Waarom je écht sterkere wachtwoorden moet gebruiken

Veilige wachtwoorden

Laatst kreeg ik de logingegevens voor de website van een groot bedrijf. Die waren ongeveer zo:

Login: bedrijfsnaamadmin
Wachtwoord: 1bedrijfsnaam123

Ik schrok. Zó simpel. Een hacker komt er zo binnen.

Waarom namen ze zo’n groot risico?

Toen vroeg ik me af: hoe zit het eigenlijk met de wachtwoorden van andere bedrijven? Met die van particulieren? En met die van jou?

 

Ik weet nog precies hoe ik me voelde toen ik ontdekte dat mijn email gestolen was.

Uw wachtwoord is niet correct. Probeer het nog eens.

Eerst: verward. Hè? Heb ik een tikfout gemaakt? Ik probeerde het opnieuw. Nog een keer, terwijl ik naar mijn vingers op het toetsenbord keek. Nóg een keer, extra langzaam.

Foutmelding.

Daarna: boos. Ik schold mijn computer uit, de website, de batterijen in mijn toetsenbord.

Tien minuten later wist ik het zeker: iemand had mijn wachtwoord veranderd.

Toen kwam de paniek. Oh God, waar heb ik ‘m nog meer gebruikt? Wat staat er allemaal in mijn emails? Welke accounts zijn eraan gekoppeld?

 

Wat ik daarvan leerde?

Iedereen kan gehackt worden. Ook als je niks bijzonders doet. Oók als je geen belangrijke informatie bezit.

Nu heb ik 6 mailadressen. Ze gaan van ‘voor alle nutteloze aanmeldingen’ tot ‘alleen voor de allerbelangrijkste diensten’. En ik gebruik, even tellen, ongeveer 20 verschillende wachtwoorden. Sommige gebruik ik tientallen keren, op onbelangrijke sites. Anderen voor één website.

Overdreven?

Misschien wel. Maar niet voor niets.

 

Want er worden per dag ruim 360,000 wachtwoorden gestolen.

Dat komt vooral omdat we, met z’n allen, een beetje stom zijn.

De helft van de internetters gebruikt in hun hele leven maximaal 5 verschillende wachtwoorden. Die gebruiken ze gemiddeld voor 26 accounts. En ze worden meestal jarenlang niet gewijzigd.

En hoe zien die wachtwoorden er dan uit? Nou, dit was de top 5 van 2015:

1. 123456
2.
password
3.
12345678
4.
qwerty
5.
12345

Binnen bedrijven gaat dat niet veel beter. Daar ziet het lijstje er zo uit:

1. Password1
2.
Hello123
3.
password
4.
Welcome1
5. 
banco@1

De bedrijven stellen iets meer eisen: een hoofdletter, een cijfer, een leesteken. Desalniettemin zijn ze doodsimpel. Je hoeft hier geen hacker voor te zijn: gewoon vijf keer gokken en je bent al binnen.

 

Waarom kiezen we voor die simpele wachtwoorden?

Ik denk dat er twee redenen zijn.

We denken: ach, zo’n hacker interesseert zich niet in mij. Dat klopt ook wel: de meeste hackers zoeken niet persoonlijk hun slachtoffers uit. Ze maken gebruik van zwakke plekken in software of websites om in één keer duizenden of miljoenen wachtwoorden te achterhalen. Die van jou kan daar bij zitten.

Vervolgens komt ‘ie in een database, samen met je gebruikersnaam of email. Die combinatie proberen ze dan op allerlei andere websites.

En als je die combinatie ook hebt gebruikt voor je bank, of je Paypalaccount, of je email, dan heb je een probleem. Hoe dan ook is het vervelend als je, na een hack, je wachtwoord overal moet wijzigen omdat je steeds dezelfde gebruikt.

Daarnaast is een moeilijk wachtwoord lastig te onthouden. De naam van je konijn + je geboortejaar (Stippel1972) onthoud je beter dan iets willekeurigs als xU_v456gFw. Aangezien we steeds meer online regelen en dus steeds meer accounts hebben, hebben we geen zin in het gedoe wat ingewikkelde wachtwoorden opleveren.

 

Hoe kies je een sterk wachtwoord?

Er zijn twee belangrijke tips om je wachtwoorden veilig te maken.

Maak ze ongebruikelijk en lang. Dus liever ErStaan28WittePaardenInMijnGang dan 1Db_5g.

Dat zit zo.

Hackers gebruiken algoritmes om wachtwoorden te kraken. Die werken volgens een patroon.

Eerst proberen ze alle veelvoorkomende wachtwoorden.
Dan veelvoorkomende types zoals sportclubs, hobby’s, jaartallen en namen.
Daarna willekeurige (combinaties van) woordenboekwoorden.
En als laatste volkomen willekeurig tekens.

Je wil dat je wachtwoord de eerste drie fases overleeft. In fase vier zijn er voor elk teken minstens 60 mogelijkheden: een hoofdletter, kleine letter, cijfer of een leesteken. Het algoritme moet dus 60*60*60…., om alle combinaties te testen. Hoe meer tekens je gebruikt, hoe langer dat uiteraard duurt.

Ben je benieuwd hoe sterk je wachtwoord is? Je kunt ‘m testen op deze site: https://commonkey.com/password-strength-estimator

Gebruik veel verschillende wachtwoorden. Hoe goed ‘ie ook is, als je voor elke site hetzelfde wachtwoord (of dezelfde variatie) gebruikt loop je toch een risico. Gebruik in elk geval voor elke belangrijke website een uniek wachtwoord, en zorg dat die niet op elkaar lijken.

Overigens kan je beter niet een basiswachtwoord kiezen waar je op varieert, zoals Stippel1972Wehkamp, Stippel1972Ebay, enzovoort. Als een hacker één van die variaties weet kan hij de rest natuurlijk zo raden.

Maar al die unieke wachtwoorden leveren een probleem op: hoe onthoud je ze? Zelf gebruik ik daar LastPass voor, een wachtwoordmanager. Dit programma bewaart al je wachtwoorden (versleuteld en lokaal opgeslagen) en kan ze ook automatisch voor je invullen op websites. Hij kan ook veilige wachtwoorden genereren.

Zo ziet LastPass eruit:

LastPass screenshot

 

Het maakt het makkelijker om al je sites een uniek wachtwoord te geven. En mocht er eentje gestolen worden, zie je snel op welke sites je ‘m nog meer gebruikt en kan je ze direct aanpassen.

 

12345? Doe maar niet.

Kies een veilig wachtwoord. Het gemak van Welkom1 weegt niet op tegen de ellende van iemand die je emails leest, in je bankaccount komt, of Ebay plundert uit jouw naam. (Of nog erger: die je bedrijfswebsite hackt en met je site of zelfs met persoonsgegevens aan de haal gaat.)

En als je toch een beetje lui wil doen, gebruik dan een manager zoals Lastpass. Heb je nog steeds geen gedoe met lastige wachtwoorden onthouden, maar word je tenminste niet binnen 5 seconden gehackt.

2018-01-23T13:16:53+00:00