Wachtwoorden
Over wachtwoorden...
...wordt veel gezegd en geschreven.
Er zijn ontwikkelingen op dit gebied waaruit blijkt dat wat vroeger slim werd gevonden, nu niet meer zo handig is. Helaas volgen veel bedrijven de ontwikkelingen niet zo goed, waardoor je op veel plaatsen nog geconfronteerd wordt met ouderwetse regels.
Ook de adviezen zijn vaak tegenstrijdig.
Zo adviseert Norton↗ (van de virustester) om allerlei soorten telkens te gebruiken,
terwijl bijvoorbeeld Lifehacker↗ uitrekent dat een makkelijk te onthouden wachtwoord-zin met minimaal 20 tekens en alleen Hoofd- en kleine letters veel moeilijker is te kraken dan een onbegrijpelijk, niet te onthouden wachtwoord van acht tekens lang.
Gelukkig is nu (september 2024) ook het Amerikaanse National Institute of Standards and Technology (NIST) met een moderner advies gekomen. In het kort (en niet volledig):
geen mengeling van letters, cijfers en andere tekens;
niet regelmatig je wachtwoord moeten veranderen;
minimaal 8, maar liever minimaal 15 posities lang;
maak een mix van gewone woorden, gescheiden door spaties, maar die niets met elkaar te maken hebben.
Op de site Security.nl kiun je hier meer over lezen.
Het gaat dus om de lengte, niet om (voor ons wel, maar niet voor computers) moeilijke symbolen.
Het wordt steeds makkelijker om wachtwoorden te kraken, gewoon doordat de computers steeds sterker en sneller worden. Was vroeger een wachtwoord met acht tekens veilig, tegenwoordig moet het minimaal veertien tekens bevatten.
Wat zegt de wetenschap?
Dit is een link naar een college van de Universiteit van Nederland over wachtwoorden.
In het kort:
Gebruik een wachtwoordbeheerder (Password manager).
Laat die jouw wachtwoorden bedenken en opslaan.
Gebruik voor het account van de wachtwoordmanager een zelf gekozen, lang, uniek wachtwoord.
In het filmpje zie je daar een voorbeeld van.
Is mijn wachtwoord gelekt?
In juni 2021 bleek dat er een lijst is met 8,4 miljard(!) unieke wachtwoorden op het internet circuleert.
8,4 miljard gekraakte of gestolen wachtwoorden!
Het gaat om ruim 15 miljard accounts en om ruim 2,5 miljard unieke
e-mailadressen.
Controleer op de site van Cybernews.com↗ of jouw wachtwoord of
e-mailadres op een van die lijsten voorkomt.
Als dat zo is, verander dan meteen het wachtwoord bij dat account!
Goede en slechte wachtwoorden
Goede wachtwoorden
Drie of meer losse woorden die niets met elkaar en met jou te maken hebben, samen minimaal 20 tekens. Als het van de site moet, voeg dan een vreemd teken, getal en/of hoofdletter toe.
Gebruik niet de naam van kinderen of huisdieren en niet het merk of model van de auto.
Voorbeeld: Pinda schroef 3 in de pan!
Dat zijn 25 tekens. Dat is nauwelijks te kraken.
Slechte wachtwoorden
Namen van kinderen, huisdieren, het merk of model van de auto,
geboorte- of trouwdatums,
eenvoudige 'geheimtaal' (e wordt 3, i wordt 1),
een rijtje toetsen op het toetsenbord,
.....
Tips om wachtwoorden maken en te onthouden
Gebruik een wachtwoordbeheerder.
Gebruik een wachtwoordbeheerder.
Gebruik een wachtwoordbeheerder.
Gebruik verschillende wachtwoorden. Echt!
Het is écht niet slim om hetzelfde wachtwoord voor meerdere accounts te gebruiken, zeker niet als daar geld of gevoelige gegevens mee gemoeid zijn.
MFA staat voor Multi-Factor Authentication, in het Nederlands ook wel meervoudige verificatie genoemd. Het is een beveiligingsmethode waarbij je meerdere bewijsstukken moet leveren om je identiteit te bevestigen en toegang te krijgen tot een online account of dienst.
Hoe werkt MFA?
