This post is also available in: English (Engels)
Wachtwoorden zijn overal tegenwoordig, en de wachtwoorden-overdosis is zeker reeel. Uit een onderzoek door Dashlane, een wachtwoord manager app, is gebleken dat de gemiddelde persoon 90 verschillende online accounts heeft. Dit betekend, 90 maal dat je moet zoeken naar een wachtwoord dat veilig genoeg is, en dat je nog kan onthouden ook. Of, zoals de meeste mensen het dan doen, een enkel wachtwoord verzinnen dat veilig is, en dat gebruiken voor alle accounts. En laat het me je ineens vertellen: de eerste optie is geen goede keuze (je gaat nooit 90 goede wachtwoorden kunnen onthouden), en de tweede optie is simpelweg fout.
Goede wachtwoorden en middeleeuwse steden
Goede wachtwoorden zijn niet de Heilige Graal, of het enige dat je nodig hebt omtrent digitale veiligheid, maar ze zijn een heel erg belangrijk onderdeel. In deze tijden van Game of Thrones, en andere epische films en reeksen, maak ik even de vergelijking met een middeleeuwse stad. Voor de veiligheid en bescherming, bouwden de middeleeuwse stedelingen grote dikke muren rond hun stad, en zware stevige poorten, om te kunnen filteren wie er de stad binnen kon komen en wie niet. Of om een complete lockdown van de stad te kunnen doen als dat nodig was. Hetzelfde werd gedaan met het kasteel, het belfort en het stadhuis dat binnen die stadsmuren stond. Elk van hen hadden zware muren, en stevige deuren met grote ingewikkelde sloten, die zeker niet geopend konden worden zonder de juiste sleutel. Maar stel je voor, omdat een andere sleutel maken voor elk slot in de stead een veel te groot werk was (klinkt bekend?), zou men maar één enkele sleutel maken, die op alle sloten past. En om tijd en geld te besparen (klinkt opnieuw bekend?), zou men kiezen voor een kleinere, makkelijkere sleutel, in plaats van de heel specifieke, ingewikkelde, maar veilige sleutel die ook op alle sloten past.
Stel je nu voor, een andere stad wil de jouwe innemen, omdat jouw stad meer geld en rijkdommen heeft. Wanneer ze er in slagen om één van de sleutels van de vele gebouwen in je stad te vinden of te copiëren, dan zouden ze ineens toegang hebben tot de stadspoort, en alle gebouwen binnen de stadsmuren (herinner je je het nog? één enkele sleutel voor alle poorten is gemakkelijker). Tel daar dan nog bij dat het niet alleen makkelijker is om die simpelere sleutel te copiëren, maar datkans en de mogelijkheid om zo een sleutel te vinden of te copiëren wordt ook zovele malen groter, omdat die ene sleutel heel erg dikwijls voorkomt, en overal past. Dus zelfs wanneer de afwasser van het kleine plaatselijke restaurantje op het einde van de dag het vuilnis gaat buitenzetten via het achterduertje, en de sleutel kwijtraakt door even onoplettend te zijn, dan zet dit mogelijk de poorten open, en brengt het de hele stad in gevaar.
Maar, wat als al je sleutels verschillend zouden zijn, en heel veilig opgemaakt, en oncopiëerbaar? Het zou betekenden dat, zelfs al zou iemand de sleutel vinden van de grote poort van de stad, elke andere deur zou gesloten en veilig blijven.
De keten van veiligheid is maar zo sterk als de zwakste schakel.
Hetzelfde geldt voor je wachtwoorden. Als je hetzelfde wachtwoord hebt voor elk van je 90 accounts, en je wachtwoord is niet echt heel erg veilig, dan zal het niet lang duren alvorens je wachtwoord gehacked is via een of andere slecht beveiligde website waar je dacht dat je die account echt wel wou, maar nooit meer echt gebruikt hebt na die ene saaie vrijdagnamiddag toen je op kantoor zat te wachten om naar huis te gaan en het weekend te laten beginnen. Die site die gehacked wordt, zorgt ervoor dat je wachtwoord beschikbaar gekomen is voor de hackers, en dat wordt dan dikwijls toegevoegd aan een gigantische lijst van bekende wachtwoorden die hackers gebruiken om in grote belangrijke systemen binnen te geraken. En aangezien je hetzelfde wachtwoord gebruikt voor al je websites, zou dit betekenen dat hackers via jouw account en wachtwoord op dat belangrijkere systeem binnen kunnen geraken, en daar dan misschien niet alleen jouw account, maar meerdere accounts of zelfs heel het systeem kunnen lamleggen.
