tips voor wachtwoorden

Security Online - 10 Gebruiker Tips

security tips voor gebruikers

Security is belangrijker dan ooit, en terecht. Het nieuws staat regelmatig bol met de zoveelste datalek of kritieke beveiligingsissue. Als SaaS leverancier is het onze verantwoordelijkheid om te zorgen voor de juiste organisationele en technische maatregelen ter bescherming. Daarmee komen we in heel eind in het veiligstellen van je data. Maar als gebruiker heb je ook een verantwoordelijkheid hierin. 

Soms kunnen datalekken ontstaan en virussen propageren door fouten van gebruikers. Hier zijn enkele simpele tips die als gebruiker een hoop ellende kunnen besparen.

  1. Datalek op papier - Een datalek op papier komt vaker voor dan je zou denken. Ondanks de toenemende digitalisering keert de verleiding en soms ook de noodzaak om iets te printen steeds weer terug. Zorg als gebruiker er dus voor dat je al je papier vernietigd en niet zomaar bij het oud papier zet. Laat ook nooit een adressenlijst rondslingeren op kantoor. Wees hier zorgvuldig mee.

  2. Opgepast, cryptolockers! - Bepaalde virussen (ook cryptolockers genoemd) worden verspreid door eenvoudige alledaagse documenten zoals een pdf file of word document als een bijlage in een email. Open nooit zomaar dit soort documenten als je deze ontvangt. Wees kritisch, een gezonde dosis argwaan kan veel schelen. Wie is de afzender? Is het noodzakelijk om dit document te openen? Zorg voor een up-to-date virusscanner en download geen documenten uit onbekende bronnen. 

  3. Beveiligde verbinding - Zorg ervoor dat als je interactieve webforms hebt op je website, dat de site https (vb: https://example.com vs. http://example.com) beveiligd is. Als dit niet zo is kan er in principe door ongewenste derde partijen over je schouder mee worden gekeken. Mocht je dit zelf niet kunnen vraag het dan aan je websitebeheerder/bouwer. Die zou dit eenvoudig moeten kunnen regelen. Ook voor je Google ranking is dit van belang.

  4. Webcam afdekken - Het is verstandig om de ingebouwde webcam op je laptop/pc af te dekken. Weliswaar is de kans klein maar om te voorkomen dat iemand toch via je webcam meekijkt is het handig om deze af te dekken als je deze niet gebruikt.

  5. Encryptie - Pas op met het bewaren van persoonsgegevens op een USB stick, laptop of ander medium. Als je dit doet zorg er dan voor dat het medium minstens met alleen met een wachtwoord toegankelijk is. Nog beter is het als het medium geheel encrypted, met andere worden versleuteld wordt. Er zijn diverse online tools om dit te doen. Onze tip voor je organisatie: Veracrypt.  

  6. Verdachte links - Klik niet zomaar op links in mails en vul nooit je wachtwoord zomaar ergens in. Het lijkt logisch maar toch gebeurt het te vaak, zelfs op hoog niveau met grote gevolgen.

  7. Screenshots - Pas op met het versturen van screenshots. Op een screenshot kan onbedoeld gevoelige informatie zitten, bijvoorbeeld wachtwoorden, persoonsgegevens of geheime bedrijfsinformatie. Dit is het ook geval met foto's.

  8. Lockscreen - Als je je werkplaats verlaat zet je scherm op slot (Windowstoets+L). Extra bonus is dat je collega's niets kunnen uithalen met je pc ;-)

  9. Two factor authentication - Onze software maakt gebruik van two factor authentication. Dit betekent dat er een extra stap nodig is voor toegang tot de software naast een correct wachtwoord invullen. Je krijgt dan een extra token of code die je moet invullen. Af en toe moet je dit dan opnieuw doen voor verificatie. Steeds meer online applicaties zoals Google & WhatsApp maken hier gebruik van. Als een stuk software deze optie heeft, maak hier dan gebruik van. Dit kun je meestal eenvoudig instellen.

