoonlijke) gegevens te voorkomen. Eigenlijk heel logisch maar toch ook weer niet. Vraag je eens af waarom we wachtwoorden nodig hebben. Waarom kunnen mensen niet met hun fikken van andermans spullen afblijven? Het antwoord op deze vraag moet ik jullie helaas gedeeltelijk schuldig blijven. Gedeeltelijk? Ja, Gedeeltelijk omdat er één reden is: persoonlijk gewin. Zonder persoonlijk gewin – vaak op financieel vlak – hebben mensen geen reden om in te breken. Natuurlijk zijn er ook idealistische “hackers”, althans dat willen ze je graag doen geloven. Vaak zijn dit soort hackers mediageil en is hun motief aandacht en pers. Met deze aandacht kunnen ze hun behoefte vervullen en dus, ja daar is hij weer: persoonlijk gewin. Wachtwoorden zijn dus eigenlijk gewoon een vorm van sleutel, uniek voor iedere gebruiker, die verifiëren dat ze met een en dezelfde persoon te maken hebben. Met een wachtwoord bescherm je niet alleen de gegevens waar anderen niet bij mogen komen maar met name jezelf.
Een mooi praktijkvoorbeeld is dat van de docent die even weg moest uit de klas en – bewust of onbewust, dat laat ik even in het midden – zijn computer niet vergrendelde. Een “slimme” cursist nam toen snel even plaats achter deze computer en stuurde een seksueel getint mailtje naar een vrouwelijke cursist. Uiteraard diende deze vrouwelijke cursist een klacht in bij de school, waarop de docent op non-actief werd gesteld. Gelukkig kon de docent aantonen dat hij op het moment dat het mailtje verzonden was niet achter zijn PC zat, en heeft de cursist die het mailtje stuurde bekend. Als dit anders was gelopen had een (kleine) slordigheid de carrière van de docent – letterlijk met een druk op de knop – finaal aan gruzelementen gelegen. Nu lijkt dit een heel onschuldig grapje en het is gelukkig goed afgelopen. Dit toont echter wel het belang van het vergrendelen en met wachtwoorden beveiligen van gegevens.
Veilig versus onveilig
Hoe veilig jouw gegevens, accounts en computers zijn hangt af van de wachtwoorden die je gebruikt. Helaas komt het nog steeds té vaak voor dat mensen één wachtwoord gebruiken voor een gros aan accounts. Ik durf gerust te stellen dat als ik bij 80% van de gemiddelde gebruiker het wachtwoord weet voor de computer, dat ik dan meteen ook de e-mail kan lezen, Twitteren in zijn of haar naam en Facebook kan raadplegen. Tuurlijk, er zijn uitzonderingen. En dan bedoel ik met name de mensen die uit luiheid het wachtwoord dat ze bij het e-mail account kregen van de domeinnaam, deze nooit hebben gewijzigd, waardoor ze dus wel twéé wachtwoorden gebruiken. Wauw.
Het hergebruiken van wachtwoorden is om bovenstaande reden daarom ten zeerste af te raden, anders kan je net zo goed geen wachtwoord gebruiken. En gelukkig is dat meestal geen optie. Toch vervallen velen in het oude patroon. Een tijdje gaat alles goed, maar er worden wachtwoorden vergeten, men raakt ontmoedigd en vergeet dat er bijna altijd wel een manier is om het wachtwoord te achterhalen. Wees dus vooral niet bang een wachtwoord te vergeten, gebruik desnoods een wachtwoordkluis, maar zorg er voor dat je zoveel mogelijk unieke wachtwoorden verzint en gebruikt.
Wachtwoorden verzinnen
Een paar belangrijke gulden regels bij het verzinnen van wachtwoorden zijn deze:
- Gebruik NOOIT makkelijk te achterhalen gegevens. Namen van de kinderen, de vrouw, straat, huisnummer en postcode of zelfs de naam van de kat of hond zijn gemakkelijk te achterhalen. Ik hoef vaak maar de Twitter of Facebook van mijn “slachtoffer” door te bladeren, en ik heb al een hoop gegevens vergaard om eens wat te gaan proberen.
- Gebruik nooit wachtwoorden die uit louter woorden bestaan. De meest gebruikte aanval om wachtwoorden te kraken is de zogenaamde “dictionairy attack” (woordenboek aanval) waarbij alle woorden uit woordenboeken één voor één worden geprobeerd. Dit is een zeer snelle – en helaas vaak effectieve – vorm van hacken.
- Hoe complexer en langer het wachtwoord, des te lastiger te kraken maar overdrijf het ook niet. Een wachtwoord tussen de 8 en 15 tekens volstaat. Minder dan 8 tekens en het wachtwoord is te gemakkelijk te kraken, méér dan 15 tekens en de meeste versleutelingsmethodes hebben geen effect meer (die kijken alleen naar de 1e 15 tekens, alles wat je meer invoert wordt genegeerd).