Naast je gebruikelijke gebruikersnaam en wachtwoord (de eerste factor) vraagt MFA om een extra verificatiestap, zoals:
Iets dat je weet: Een extra code die naar je telefoon wordt gestuurd, een antwoord op een persoonlijke vraag, of een PIN-code.
Iets dat je hebt: Een code gegenereerd door een authenticatie-app op je telefoon, een fysieke beveiligingstoken, of een sms-bericht.
Iets dat je bent: Biometrische gegevens zoals je vingerafdruk, gezichtsscan of irisscan.
Waarom is MFA belangrijk?
MFA voegt een extra beveiligingslaag toe aan je online accounts. Zelfs als iemand je wachtwoord weet, kunnen ze niet inloggen zonder de extra verificatiestap. Dit maakt het voor hackers veel moeilijker om toegang te krijgen tot je accounts, zelfs als ze je wachtwoord hebben gestolen.
WebAuthn en MFA
WebAuthn is een specifieke vorm van MFA die gebruikmaakt van cryptografie en biometrische gegevens om een zeer veilige authenticatiemethode te bieden. Het is phishing-bestendig en elimineert de noodzaak om wachtwoorden te onthouden, waardoor het een aantrekkelijke optie is voor veel gebruikers.
Waar kan ik MFA gebruiken?
Steeds meer online diensten bieden MFA aan, waaronder e-mailproviders, banken, sociale media en cloudopslagdiensten. Het is een goede gewoonte om MFA in te schakelen waar mogelijk om je online accounts beter te beschermen.
Wat is wijsheid?
Dat is een gewetensvraag. Je kunt het zo veilig maken als je wil, maar het moet ook werkbaar blijven.
Zo zie ik mijzelf niet met een dongle (een soort usb-stick) werken.
Zorg er altijd voor dat je minimaal twee controlemiddelen hebt: een telefoonnummer en je e-mailadres.
Nóg veiliger is het om het telefoonnummer en e-mailadres van je partner op te nemen als alternatieve controlestap, voor het geval dat je jouw smartphone en/of laptop kwijtraakt.
Wat bijvoorbeeld als je op vakantie bent, je smartphone kwijtraakt, op een vreemde computer in wilt loggen om de factuur en de polisgegevens van je Drive op te halen, en het systeem wil dat je op de verloren smartphone een knop indrukt? Pech! Heb jij het papiertje met noodcodes bij je? Ik niet...
Geef bij een account daarom altijd alternatieve manieren aan om te verifiëren dat jij het bent. Zo kun je bij Google een telefoonnummer en een extra e-mailaccount opgeven.
Als je in kunt stellen dat je een waarschuwing krijgt als er op jouw account wordt ingelogd op een nieuw apparaat, zet dat dan aan. Zo krijg je snel een melding als er iets verdachts gebeurt.
De wachtwoorden op het apparaat laten versleutelen
Sinds januari 2023 kun je instellen dat de Google wachtwoordenbeheerder jouw wachtwoorden niet alleen bij Google zelf versleutelt, maar ook op jouw apparaat/apparaten.
Uitleg van Google
Als versleuteling op het apparaat is ingesteld, kunnen je wachtwoorden alleen op je apparaat worden ontgrendeld met je Google-wachtwoord of de schermvergrendeling van een geschikt apparaat. Als je versleuteling op het apparaat gebruikt, heeft niemand anders toegang tot je wachtwoorden.
Meer informatie hierover vind je bij Google↗.
Verificatie in 2 stappen (Multi Factor Authentication)
Een manier van inloggen die een stuk veiliger is dan alleen met een gebruikersnaam en wachtwoord is 2-Factor Verificatie (2FA), ook wel Multifactor Authentocatie genoemd.
Ik beschrijf dit op de pagina Verificatie in 2 stappen (2FA).
Nieuw: web authentication (webAuthn)
2FA is weliswaar veilig, maar niet heel erg gebruiksvriendelijk.
Google en de andere grote spelers op het internet zijn dit aan het veranderen: sinds mei 2023 kun je (voor jouw Google-account) toegangssleutels aanmaken.
Google doet dit voor je Google-account al automatisch op jouw Android-smartphone.
Het is een nieuwe manier van inloggen. Een manier waarbij je geen loginnaam, pincode en wachtwoord meer nodig hebt.
Deze manier van inloggen heet Web authentication. Op de pagina Over WebAuthn vind je daar meer over.