.png)
Wachtwoorden zijn als ondergoed: laat ze niet zien, verander ze vaak en deel ze niet met vreemden.
- Chris Pirillo
Cyberbeveiliging draait niet alleen om het begrijpen van complexe kaders of het behalen van certificeringen. Het gaat om proactiviteit, voortdurend leren en het aannemen van dagelijkse gewoonten die uw digitale verdediging versterken. Een van de belangrijke, dagelijkse gewoonten is het beveiligen van uw wachtwoorden.
We zijn er allemaal aan gewend dat ons wordt verteld dat we niet voor veel diensten hetzelfde wachtwoord mogen gebruiken. Wachtwoorden moeten ook sterk zijn, d.w.z. voldoende lang en gevarieerd. Voor de meesten van ons staan hier twee doelen tegenover elkaar. Niemand kan lange, onduidelijke wachtwoorden onthouden, dus we zullen onvermijdelijk ernstige beveiligingsfouten maken als we niet planmatig te werk gaan - met behulp van een systeem om wachtwoorden veilig te beheren.
.png)
Datalekken gebeuren voortdurend. Tegenwoordig kun je bijna elke dag in het nieuws lezen over nieuwe datalekken. Bij sommige datalekken gaat het om het direct lekken van wachtwoordinformatie, zoals het lek van 164 miljoen gebruikers van LinkedIn in 2016 - en het lek van 10 miljard wachtwoorden voor het hacken van een forum in 2024 met wachtwoorden in gewone taal. In 2024 kreeg Meta een boete voor het opslaan van 600 miljoen Facebook- en Instagram-wachtwoorden in platte tekst. Naast wachtwoorden onthullen datalekken meestal ook bedrijfsgeheimen of persoonlijke informatie, waardoor fraudeurs meer overtuigende phishingpogingen kunnen doen.
Heb je ooit een nieuwsbericht gelezen over een datalek waarin vol vertrouwen stond dat "de gelekte wachtwoorden toch versleuteld waren"? Meestal heeft elke slim beheerde online service wachtwoorden versleuteld met een versleutelingsalgoritme en gezouten, maar dit voorkomt niet dat wachtwoorden worden blootgelegd.
Wanneer een fraudeur een lijst met wachtwoorden bemachtigt die versleuteld zijn met een versleutelingsalgoritme, zet hij een programma in werking om wachtwoorden te kraken. Als de informatie eenmaal uitgelekt is, kan het kraken offline gebeuren en bestaan de beperkingen op het aantal keren dat een echt wachtwoord geprobeerd kan worden, zoals bij online aanmeldingsformulieren, niet meer. Met de moderne rekenkracht kan een wachtwoord van 8 tekens met de meest gebruikte encryptiemethoden in enkele minuten worden gekraakt.
We leven in een digitale wereld waarin we online winkelen, sociale relaties onderhouden - in feite doen we allerlei transacties en zaken. We zouden ons hier meer zorgen over moeten maken dan we gewoonlijk doen.
Een hacker kan soms proberen om een "key logger" op je apparaat te krijgen die je klikken bijhoudt, of een programma dat het scherm van je telefoon dupliceert, en zo je wachtwoord afleiden, maar deze kunnen sterk beïnvloed worden door veilig apparaatgebruik. Als het gaat om gelekte wachtwoorden van online diensten en het kraken ervan met eenvoudige software voor het kraken van wachtwoorden, heeft de lengte van het wachtwoord een directe invloed op de tijd die het kost om het te kraken. Deze programma's proberen verschillende combinaties totdat ze het goed hebben. Een wachtwoord van 5 tekens duurt seconden, een wachtwoord van 10 tekens duurt jaren.
Omdat de rekenkracht en de methoden die hackers gebruiken om wachtwoorden te kraken steeds beter worden, worden deze kraaktijden steeds korter.
