Security (b)log: Bescherm je wachtwoorden

“Jouw wachtwoord vleermu!s69”, stond uitdagend boven het mailtje dat Dorus ontvangen had. Dat wachtwoord herkende hij wel, al gaf het getal aan dat het van lang geleden was. Dorus paste goed op zijn wachtwoord, hoe kon het dat iemand het kende? Even verder lezen: “Ik weet je wachtwoord, en als je niet binnen 24 uur voor € 2000 aan bitcoins aan mij overmaakt, dan stuur ik een filmpje naar al jouw contacten. Op dat filmpje ben jij te zien terwijl je achter je computer vieze dingen doet.” En o ja, de afzender van het mailtje was… Dorus zelf.

Ettelijke mensen van over de hele wereld hebben de afgelopen jaren mailtjes van die strekking ontvangen. Een jaartje geleden heb ik daar ook al eens een Security (b)log aan gewijd, maar omdat het onderwerp actueel blijft – ik krijg regelmatig vragen van verontruste mail-ontvangers – en we met z’n allen momenteel nu toch wel in een kwetsbaardere situatie zitten, kan het geen kwaad om het er maar weer eens over te hebben.

De kracht van die mailtjes zit in het meegestuurde wachtwoord; zonder dat zou je het mailtje gemakkelijk kunnen afdoen als een schot hagel, waarbij de crimineel hoopt dat er altijd wel mensen zijn die erin trappen. Maar zo’n mailtje met wachtwoord, dat moet wel maatwerk zijn, of om het bij schieten te houden: it’s a bullet with your name on it.

Ik kan je geruststellen: je bent niet gehackt, ze kennen je contacten niet en er is geen filmpje gemaakt. Maar dat wachtwoord dan? Dat hebben ze elders gejat. Je hoort regelmatig dat bedrijven gehackt worden, en soms wordt bij zo’n hack het bestand met gebruikersgegevens gekopieerd. Als dat bestand niet goed beveiligd is, dan hebben de criminelen zowel de gebruikersnamen als de bijbehorende wachtwoorden in handen. En omdat de gebruikersnaam vaak je e-mailadres is, weten ze ook meteen waar ze hun afpersmail naar toe moeten sturen. Zo maken criminelen waarschijnlijk nog steeds gebruik van het wachtwoordbestand dat in 2012 bij LinkedIn is gestolen.

Wachtwoorden zijn ondingen, maar voorlopig zijn we er nog niet van af. Het is dus zaak om er goed mee om te gaan. Daarom ga ik je nog eens vertellen wat je moet doen en laten. Vaak worden dit ‘tips’ genoemd, maar dat klinkt altijd zo vrijblijvend. Ik wil gewoon dat je doet wat ik zeg, oké? (Maar omdat ook ik de waarheid niet in pacht heb, mag je mijn maatregelen uiteraard door andere vervangen, als ze maar minstens even goed zijn. Laat dan wel even weten wat jij anders doet en waarom, zodat we er met z’n allen van kunnen leren.)

Je hebt, als privépersoon, heel veel accounts. Bij elk account hoort een eigen, uniek wachtwoord. Wachtwoorden zijn niet recyclebaar. Dat is lastig, maar je solliciteert naar grote problemen als je je niet aan deze hygiënemaatregel houdt: diefstal van het wachtwoordbestand bij bedrijf A geeft dan toegang tot al je accounts bij bedrijven B tot en met Z. Ze hoeven heus niet te wéten waar je overal een account hebt; ze kunnen gewoon de voor de hand liggende bedrijven proberen, van bol.com tot Zalando. De belangrijkste letter zit in het midden: de M van mail. Wie toegang tot jouw mailaccount heeft, kan alle accounts resetten via de wachtwoord-vergeten-functie van de desbetreffende sites – en zo dus ook toegang krijgen tot de accounts waarvoor je wél een uniek wachtwoord gebruikt. Je mailwachtwoord is net zo belangrijk als het wachtwoord van je bank.

Nu heb ik je opgescheept met een gigantische berg aan wachtwoorden. Maar geen nood: there’s an app for that! Dergelijke apps heten password managers en doen doorgaans meer dan alleen maar je wachtwoorden onthouden: ze verzinnen ze ook voor je. Wij mensen zijn slecht in het bedenken van moeilijke wachtwoorden, maar omdat een app geen last heeft van wachtwoordamnesiefobie (de vrees om wachtwoorden te vergeten) kan hij héél moeilijke wachtwoorden bedenken. De crux zit hem overigens in de lengte ervan. Complexiteit (hoofd- en kleine letters, cijfers enzovoorts) speelt daarbij een ondergeschikte rol. Jijzelf hoeft maar nog één wachtwoord te onthouden: dat van je password manager. Zorg voor een lang wachtwoord, liefst een passphrase (een zin). Schrijf dat voor de zekerheid op een briefje en berg het op een veilige plek op (en vergeet niet waar dat was…). Meestal zul je de app met je vingerafdruk kunnen openen, maar soms heb je toch weer dat wachtwoord nodig. Deze apps werken vaak samen over meerdere apparaten, zoals je telefoon en de browser op je computer. Let dan even op als je die computer deelt met huisgenoten: als je in de password manager ingelogd blijft, dan kunnen anderen ook bij je accounts.

Nog zo’n moetje is 2FA, dat voor two-factor authentication staat. Authenticatie is het proces van controleren of je bent wie je zegt te zijn. Gebruik je daarvoor alleen een wachtwoord, dan is dat één factor. Voeg je daar ‘iets wat je hebt’ aan toe, dan is dat de tweede factor. Vaak werkt dat via sms; de achterliggende gedachte is dat je fysiek moet beschikken over het bij die site geregistreerde telefoonnummer om de code die je krijgt toegestuurd in te kunnen vullen. Stel 2FA overal in waar het kan.

Je kunt je e-mailadres(sen) registeren bij haveibeenpwned.com. Je krijgt dan bericht als jouw adres in een wachtwoorddiefstal is meegegaan. De Australische beheerder van die site is een alom gerespecteerde beveiligingsexpert.

Ik moet nog even terugkomen op de laatste zin van de eerste alinea. Ja, je kunt inderdaad mail ontvangen waarvan je zelf de afzender lijkt te zijn. Het is kinderlijk eenvoudig om een willekeurig e-mailadres als afzender in te vullen, laat je daar dus niet door van de wijs brengen. Dat jouw adres daar staat bewijst niet dat jouw e-mailaccount gehackt is.

In verband met de aankomende korte werkweek verschijnt de volgende Security (b)log over twee weken.