Al sinds we de noodzaak zien om onze gegevens te beschermen, gebruiken we hiervoor wachtwoorden. Vroeger kozen we iets wat makkelijk te onthouden was, zoals de naam van de kat, het kenteken van de auto of de geboortedatum van oma. Inmiddels weten de meeste gebruikers wel dat een wachtwoord als “minoes” niet voldoende veiligheid biedt.
Foto: David Goehring – CC BY-SA 2.0
In het digitale tijdperk hebben we steeds meer digitale bezittingen. Vakantie foto’s, dagboeken en allerlei documenten zijn nu vaak alleen maar digitaal en online opgeslagen. Daardoor zijn ook steeds meer van onze bezittingen niet meer beschermd door de voordeur van ons huis, maar door een wachtwoord. Daarom is het goed om dit minstens net zo serieus te nemen als het slot op de voordeur.
Regeltjes
De meeste sites en programma’s stellen allerlei eisen aan wachtwoorden om gebruikers te beschermen tegen een foute wachtwoord keus. Een minimumlengte, wat leestekens en hoofdletters en nog wat nummers. Daarnaast wordt nu vaak geëist dat het wachtwoord geregeld wordt gewijzigd. Waar zijn al die regeltjes voor en waar beschermen ze nou eigenlijk tegen?
Foto: Lachlan Hardy – CC BY 2.0
Hackers die wachtwoorden kraken
Iemand die onrechtmatig toegang probeert te krijgen tot een systeem noemen we meestal een hacker. In sommige gevallen kan een hacker toegang proberen te krijgen door simpelweg de gebruikersnaam en het wachtwoord in te voeren. Uw gebruikersnaam is meestal uw emailadres en openbaar bekend, maar hoe weet hij dat wachtwoord?
Een veel voorkomende methode voor het kraken van een wachtwoord is de ‘woordenboek’-aanval. De aanvaller gebruikt dan een lijst met veelvoorkomende wachtwoorden, soms in combinatie met een regulier woordenboek en probeert deze allemaal uit. Doordat een aanvaller deze wachtwoorden niet via het toetsenbord intypt, maar via een computerprogramma stuurt, kan hij of zij er duizenden per seconde uitproberen. Op die manier vallen wachtwoorden als ‘minoes’, ‘zegikniet’ en ‘geheim’ al heel snel door de mand. Ook variaties van deze wachtwoorden worden uitgeprobeerd. dus ‘Minoes’, ‘Minoe$’ en ‘Minoe$123’ zijn ook snel genoeg gevonden. Nog makkelijker wordt het als de aanvaller u persoonlijk kent, en de namen van uw huisdieren en naasten te weten is gekomen. Die namen en geboortedata worden dan als eerste uitgeprobeerd. Zelfs zonder die persoonlijke gegevens zal een gedreven hacker dit soort wachtwoorden in een dag of 2 kraken.
Wat kunT u hier tegen doen?
U kunt het een kwaadwillende partij behoorlijk lastig maken om uw wachtwoord te raden, Om een sterk wachtwoord te hebben moet deze 12 of meer tekens lang zijn, geen woorden bevatten. Door een aantal eenvoudige zaken toe te passen kunt u een enorm sterk wachtwoord maken dat ook nog eens eenvoudig te onthouden is.
Als mensen zijn we heel goed in het onthouden van patronen en verhalen, maar niet zo goed in willekeurige reeksen cijfers en letters. In 2011 beschreef Randall Munroe een systeem voor sterke wachtwoorden, die voor mensen goed te onthouden zijn. In plaats van een willekeurige reeks van 12 hoofdletters, kleine letters, cijfers en leestekens, kiest u een willekeurige reeks van 2-5 woorden. Zorg dat dit minstens 12 tekens zijn, en hoe meer verschillende woorden u kiest, hoe sterker het wachtwoord. Bij voorkeur zijn 1 of meer van die woorden in een andere taal, of verzonnen woorden. De cijfers stoppen we ergens in het midden. Bijvoorbeeld:
theemuts, naboo, gratis.In uw hoofd maakt u een verhaaltje met deze woorden. “Een theemuts op Naboo is gratis”. Als wachtwoord nemen we:
theemutsnaboogratisDoor dat verhaaltje is dit wachtwoorden al een stuk makkelijker te onthouden dan bijvoorbeeld “3heDre2&BecU”. Vervolgens plaatsen we in deze zin, zomaar ergens een hoofdletter. Dat mag overal, maar niet op het begin.