Natuurlijk proberen ze ook direct je wachtwoord uit je te vissen
Phishing is een van de meest voorkomende beveiligingsproblemen. Het houdt in dat een oplichter zich voordoet als uw creditcard en u vertrouwelijke informatie probeert te ontfutselen - bijvoorbeeld uw login voor de service in kwestie. Phishing-zwendel is tegenwoordig erg geraffineerd en het is niet altijd eenvoudig om te zien of het om zwendel of een legitiem verzoek gaat.
Een van de populairste wachtwoorden lijkt het eeuwige 'wachtwoord' te zijn. Het is te vinden op de hierboven genoemde website https://haveibeenpwned.com/Passwords, gelekt met miljoenen gebruikersgegevens, en toch staat het nog steeds in de 'top tien' van populairste wachtwoorden in de laatste onderzoeken. Op een ingenieuze manier o in 0 veranderen of a in @ zal de dag ook niet redden. Dit zijn de resultaten van haveibeenpwned, die laten zien hoe vaak het wachtwoord in kwestie betrokken is geweest bij datalekken:
Als ik het willekeurige wachtwoord '8oQ%z7$hJTOL3!RV' dat wordt aanbevolen door mijn wachtwoordbeheersysteem test op de site, is de respons nul keer. Het is dus verstandig om tools te zoeken waarmee je willekeurige wachtwoorden kunt gebruiken die je zelf niet hoeft te kennen, laat staan proberen te onthouden.
Aleksi86! of Tampere20#. Lijkt het op een bekende wachtwoordstijl? De meeste wachtwoorden die je zelf verzint zijn eigenlijk heel gewoon en voorspelbaar. We gebruiken bijvoorbeeld een naam, plaats of ander veelvoorkomend woord als beginwoord, misschien met een hoofdletter. We vervolgen met een getal en eindigen met een veelgebruikt speciaal teken dat verplicht is (!, @, # of wat dan ook).
Het resultaat is dat dit het soort patroon is dat een wachtwoordkraakprogramma kan verwachten, en veel correcte gissingen maakt nog voordat het eigenlijke kraken van het wachtwoord begint. Er worden zoveel wachtwoorden gelekt dat krakers veel kennis hebben over veelgebruikte technieken om wachtwoorden te kraken - gebruik ze dus niet en gebruik volledig willekeurige wachtwoorden.
Je hebt misschien gehoord dat het zinvoller is om bijvoorbeeld een wachtwoord van 4 woorden te gebruiken in plaats van een korter wachtwoord. Dit kan inderdaad veiliger zijn, maar is vaak volledig irrelevant, omdat elk systeem toch een ander wachtwoord vereist. Als iemand 100 wachtwoorden van vier woorden kan onthouden, ga je gang. Voor de meesten van ons is het zinloos om te proberen wachtwoorden te onthouden - er zijn er gewoon te veel om te onthouden, hoe eenvoudig ze ook zijn.
De gemiddelde persoon hergebruikt elk wachtwoord 14 keer. Wachtwoorden hergebruiken voor meerdere accounts is een kritieke fout. Als één account wordt gecompromitteerd, lopen alle andere accounts met hetzelfde wachtwoord gevaar. Deze praktijk kan leiden tot een domino-effect, waarbij een inbreuk op één service gevoelige informatie op meerdere platforms kan blootleggen.
Dus als wachtwoorden niet herbruikbaar zijn, kan het idee opkomen om je eigen inventieve algoritme te maken om wachtwoorden te genereren. Echter, wachtwoord krakende scammers en de software die ze gebruiken zijn meestal minstens zo inventief. Als je een slimme methode gebruikt om wachtwoorden te genereren, betekent de onthulling van één wachtwoord meestal dat er niet veel moeite nodig is om de methode zelf en andere wachtwoorden te achterhalen.