  10. Wachtwoorden - Maak je wachtwoorden naast complex ook lang. Zorg ervoor dat je wachtwoord niet enkel uit cijfers of letters bestaat. Maak een combinatie van cijfers, letters en leestekens. Het is verstandig om geen geboortedata, voor of achternamen, cijferreeks of woord te gebruiken.  Lees hier onze gids om een veilig wachtwoord te creëren en doe de wachtwoord check hier.

Je wachtwoord, de eerste verdedigingslinie

Al sinds we de noodzaak zien om onze gegevens te beschermen, gebruiken we hiervoor wachtwoorden. Vroeger kozen we iets wat makkelijk te onthouden was, zoals de naam van de kat, het kenteken van de auto of de geboortedatum van oma. Inmiddels weten de meeste gebruikers wel dat een wachtwoord als "minoes" niet voldoende veiligheid biedt. 

Foto: David Goehring - CC BY-SA 2.0

Foto: David Goehring - CC BY-SA 2.0

In het digitale tijdperk hebben we steeds meer digitale bezittingen. Vakantie foto's, dagboeken en allerlei documenten zijn nu vaak alleen maar digitaal en online opgeslagen. Daardoor zijn ook steeds meer van onze bezittingen niet meer beschermd door de voordeur van ons huis, maar door een wachtwoord. Daarom is het goed om dit minstens net zo serieus te nemen als het slot op de voordeur.

Regeltjes

De meeste sites en programma's stellen allerlei eisen aan wachtwoorden om gebruikers te beschermen tegen een foute wachtwoord keus. Een minimumlengte, wat leestekens en hoofdletters en nog wat nummers. Daarnaast wordt nu vaak geëist dat het wachtwoord geregeld wordt gewijzigd. Waar zijn al die regeltjes voor en waar beschermen ze nou eigenlijk tegen?

Foto: Lachlan Hardy - CC BY 2.0

Foto: Lachlan Hardy - CC BY 2.0

Hackers die wachtwoorden kraken

Iemand die onrechtmatig toegang probeert te krijgen tot een systeem noemen we meestal een hacker. In sommige gevallen kan een hacker toegang proberen te krijgen door simpelweg de gebruikersnaam en het wachtwoord in te voeren. Je gebruikersnaam is meestal je emailadres en openbaar bekend, maar hoe weet hij dat wachtwoord?

Een veel voorkomende methode voor het kraken van een wachtwoord is de 'woordenboek'-aanval. De aanvaller gebruikt dan een lijst met veelvoorkomende wachtwoorden, soms in combinatie met een regulier woordenboek en probeert deze allemaal uit. Doordat een aanvaller deze wachtwoorden niet via het toetsenbord intypt, maar via een computerprogramma verzend, kan hij of zij er duizenden per seconde proberen. Op die manier vallen wachtwoorden als 'minoes', 'zegikniet' en 'geheim' al heel snel door de mand. Ook variaties van deze wachtwoorden worden uitgeprobeerd. dus 'Minoes', 'Minoe$' en 'Minoe$123' zijn ook snel genoeg gevonden. Nog makkelijker wordt het als de aanvaller u persoonlijk kent, en de namen van je huisdieren en naasten te weten is gekomen. Die namen en geboortedata worden dan als eerste uitgeprobeerd. Zelfs zonder die persoonlijke gegevens zal een gedreven hacker dit soort wachtwoorden in een dag of 2 kraken.

Wat kun je hier tegen doen?

U kunt het een kwaadwillende partij behoorlijk lastig maken om uw wachtwoord te raden, Om een sterk wachtwoord te hebben moet deze 12 of meer tekens lang zijn, geen woorden bevatten. Door een aantal eenvoudige zaken toe te passen kunt u een enorm sterk wachtwoord maken dat ook nog eens eenvoudig te onthouden is.

Als mensen zijn we heel goed in het onthouden van patronen en verhalen, maar niet zo goed in willekeurige reeksen cijfers en letters. In 2011 beschreef Randall Munroe een systeem voor sterke wachtwoorden, die voor mensen goed te onthouden zijn. In plaats van een willekeurige reeks van 12 hoofdletters, kleine letters, cijfers en leestekens, kies je een willekeurige reeks van 2-5 woorden. Zorg dat dit minstens 12 tekens zijn, en hoe meer verschillende woorden je kiest, hoe sterker het wachtwoord. Bij voorkeur zijn 1 of meer van die woorden in een andere taal, of verzonnen woorden. De cijfers stoppen we ergens in het midden. Bijvoorbeeld:

theemuts, naboo, gratis.

