Over verstandig omgaan met je (sterke) wachtwoorden

De laatste tijd lijkt het wel alsof geen enkele grote site in staat is om je inloggegevens veilig te bewaren. Vorig jaar was Sony aan de beurt met een grootschalige hack van hun Playstation Network waarbij alle PSN gebruiker geforceerd werden hun wachtwoord te wijzigen. Vorige maand bleken de wachtwoorden van duizenden LinkedIn gebruikers veroverd te zijn door hackers en gisteren was Yahoo aan de beurt. Met de Sony hack vorig jaar had ik de schrik al enigzins in de benen zitten. Niet alleen omdat ik daar een te makkelijk wachtwoord voor gebruikte maar vooral omdat aan mijn PSN account ook een creditcard gekoppeld zat. Dat liep gelukkig allemaal met een sisser af maar dat was wel aanleiding om aanzienlijk kritischer naar mijn wachtwoorden te gaan kijken.

Ook al weet ik beter, ik rouleerde een beperkt aantal wachtwoorden voor bijna alle online diensten die ik gebruik. Nee, dat is niet slim maar met tientallen sites waar ik vaak, soms of bijna nooit inlog kan ik simpelweg geen tientallen verschillende sterke wachtwoorden onthouden. En dus wisselde ik een stuk of 10 verschillende wachtwoorden af, wat volgens mij al meer is dan gemiddeld.

Hoe meer verschillende wachtwoorden voor verschillende sites hoe beter natuurlijk. Als er dan eentje gekraakt wordt dan hoef je je tenminste geen zorgen te maken dat hackers meteen misbruik weten te maken van de overige tientallen sites waar je een account hebt. Maar hoe sterk is je wachtwoord nou eigenlijk en hoe weet je wat uberhaupt wat een sterk wachtwoord is?

Als je op een site, bijvoorbeeld Yahoo want daar was ik niet geheel toevallig vandaag om mijn wachtwoord te wijzigen, een wachtwoord aanmaakt dan krijg je de volgende suggesties:

– Your password should be easy for you to remember but hard for others to guess.
– Never share your password with anyone, and never reuse a password that you’ve used before.
– Your password must be at least six characters long.
– Use a combination of capital and lowercase letters, numbers, and special characters (such as +, ?, and *) in your password.

Uitstekend advies behalve dat het laatste wellicht de suggestie wekt dat veel symbolen en -niet te onthouden- leestekens betere en sterkere wachtwoorden opleveren terwijl dit haaks staat op het allerbeste advies bovenaan, namelijk dat je een wachtwoord moet nemen dat je zelf makkelijk kunt onthouden maar dat lastig door anderen te raden is. Op veel sites, waaronder Yahoo zelf, krijg je een balkje te zien die met een metertje aangeeft hoe zwak of sterk een wachtwoord is. Het probleem met dat balkje is dat alleen een sterk wachtwoord aangegeven wordt op het moment dat jij symbolen of leestekens gebruikt in je wachtwoord. En dat hoeft helemaal nog niet een sterk wachtwoord te zijn uiteindelijk.

De sterkte van een wachtwoord hangt namelijk af van meerdere factoren:

  1. De lengte van je wachtwoord;
  2. Of het wachtwoord een woord is uit een woordenboek, danwel een term is die vaker/veel gebruikt wordt;
  3. Of het uit 1 of meerdere woorden bestaat waarbij als het uit meerdere woorden bestaat de woorden geen relatie met elkaar hebben;
  4. De variatie in de tekens van je wachtwoord. Wissel letters af met een cijfer of een leesteken.

Zo’n indicatorbalkje beloont vooral/alleen dat laatste aspect maar gaat voorbij aan de overige aspecten. Met een zgn. brute force hack kan een computer kortere wachtwoorden simpelweg nalopen door per teken alle mogelijke variaties te berekenen. Dat is met wachtwoorden van minder dan 8 tekens een klus die een beetje pc tussen de enkele minuten en enkele dagen kost. Zo klinkt een niet te onthouden wachtwoord 76GrF@( misschien heel veilig maar kan die in ongeveer 17 uur gekraakt worden.

Mijn oude wachtwoord voor Yahoo was er weliswaar eentje van 10 letters maar was een enkel woord dat je in een woordenboek kunt vinden. M.b.v. een zgn. dictionary attack vergelijkt een computer eenvoudig alle bestaande woorden (in alle bekende talen) en kan die nogal snel gekraakt worden. Op How Secure Is My Password kun je precies zien hoe lang een desktoppc er over zou doen om mijn oude wachtwoord te kraken. Deze site gebruikt de criteria die hierboven staan om dat te beoordelen.

‘Almost instantly’. Ahum. Mijn wachtwoord was letterlijk een woord, bevatte alleen letters en staat in de top 4100 van meest gebruikte wachtwoorden. Dat kan en moet dus beter.

