Veilige wachtwoorden

In een eerder blog heb ik geschreven over de functie van wachtwoorden en het nut van een password-manager zoals Keepass. In dit blog beschrijf ik wat veilige wachtwoorden zijn en wat het belang hiervan is.

Waarom een wachtwoord?

In mijn blog over het waarom van een wachtwoord beschrijf ik het nut van wachtwoorden als het gaat om de bescherming van jouw identiteit. We gebruiken diverse diensten die tegenwoordig zo belangrijk voor ons zijn, dat we zeker moeten weten dat ze ook alleen door onszelf gebruikt worden. Bedenk hierbij dat het beschermen van jouw e-mailadres belangrijker is dat het beschermen van jouw bankrekening. Fraude met jouw bankrekening is, op een eigen risico na, verzekerd. Fraude met jouw e-mailadres kan je de rest van je leven blijven achtervolgen en onherstelbare schade veroorzaken.

Wat is een veilig wachtwoord?

Een veilig wachtwoord is complex en uniek. Om met het laatste te beginnen. Het wachtwoord moet voor jou in ieder geval voor iedere dienst of account uniek zijn. Gebruik nooit op meer plaatsen hetzelfde wachtwoord, hoe complex dat wachtwoord ook is. Het komt vaak voor dat hackers in staat zijn om e-mailadressen en wachtwoorden bij een dienst te achterhalen. Bij dergelijke voorvallen vindt er een golf van nieuwe hackpogingen plaats om met de e-mailadressen op nieuwe plaatsen toegang te krijgen. Deze vorm van fraude komt het meeste voor.

Daarnaast moet een wachtwoord complex zijn. Op internet circuleren diverse grote databases met gebruikte wachtwoorden. Een bekend voorbeeld is de RockYou dataset. Deze set komt van een bedrijf dat tot eind 2009 verschillende spelletjes exploiteerde op MySpace en Facebook. De inloggegevens tot het spelletjesaccount bleken onbeveiligd in een database te zijn opgeslagen en werden gestolen. Het gevolg was dat 14.341.564 unieke wachtwoorden op straat kwamen te liggen. Tot op de dag van vandaag is deze dataset een handig hulpmiddel voor hackers om wachtwoorden te ‘raden’. Bij de analyse van het account met de wachtwoorden werd geconstateerd dat de bovenste 10.000 wachtwoorden voor 99,8% van de accounts werd gebruikt. Hieruit valt af te leiden dat een complex wachtwoord tenminste niet in deze lijsten te vinden mag zijn.

Hoe werkt een hacker?

Het hacken van wachtwoorden gebeurt door miljoenen combinaties per seconde te testen. Hierbij maken hackers eerst gebruik van de hierboven genoemde datasets en woordenlijsten. Accounts die dan nog niet gekraakt zijn worden onderworpen aan diverse woordenboeken. Zijn er dan nog accounts over dan worden de woordenlijsten aangepast door letters te veranderen in cijfers en tekens en door er cijfers en tekens aan toe te voegen.

Als een bedrijf de beveiliging goed heeft ingericht, dan zal hier een systeem ingebouwd zijn dat het aantal inlogpogingen op een account beperkt. Zo kan het dan zijn dat de gebruiker na 3 pogingen 20 minuten moet wachten om opnieuw te proberen. Deze werkwijze is effectief voor een individuele bescherming.

Een hacker die bij een bedrijf de inloggegevens heeft buitgemaakt en de beschikking heeft over de versleutelde databestanden heeft echter deze beperking niet en kan wel gemakkelijk de miljoenen combinaties per seconde uitproberen om de versleuteling te doorbreken. Vooral met de 10.000 bekende wachtwoorden is dit meestal geen groot probleem.

Hoe maak je een veilig wachtwoord?

De beste manier is om één wachtwoord of wachtzin te bedenken die niet bestaat. Dit wachtwoord wordt de beveiliging voor jouw password-manager (bijvoorbeeld Keepass). Al de andere wachtwoorden die je voor al jouw accounts en diensten moet gebruiken laat je aanmaken door jouw password-manager. Liefst woorden van 12 tot 16 tekens. Iedere goede password-manager kent de mogelijkheid om wachtwoorden aan te maken, waarbij je vaak ook kunt opgeven hoe deze wachtwoorden moeten worden opgebouwd. Als je vervolgens zorgt dat jouw password-manager op al jouw apparaten kan werken, dan hoef je de wachtwoorden ook nooit meer over te typen, maar kun je deze gemakkelijk met kopiëren en plakken invullen.

Bij het aanmaken van een nieuw account, waarbij je weet dat je inloggegevens moet verzinnen, is het een goede werkwijze om dat account van tevoren in de password-manager aan te maken zodat je in ieder geval het wachtwoord al klaar hebt staan om in te vullen.

Op deze manier is het beheren van, zoals in mijn geval, 680 accounts, niet meer werk dan het beheren van 30 accounts.

Waarom zoveel moeite?

Los van de vraag of het wel veel moeite is, is deze manier van beveiligen noodzakelijk. Bij het beveiligen van jouw gegevens is nog een partij betrokken en dat is het bedrijf of de website waar jij het account aangemaakt hebt. Zij hebben een verplichting om jouw gegevens veilig op te slaan, maar ook daar werken nu eenmaal mensen die een foutje kunnen maken. Afgelopen jaar werd het hostingbedrijf waar de servers voor mijn websites staan, getroffen door een inbraakpoging. Omdat niet kon worden uitgesloten dat gegevens van e-mailadressen en wachtwoorden waren gestolen, werd besloten om alle wachtwoorden van de e-mailaccounts te resetten. Voor mij geen probleem om in mijn bestanden enkele 10-tallen nieuwe wachtwoorden aan te maken. En omdat ik weet dat mijn wachtwoorden uniek zijn, hoef ik niet bang te zijn dat mijn gegevens op andere plaatsen gebruikt worden. Maar, die website-eigenaren die wel dezelfde wachtwoorden op verschillende plaatsen gebruiken, hadden een heel erg groot probleem. Op dat moment waren al hun accounts bij heel veel diensten in één klap in gevaar. En misschien is het grootste probleem dan wel dat je niet meer weet op welke plaatsen je een account hebt aangemaakt. De schade die dan ontstaat is enorm en staat in één keer niet meer in verhouding tot het beetje extra werk dat je kunt doen om je wachtwoorden te beheren in een password-manager. Heb je nog geen password-manager of gebruik je hem nog niet voor al jouw logingegevens, lees dan mijn artikel over Keepass nog een keer. Doe die moeite en maak jouw internetgebruik veilig.