theemutsnaBoogratis
Dit wachtwoord noemen we uw hoofdwachtwoord. Hij is nog niet helemaal klaar, maar deze moeten we goed onthouden. U kunt deze tijdelijk ergens op een papiertje schrijven, maar vernietig dat papiertje over een week. Sla dit wachtwoord nooit op in een bestand. Een goede manier om het te onthouden, is om een tekstverwerker (zoals Kladblok of Word) te openen, en het wachtwoord 20 keer in te typen, terwijl u het verhaaltje in uw hoofd opleest. Dan gaat u een half uurtje iets anders doen en doet u nog een ronde van 20 wachtwoorden. U zult zien dat u steeds sneller gaat typen en steeds minder moeite hebt met het onthouden. Let wel op dat u dit tekstbestand na het oefenen NIET OPSLAAT.
Hergebruik van wachtwoorden
Als u eenmaal een complex wachtwoord heeft bedacht en onthouden, is de verleiding meestal groot om dit wachtwoord te gebruiken voor alle systemen waar u gebruik van maakt. Dat zou een vergissing zijn, en verspilling van alle moeite die we hebben gedaan. Het komt geregeld voor dat sites waar u misschien een account op hebt worden gehackt. Als dit gebeurt is de kans aanwezig dat het wachtwoord dat u voor die site gebruikte bekend wordt. In 2014 lekte Yahoo! op die manier 500 miljoen gebruikersnamen en wachtwoorden uit. Als u in 2014 een Yahoo! account had met hetzelfde wachtwoord dat u nu gebruikt voor andere sites, is het raadzaam om dat wachtwoord snel te wijzigen.
Om te zorgen dat we voor elke site een ander wachtwoord hebben, gebruiken we kleine toevoegingen op het hoofdwachtwoord, die per site verschillen. Voor elke site kiest u een reeks tekens die u voor en achter uw wachtwoord zet, waarbij u altijd zorgt voor een cijfer en een leesteken. Bijvoorbeeld:
Facebook Ervoor: Fb123 Erachter: @ Totaal wachtwoord: Fb123theemutsnaBoogratis@
Twitter Ervoor: T# Erachter: 52 Totaal wachtwoord: T#theemutsnaBoogratis52
U kunt de stukjes die bij “Ervoor” en “Erachter” staan, veilig noteren in een boekje of papiertje. Als het hoofdwachtwoord maar nooit wordt uitgeschreven. Op die manier kunt u heel veel wachtwoorden bijhouden op papier.
Tot slot
Inderdaad, bovenstaande stappen zijn een stuk meer moeite dan gewoon ‘Minoes’ als wachtwoord blijven gebruiken. Echter is zo’n wachtwoord in de moderne wereld net zoiets als een kartonnen voordeur. Het houdt de tocht een beetje tegen, maar iedereen die wil komt zomaar binnen. Neem je digitale gegevens serieus en bescherm ze. Een sterk wachtwoord is geen garantie voor totale veiligheid, maar het is een goede eerste verdedigingslinie.
*
#spearphishing #wachtwoordsterkte #spearfishing #wachtwoord #security #woordenboekaanval #veiligheid #wachtwoordbedenken #randallmunroe #onlinewachtwoordcheck #xkcd #sterkewachtwoorden #spearfishing #tipsvoorwachtwoorden #onlinesecurity #leestekens #spearphishing #beveiliging #hackers #minimumlengte #hack #digitalisering #wachtwoordsterktetesten #wachtwoordaudit #wachtwoordcontroleren