Wachtwoorden - ja, alweer

 

Afbeelding via Pixabay

Vandaag is het Nationale Check-je-wachtwoorden-dag. Dat is een initiatief van techwebsite Tweakers en het Openbaar Ministerie, en de intranetredactie vroeg mij om een extra blog aan deze dag te wijden. Ik sta altijd open voor verzoeknummers, waar ik dan op geheel eigen wijze invulling aan geef.

Eerst maar eens kijken naar de website die bij het initiatief hoort. Daar lezen we het volgende: Als internetter word je geconfronteerd met veel websites die vereisen dat je een gebruikersaccount aanmaakt en een wachtwoord kiest. Veel mensen vinden het moeilijk om al die verschillende wachtwoorden te bedenken en te onthouden. Dat heeft helaas als gevolg dat veel Nederlanders niet veilig omgaan met hun wachtwoorden, door bijvoorbeeld wachtwoorden te kiezen die makkelijk te raden zijn, of wachtwoorden te hergebruiken. Via de Nationale Check je Wachtwoorden Dag willen we mensen hiervan bewustmaken en uitleggen dat het bedenken en onthouden van goede wachtwoorden niet moeilijk hoeft te zijn.

De pagina met wachtwoordtips bevat tot mijn verbazing slechts vier tips. Laten we eens naar die tips kijken. Nummer 1: gebruik een wachtwoord van minimaal acht tekens. Mwah, acht tekens is tegenwoordig wat aan de krappe kant. Tegenwoordig wordt twaalf als veilig minimum beschouwd. Zou men bang zijn dat het dan te moeilijk is om het te onthouden? Daar hebben we een oplossing voor; zie verderop.

Tip 2: stel nooit één enkel woord in als uw wachtwoord. Mee eens, want dan staat je wachtwoord in het woordenboek en hackers zijn er erg goed in om buitgemaakte wachtwoordbestanden geautomatiseerd tegen een woordenboek aan te houden. Dat maakt een wachtwoord als autoband kansloos. Net zo kansloos overigens als aut0b@nd, want dat trucje staat ook in de hackerwoordenboeken.

De derde tip luidt: gebruik minimaal één woord en een cijfercombinatie die alleen u kent. Dus zoiets als autoband2022? Daarmee wordt het wachtwoord in ieder geval langer, en lengte is echt de belangrijkste factor. De geadviseerde cijfercombinatie wordt helaas al gauw een jaartal, verjaardag of de pincode van je bankpas, die het wachtwoord niet echt sterker maken en misschien zelfs een risico introduceren (ja, ik doel op die pincode).

Maar gelukkig zeggen ze in tip 4: gebruik geen geboortedata, adressen of iets anders dat eenvoudig is te raden. Helemaal mee eens. Deze tip is vooral bedoeld om doelgerichte aanvallen op specifieke personen af te wenden. Als een kwaadwillende niet een willekeurig iemand, maar jou op het oog heeft, dan gaat hij alles wat hij over je kan vinden gebruiken voor zijn aanval. Alle persoonlijke informatie, ook al is het nog zo ver gezocht, is dus taboe voor gebruik als (onderdeel van) wachtwoord.

Na de genummerde tips komen er toch nog een paar extra tips. Dat je je wachtwoord niet op een post-it moet schrijven. En over beveiligingsvragen – er zijn nog steeds sites die je verplichten om op te geven hoe je eerste huisdier/schooljuf/liefje heette, of soortgelijke vragen – zeggen ze dat je geen vragen moet kiezen waarop anderen het antwoord weten. Ik zeg het krachtiger: lieg! Wat is uw geboorteplaats? Banaan. Hoe heette uw eerste schooljuf? Fotolijstje. Natuurlijk moet je die leugens wel ergens opslaan, anders heb je er niks aan.

En dat brengt me op de beloofde oplossing om al die geheimen te onthouden: de wachtwoordkluis/ passwordmanager/wachtwoordmanager – een app die je wachtwoorden en andere geheime informatie voor je onthoudt, terwijl jij zelf alleen het wachtwoord van die app hoeft te onthouden. Volgens onderzoek in opdracht van Tweakers gebruikt slechts 7% van de Nederlanders zo’n app. Dat is echt betreurenswaardig weinig. Dus bij deze een oproep aan de overige 93%: download nú een wachtwoordmanager en neem ‘m in gebruik. Kijk even welke het beste bij jou past; op de website staan er drie, maar er zijn veel meer (pssst: mijn favoriet is Bitwarden). En nog een extra tip: wachtwoordmanagers zijn ook geweldig in het verzinnen van sterke wachtwoorden.

Dit is een Security (b)log special. Daarom (en vanwege een paar vrije dagen) is er deze week geen nieuws uit de grote boze buitenwereld.