Bij het kiezen van een nieuw wachtwoord kun je dus beter meerdere woorden gebruiken, die geen relatie tot elkaar hebben en (een beetje) variëren met 1 of enkele cijfer(s) en leestekens. Een wachtwoord als kaartenbak19zakmes73ereader@@ is prima te onthouden als je daar zelf de systematiek voor bedacht hebt en is bijna belachelijk veilig:

Oftewel, je hoeft je wachtwoorden niet vol te stoppen met symbolen, cijfers en afwisselend hoofd- en kleine letters waardoor je ze zelf niet kunt onthouden. Bedenk een systematiek waarin je meerdere ongerelateerde woorden, cijfers en/of enkele leestekens kiest en niet alleen is je wachtwoord dan sterk, je geheugen hoeft dat dan niet te zijn.

Kun je geen systematiek bedenken, dan kun je op de Make Me A Password site eenvoudig een (Engelstalig) wachtwoord aanmaken die voldoet aan die criteria. Veilig en sterk. Zolang je die niet op een Post-it schrijft vervolgens en aan je monitor hangt ;)

@ foto via R. Parmiter/Flickr

#

Nog maar 1 wachtwoord met LastPass?

Het nadeel van heel veel websites bezoeken en gebruiken is dat je na een hele korte periode werkelijk zwemt in de inlognamen en wachtwoorden. Tot enkele jaren geleden was dat nog wel te overzien en kon ik, door een stuk of 6 wachtwoorden afwisselend te gebruiken, nog aardig bijhouden waar ik welk wachtwoord voor nodig had.

Tegenwoordig is dat wel anders. Veel sites zijn aan elkaar gekoppeld, maken gebruik van dezelfde Google of Facebook account voor autorisatie en zijn alerter geworden op welk wachtwoord je gebruikt. Een beetje site geeft bij het aanmaken van een account aan hoe sterk het wachtwoord is maar gebruikt daar verschillende criteria voor. Hoofdletters, kleine letters, cijfers, diacrieten en leestekens zijn wel of niet verplicht. Dat maakt het allemaal een stukje veiliger maar voorkomt ook dat je met een beperkte set aan wachtwoorden kunt en wilt werken. Natuurlijk, ook dat is beter voor de veiligheid maar het betekent wel dat je met tientallen verschillende wachtwoorden moet werken voor alle sites waar je gebruik van wilt maken.

Ook al heb ik het jaren uitgesteld omdat ik er niet aan wilde, nu ben ik toch gaan kijken naar zgn. password managers, programma’s die wachtwoorden bewaren en die in combinatie met je browser(s) ook die complexe wachtwoorden invullen zodat jij ze niet hoeft te onthouden. Er zijn meerdere van dit soort programma’s maar omdat ik met meerdere computers werk wilde ik in elk geval een oplossing die niet lokaal alles bewaart maar dat in de cloud opslaat. Dat beperkt het aantal opties meteen en ik kwam op LastPass uit.

Het eerste wat opvalt bij LastPass is de lange rij met platforms die ondersteund worden. Je database met wachtwoorden wordt gecodeerd opgeslagen bij LastPass en is via browserplugins en jouw account te raadplegen op alle pc’s. Er is een Premium account waar je 12 dollar per jaar voor moet betalen die dan ook toegang geeft tot gebruik van jouw database door mobiele apps. Hoewel er veel te doen is geweest over de veiligheid van gevoelige data bewaren in de cloud heb ik wat meer vertrouwen hierin. Toevallig is LastPass in 2011 in het nieuws geweest tav een mogelijke hack maar bleek het niet mogelijk zijn de master passwords van de accounts te kraken.

Na installatie van een stukje software heb je de optie om alle wachtwoorden uit je browser(s) op te slaan in de LastPass database en ze daarna te verwijderen uit je browsers zelf. Het is confronterend om te zien hoeveel wachtwoorden er op je pc bewaard worden en hoe makkelijk die dus te achterhalen zijn als je achter iemands pc gaat zitten. LastPass kun je vervolgens als extensie in alle voorkomende browsers installeren en het neemt het wachtwoordbeheer in al die browsers over. Vanaf dat moment bewaart LastPass alle inlog/wachtwoord combinaties en kun je LastPass die laten invullen als je wilt inloggen. Het biedt ook de mogelijkheid om sterke wachtwoorden te genereren (die het vanzelfsprekend ook weer bewaart) dus je kunt eenvoudig per site een nieuw wachtwoord instellen die je niet meer hoeft te onthouden.