- Gebruik nooit wachtwoorden met louter letters en/of cijfers. De tweede welbekende vorm van aanvallen zijn de zogenaamde “Brute Force” aanvallen. Deze gaan gewoon alle letters en cijfers af. ze beginnen bij “aaaaaa” en tellen dan via “aaaaab”, “aaaaac” en “aaaaad” door tot “999999”. Net zo lang tot ze het juiste wachtwoord te pakken hebben. Een hele botte aanval maar wederom – helaas – maar al te vaak zéér effectief.
- Gebruik hoofdletters, kleine letters, cijfers én leestekens. Zoiets als “GbZ2@8iU#$K” is lastiger te kraken dan “pandabeer”. Let wel: ik zeg “Lastiger”, onmogelijk bestaat helaas niet. Zoals gebruikelijk kun je het ze wel zo lastig mogelijk maken.
- Gebruik niet de “veel gebruikte wachtwoorden” als bijvoorbeeld: “Administrator”, “123456” of “admin01”. Dit klinkt cliché, maar helaas zijn er nog steeds veel “slimmeriken” die die doen.
Een goed wachtwoord verzinnen is eenvoudiger dan de meeste mensen denken, en het onthouden ervan kan net zo makkelijk zijn. Een goed uitgangspunt is de volgende formule:
- Neem een woord dat je makkelijk kan onthouden van 8-10 tekens.
- Vervang de eerste letter “e” voor “3”, “a”=>”4”, “i”=>”1”, en zo verder. Ik vervang hiermee letters voor cijfers die er ongeveer hetzelfde uitzien.
- Vervolgens kan je de letter “p” vervangen door “%”, “h”=>”#” (hashtag), “a”=>”@”, “s”=>”$”, et cetera. Ik vervang hier de overgebleven letters door leestekens door de beginletter van de naam van het leesteken te vervangen door het leesteken zelf. Zo wordt de letter “h” een hashtag (#), en de “o” wordt optellen “+” en bedenk zelf maar een logica die werkt voor jou.
- Zijn er nu nog gewone letters over? Laat deze dan afwisselend hoofdletters en kleine letters worden.
- Vermijd dubbele tekens in het wachtwoord, en al helemaal achter elkaar “@@” kan dus niet, doe dan liever “@a” of “@&”.
Do’s en Don’ts
Tot slot nog een paar nuttige tips wat je wel en absoluut niet moet doen, hierbij vat ik ook de bovenstaande tips nog even samen.
Do’s
- Gebruik een wachtwoord éénmalig. Behandel jouw wachtwoorden net als sleutels, dat zijn het tenslotte ook. Je hebt toch niet hetzelfde slot op de auto als op jouw huis? En op het werk kun je toch ook niet alle kasten en deuren met één sleutel openen?
- Gebruik, als je dat wilt, een wachtwoordkluis als keePass om uw wachtwoorden in de toekomst veilig te stellen.
- Maak gebruik van een versleuteld wachtwoordprogramma met een master-password. Zo hoef je dus eigenlijk maar 1 wachtwoord te onthouden om bij alle gegevens te kunnen komen.
- Maak wachtwoorden zo lang mogelijk. Hoe langer het wachtwoord, des te lastiger te kraken.
- Gebruik hoofdletters, kleine letters, cijfers én leestekens (A-Z, a-z, 0-9 en !@#$%^&*()_+-={}][;’:”,./`<>?).
Don’ts
- Schrijf wachtwoorden nooit op; ook niet in een (onbeveiligd) tekstbestand op de computer. Dan kan je net zo goed al je wachtwoorden op een papiertje onder je toetsenbord plakken. Zie mijn tip bij de do’s om hiervoor een wachtwoordkluis te gebruiken.
- Gebruik geen wachtwoorden met alleen letters of alleen cijfers.
- Laat je browser geen wachtwoorden onthouden zonder eerst een master-password in te stellen.
- Maak geen gebruik van (gratis) online-services die je aanbieden om wachtwoorden op te slaan. Je kan niet onder de motorkap kijken, dus je weet niet waar je aan begint.
- Gebruik NOOIT makkelijk te achterhalen gegevens. Namen van de kinderen, de vrouw, straat, huisnummer en postcode of zelfs de naam van de kat of hond zijn gemakkelijk te achterhalen.
- Gebruik nooit wachtwoorden die uit louter woorden bestaan.
- Probeer geen overduidelijk opvolgende wachtwoorden te gebruiken, bijvoorbeeld “opoe12”, “opoe13”, “opoe14”, etc.
- Vermijd dubbele tekens in wachtwoorden, en al helemaal als deze achter elkaar staan.
Comments are closed.