In uw hoofd maakt u een verhaaltje met deze woorden. "Een theemuts op Naboo is gratis". Als wachtwoord nemen we:

theemutsnaboogratis

Door dat verhaaltje is dit wachtwoorden al een stuk makkelijker te onthouden dan bijvoorbeeld "3heDre2&BecU". Vervolgens plaatsen we in deze zin, zomaar ergens een hoofdletter. Dat mag overal, maar niet op het begin.

theemutsnaBoogratis
5347580266_f1bd0f238d_b (1).jpg

Dit wachtwoord noemen we je hoofdwachtwoord. Hij is nog niet helemaal klaar, maar deze moeten we goed onthouden. Je kunt deze tijdelijk ergens op een papiertje schrijven, maar vernietig dat papiertje over een week. Sla dit wachtwoord nooit op in een bestand. Een goede manier om het te onthouden, is om een tekstverwerker (zoals Kladblok of Word) te openen, en het wachtwoord 20 keer in te typen, terwijl je het verhaaltje in je hoofd opleest. Dan ga je een half uurtje iets anders doen en doe je nog een ronde van 20 wachtwoorden. Je zal zien dat je steeds sneller gaat typen en steeds minder moeite hebt met het onthouden. Let wel op dat je dit tekstbestand na het oefenen NIET OPSLAAT.

Hergebruik van wachtwoorden

Als u eenmaal een complex wachtwoord heeft bedacht en onthouden, is de verleiding meestal groot om dit wachtwoord te gebruiken voor alle systemen waar je gebruik van maakt.  Dat zou een vergissing zijn, en verspilling van alle moeite die we hebben gedaan. Het komt geregeld voor dat sites waar je misschien een account op hebt worden gehackt. Als dit gebeurt is de kans aanwezig dat het wachtwoord dat je voor die site gebruikte bekend wordt. In 2014 lekte Yahoo! op die manier 500 miljoen gebruikersnamen en wachtwoorden uit. Als je in 2014 een Yahoo! account had met hetzelfde wachtwoord dat je nu gebruikt voor andere sites, is het raadzaam om dat wachtwoord snel te wijzigen.

Om te zorgen dat we voor elke site een ander wachtwoord hebben, gebruiken we kleine toevoegingen op het hoofdwachtwoord, die per site verschillen. Voor elke site kies je een reeks tekens die je voor en achter je wachtwoord zet, waarbij je altijd zorgt voor een cijfer en een leesteken. Bijvoorbeeld:

Facebook
Ervoor: Fb123
Erachter: @
Totaal wachtwoord: Fb123theemutsnaBoogratis@

Twitter
Ervoor: T#
Erachter: 52
Totaal wachtwoord: T#theemutsnaBoogratis52

Je kunt de stukjes die bij "Ervoor" en "Erachter" staan, veilig noteren in een boekje of papiertje. Als het hoofdwachtwoord maar nooit wordt uitgeschreven. Op die manier kan je heel veel wachtwoorden bijhouden op papier, zonder dat je je volledige 

Tot slot

Inderdaad, bovenstaande stappen zijn een stuk meer moeite dan gewoon 'Minoes' als wachtwoord blijven gebruiken. Echter is zo'n wachtwoord in de moderne wereld net zoiets als een kartonnen voordeur. Het houdt de tocht een beetje tegen, maar iedereen die wil komt zomaar binnen. Neem je digitale gegevens serieus en bescherm ze. Een sterk wachtwoord is geen garantie voor totale veiligheid, maar het is een goede eerste verdedigingslinie.


Online wachtwoord check

Wellicht heb je al een sterk wachtwoord. Via de wachtwoordcheck hier onder kun je testen hoe veel moeite het zou kosten om jouw wachtwoord te kraken.