Ik gebruik LastPass een week nu en het is een blijvertje.Voor de pc met name want ik merk wel dat ik nauwelijks echt gebruik wil maken van LastPass op mijn iPad of Galaxy Tab. Het scheelt me weer 12 dollar per jaar zeg maar. Ergens staat het me tegen dat ik voor diverse sites nu zelf niet meer weet welk wachtwoord ik er voor heb maar het is uiteindelijk eenvoudig op te zoeken. Dat de database in de cloud staat stoort me dan weer niet, daar ben ik met Dropbox, Google Docs, Box en Gmail al van genezen geraakt. Ik maak wel af en toe een backup van alle LastPass wachtwoorden die ik -beveiligd- zelf bewaar op een usb stick. Je weet het maar nooit natuurlijk ;)

Hoe veilig internet jij?

Een artikel in de Automatiseringsgids ging deze week over het feit dat mensen te laks zijn met hun wachtwoorden.

“Volgens McAfee loopt één op de vier mensen kans op identiteitsdiefstal door eigen laksheid. Doordat er tegenwoordig zoveel wachtwoorden nodig zijn voor verschillende zaken op internet gebruiken mensen uit laksheid steeds dezelfde, of slechts een paar simpele wachtwoorden.

Uit het onderzoek bleek dat minder dan de helft (43 procent) van de 3500 ondervraagden weleens hun wachtwoorden veranderen. Bijna een kwart gebruikt zelfs voor elke online account hetzelfde wachtwoord. Sterker nog, een verontrustende 59 procent gebruikt voor alles of bijna alles hetzelfde wachtwoord.”

Nu ben ik nog nooit het slachtoffer geworden van identiteitsdiefstal maar ik moet wel bekennen dat ik niet voor elke site een eigen username en wachtwoord gebruik. Natuurlijk, halverwege jaren 90 gebruikte ik braaf wisselende wachtwoorden maar toen had ik een netwerkwachtwoord, een Hotmail account en nog 1 of 2 andere sites waar ik soms in moest loggen. Tegenwoordig dwingt elk forum, nee elke site zo’n beetje een registratie af met als gevolg dat het werkelijk ondoenlijk wordt om daar braaf een uniek wachtwoord voor te gebruiken dat je dan ook nog enkele keren per jaar wijzigt. Internet en Web 2.0 is ontzettend mooi maar de noodzaak voor een fatsoenlijk beheer van je identiteit en wachtwoorden groeit met de dag voor mij.

Natuurlijk zijn niet alle wachtwoorden even belangrijk: een forum beschouw ik niet als extreem belangrijk, zeker niet als ik het maar een paar keer per maand bezoek. Alle mailaccounts van mij vind ik echter wel de moeite waard om goed te beveiligen en daarom hou ik me wel aan een paar eigen regeltjes als het om wachtwoorden gaat:

  • mijn wachtwoorden zijn combinaties van cijfers en letters, soms gemengd met leestekens en met wisselend gebruik van hoofd- en kleine letters
  • ik maak ze lekker lang als het alleen letters zijn. Kraken van wachtwoorden is extreem lastig als je er eentje hebt van 30 letters en het woord niet in een woordenboek voorkomt
  • het zijn geen namen! Ongelofelijk genoeg gebruiken de meeste mensen die ik ken hun eigen (of die van familie) naam als wachtwoord

Het artikel meldt ook “Het meest populaire wachtwoord is de naam van een huisdier, gevolgd door een hobby of de meisjesnaam van de moeder.

Omdat nutteloze statistiekjes de kern zijn van alle blogpostjes als je niet weet waar je het verder over wilt hebben, heb ik gekeken naar al mijn wachtwoorden die ik in een apart beveiligde database heb zitten (omdat mijn geheugen niet overweg kan met meer dan 100 :P)

  • Ik heb thans 143 usernames en wachtwoorden die ik dus voor 143 verschillende plekken gebruik. Daar zitten de werkgerelateerde wachtwoorden nog niet eens bij.
  • Binnen de 143 usernames zijn er 6 unieke van mezelf en 9 die opgelegd zijn door de sites. De 6 unieke rouleer door alle sites heen. Vaak is mijn standaard username al bezet en dan moet je toch wat.
  • Binnen de 143 wachtwoorden zijn er 8 unieke van mezelf en 22 die opgelegd zijn door de site. Vaak zijn die laatste wachtwoorden van zaken die ik zeer infrequent gebruik en daarom niet de moeite neem om die automatisch gegenereerde wachtwoorden te veranderen naar 1 van mijn 8 wachtwoorden.

Het voordeel? 8 wachtwoorden roulerend gebruiken is wellicht niet het meest veilige maar het heeft wel het voordeel dat als ik een wachtwoord vergeten ben ik na max. 8 pogingen gegarandeerd er weer in kan. Jammer dat veel sites je al blokkeren na 3 pogingen :)

Hoe veilig internet jij en hoeveel wachtwoorden probeer jij te onthouden?

  • © 2006- 2021 Vakblog – werken met informatie
    Aangedreven door WordPress en duizenden liters koffie // Theme: Tatami van Elmastudio
Top