De keten van veiligheid is slechts zo sterk als de zwakste schakel. Goede, veilige wachtwoorden gebruiken is die schakels sterker maken. Verschillende wachtwoorden gebruiken voor al je verschillende accounts is de ketting zo kort mogelijk houden, en op die manier de kans op zwakke schakels verminderen.
Wat zijn dan goede wachtwoorden?
Een goed wachtwoord is:
- zo onduidelijk als mogelijk
- lang genoeg
- gebruikt zoveel mogelijk verschillende soorten karakters
- is niet leesbaar of begrijpbaar voor mensen
Dus, lang genoeg, wat wil dat zeggen? Niet 5 of 6 karakters, maar op zijn minst 8, en liefst zelfs meer. Hoe langer hoe beter. Soms doet het er wel toe. Ik begin meestal bij 24 of zelfs 32 karakters, en verminder stukje bij beetje als het systeem zo’n lange wachtwoorden niet toestaat.
Verschillende karakters? zoals in, verschillende soorten karaktereigenschappen? Nee, karakters of tekens, zoals in hoofdletters, kleine letters, getallen, en als het toegelaten wordt, speciale tekens zoals # : – ) & ? ! en zo verder. Een van de technieken die je kan toepassen is om sommige letters te vervangen door gelijkaardige getallen. Bijvoorbeeld: etcetera wordt dan Etc3t3r4. Dit is dan al veel veiliger dan enkel een hoofdletter gebruiken. Voeg daar nog enkele speciale tekens aan toe, en denk aan de lengte van het wachtwoord, en je komt misschien uit op iets als dit: “Etc3t3r4&Ofz13t5?;-)”
Dit is al een redelijk cool, moeilijk te raden, en dus vrij veilig wachtwoord. Maar daar is de volgende valkuil al: de rekenkracht van dat ding in je broek, je smartphone, overtreft de rekenkracht van veel 10 jaar oude computers. Een wachtwoord zoals het bovenstaande ontcijferen duurt al veel langer dan je achternaam raden, of simpelweg “123abc”, maar het blijft relatief eenvoudig. Maar wat kunnen we dan nog doen? Wel, maak je paswoord willekeurig, en niet leesbaar door mensen.
Een goed wachtwoord zou bijvoorbeeld zijn “sI8%XS!PftyFAvzkd48LgV#u”. Geen herhaling van karakters, geen betekenisvolle woorden, niet leesrbaar, lang,… Ja ok, hoor ik je zeggen, maar hoe kan ik in hemelsnaam ooit één wachtwoord zoals dat onthouden, laat staan 90? Wel…
Hier komt de password manager
En wat als ik je nu zeg dat ook daar een oplossing voor bestaat? Laat me je voorstellen: de password manager! De password manager is een applicatie die je helpt met aanmaken en bijhouden van goede, veilige wachtwoorden. Het is eigenlijk een softwarematige kluis, die alle login gegevens van al jouw gemiddeld 90 accounts veilig houdt. Op die manier moet jij niet meer wakker liggen en oefenen om al die gemiddeld 90 wachtwoorden te onthouden. Je moet er slechts eentje onthouden, dat van je wachtwoord manager. Maar levert dat dan geen mogelijk gevaar op, dat dat ene wachtwoord toegang geeft tot alle andere? Ja, maar als je 1 heel sterk wachtwoord combineerd met Twee-Factor Authenticatie (2FA – 2 Factor Authentication) voor je password manager, dan ben je vrij veilig.
Password managers bestaan in alle maten, prijzen, vormen en kleuren, en ik heb er zelf al enkele getest. De meesten leveren heel goed werk, maar missen een of meerdere features, die op dat moment voor mij een struikelblok waren. Tot ik Lastpass ben gaan gebruiken, nu enkele jaren geleden. Ik probeer ook nog steeds geregeld nieuwe wachtwoord managers uit als ze er veelbelovend uitzien, maar tot nu ben ik steeds terug bij Lastpass uitgekomen.
De links naar Lastpass op deze pagina zijn affiliate links. Als je er op klikt, en je beslist een betalend account aan te maken, dan kan het zijn (niet zeker) dat we daarop een commissie ontvangen. Dit kost jou GEEN geld. Dat ik dit product aanraadt is gebaseerd op het feit dat ik het zelf elke dag (constant) gebruik, en is niet beinvloed door de comissie. Indien je hierover, of over Lastpass zelf (of andere password managers) vragen heb, mag je ons steeds contacteren.