Wat maakt een goed wachtwoord? Daar bestaan veel verouderde ideeën over. Zo was een woord met een paar cijfers en een leesteken vroeger goed, maar dat is tegenwoordig echt niet meer voldoende. Simpele wachtwoorden zoals '123456', 'password' en 'welkom123' worden vandaag de dag nog het vaakst gebruikt, maar deze wachtwoorden zijn in minder dan een seconde te hacken.
De regel is: hoe langer hoe beter. Een zinnetje is dan het meest logisch, omdat het beter te onthouden is dan een reeks ingewikkelde tekens. Het wachtwoord 'ikbenzelfverantwoordelijkvoormijninternetveiligheid' is bijvoorbeeld veel veiliger dan '!ntErN3ttEn#'.
Helaas is zo'n zinnetje niet overal mogelijk. Menig Nederlandse internetdienst heeft nog ouderwetse eisen als het gaat om wachtwoorden, zelfs banken. Met bijvoorbeeld een zeer beperkt aantal tekens die je mag gebruiken.
Naast de lengte is het belangrijk dat je voor elk online account dat je creëert een uniek wachtwoord gebruikt. Het gebeurt helaas veel te vaak dat er gegevens lekken van bijvoorbeeld een webshop of een internetforum. Zit daar jouw e-mailadres en wachtwoord bij, dan kunnen kwaadwillenden die combinatie heel makkelijk op andere platformen testen. Gebruik je daar dezelfde inloggegevens, dan geef je hen zo toegang tot die accounts. Dat kan ook gaan om je e-mail of je bank.
Een complete wachtwoordzin onthouden voor elke dienst die je gebruikt is natuurlijk niet te doen. Gelukkig hoeft dat ook niet. Daar zijn namelijk wachtwoordmanagers voor bedacht. Met deze programma's sla jij al je wachtwoorden op en kun je er op elke plek weer bij. Deze wachtwoordmanagers kunnen ook veilige wachtwoorden voor je bedenken. Dat zijn dan geen makkelijk te onthouden zinnetjes, maar een lange reeks aan willekeurige tekens. Alsof er een kat over het toetsenbord heeft gelopen.
Bekende wachtwoordmanagers zijn LastPass, 1PassWord of BitWarden. Deze diensten gebruik je als programma op je computer, extensie van je webbrowser of als app op je smartphone. Met de Enterprise-versie van deze programma's kunnen organisaties makkelijk en veilig de wachtwoorden van alle werknemers beheren. Zo is het bijvoorbeeld mogelijk om een databank met wachtwoorden te delen, zonder ooit de wachtwoorden te hoeven verzenden in een e-mail of chatbericht. Tevens is het mogelijk om, als het nodig is, de toegang in te trekken van specifieke gebruikers of juist een andere organisatie toegang te geven tot opgeslagen wachtwoorden.
Maar een wachtwoordmanager is niet alleen voor de zakelijke markt relevant. Ieder individu die online werkt, winkelt of een sociaal leven onderhoudt, heeft iets aan een wachtwoordmanager.
Zo'n programma installeren klinkt als veel werk, maar alleen het instellen en al je wachtwoorden toevoegen kost even wat tijd. Daarna nemen wachtwoordmanagers juist een hoop gedoe uit handen. Wachtwoorden worden vaak al vanzelf ingevuld en jij hoeft nog maar één wachtwoord te onthouden: het hoofdwachtwoord.
Wachtwoordmanagers versleutelen de opgeslagen wachtwoorden zo goed, dat hackers er zelfs na een lek niets aan hebben. Lekken wachtwoorden op een andere plek, dan is het zaak om dat wachtwoord zo snel mogelijk te vervangen. Om te zien of je onderdeel bent van een lek, kun je kijken op de website Have I Been Pwned. Wij checken ook gelijk de Have I Been Pwned-database wanneer je op AFAS Online je wachtwoord instelt of wijzigt. Wanneer jouw gekozen wachtwoord voorkomt op de lijst van gelekte wachtwoorden krijg je daar gelijk een melding van.
Ook bieden webbrowsers zoals Safari en Chrome de mogelijkheid aan om wachtwoorden op te slaan. Google scant deze wachtwoorden en laat je ook weten of ze zijn gelekt. Webbrowsers bieden wat minder opties dan wachtwoordmanagers als het gaat om wachtwoorden, maar als je altijd in dezelfde browser werkt en je Google-account (voor Chrome) of iCloud-account (voor Safari) goed beveiligd zijn, is dat ook een prima manier om wachtwoorden aan te maken en op te slaan.
Toch is er ook slecht nieuws: hoe goed je wachtwoorden ook zijn, ze blijven het zwakste onderdeel van je online accounts. Elk wachtwoord kan lekken, hoe sterk deze ook is. Daarom is het altijd belangrijk om een tweede laag beveiliging toe te voegen. Dat heet tweefactorauthenticatie, vaak afgekort tot 2FA. Hiermee bevestig je jouw identiteit op een tweede manier. Hoe dat werkt leggen we uit in een volgend artikel. Blijf veilig!
Ignaece, Security Officer (CISO) bij AFAS helpt je in een serie artikelen om je internetveiligheid te vergroten. In dit eerste artikel: je wachtwoorden.