Wees nu eerlijk, weet je nog dat je een account had dat jaar na jaar nog steeds hetzelfde wachtwoord had? Sommige platformen kunnen de gebruikers dwingen om het wachtwoord regelmatig te wijzigen, en ook al voelt het misschien als een vervelende taak wanneer het op het slechtst mogelijke moment verschijnt, de voordelen die eruit voortvloeien zijn het allemaal waard. Niet alle inbreuken en kwetsbaarheden worden onmiddellijk ontdekt. Als een wachtwoord wordt onthuld bij een datalek of door malware, minimaliseert het regelmatig bijwerken ervan de kans voor een aanvaller om er misbruik van te maken.
Multi-Factor Authenticatie, of beter bekend als MFA, voegt een extra beveiligingslaag toe door een andere vorm van verificatie te vereisen naast het gekozen wachtwoord. Dit kan een sms-code zijn, een verificatie-app of een biometrische factor zoals een vingerafdruk of gezichtsherkenning. Dus zelfs als een wachtwoord gecompromitteerd is, kan MFA ongeautoriseerde toegang voorkomen. Zonder MFA vertrouwt je account alleen op je wachtwoord, wat de kwetsbaarheid vergroot.
.png)
De gemiddelde gebruiker heeft meer dan 90 online accounts waarvoor wachtwoorden nodig zijn. Dus wat moet je doen als je je wachtwoorden veilig wilt houden? Gebruik software die is ontworpen voor wachtwoordbeheer.
Dergelijke software is als dat kleine zwarte boekje waarin je al je wachtwoorden opschrijft, maar dan versleuteld en gemakkelijker te gebruiken. Wachtwoordbeveiliging is een kerncompetentie van deze aanbieders van wachtwoordbeheer en LastPass bijvoorbeeld beschrijft vrij uitgebreid de principes die ze hebben gebruikt om een meerlaagse beveiliging voor onze "kluizen" te bouwen. Hun doel is om ervoor te zorgen dat zelfs in het geval van een inbreuk, de versleutelde inhoud van de kluizen nooit in gevaar komt. Daarnaast is het ook in het belang van zo'n provider om te controleren of wachtwoorden die gelekt zijn uit andere services niet overeenkomen met de hoofdwachtwoorden van gebruikers. Het is goed om zo'n partner in je dagelijks leven te hebben.
Het wachtwoordbeheersysteem laat je altijd bij de registratie beslissen hoe complex het wachtwoord deze keer zal zijn, en onthoudt het voor je. Wachtwoordbeheersystemen zijn ook ontworpen om met meerdere apparaten te werken. Of je je nu aanmeldt voor een nieuwe dienst vanaf je telefoon, laptop of tablet, je wachtwoord en gebruikersnaam worden automatisch in een kluis geplaatst waar je ze de volgende keer dat je inlogt kunt ophalen, welk apparaat je ook gebruikt.
Er is nog minstens één uitdaging over. Hoe verzin je een wachtwoord dat sterk genoeg is voor het hoofdwachtwoordbeheersysteem? In dit geval zou de eerder genoemde passphrase kunnen werken. Voor hulp / ideeën over hoe je een passphrase kunt maken, zie bijvoorbeeld severalpassphrase.com.
De tweede optie is om op je geheugen te vertrouwen en jezelf te dwingen het hoofdwachtwoord vaak genoeg te gebruiken zodat je het niet vergeet. Dit werkt meestal goed genoeg voor wachtwoorden op bijvoorbeeld je telefoon of tablet, die je natuurlijk moet onthouden om toegang te krijgen tot de wachtwoordmanager.
Veel gebruikers trappen in veelvoorkomende valkuilen zoals het gebruik van zwakke wachtwoorden, het hergebruiken van hetzelfde wachtwoord voor verschillende accounts of het vertrouwen op gemakkelijk te raden informatie, waardoor hun kwetsbaarheid aanzienlijk toeneemt. Bovendien kunnen accounts worden aangevallen als wachtwoorden niet regelmatig worden bijgewerkt.
Gelukkig kunnen hulpmiddelen zoals wachtwoordbeheersystemen en multi-factor authenticatie sterkere beveiligingsmaatregelen bieden. Een wachtwoordmanager vereenvoudigt het veilig aanmaken en opslaan van wachtwoorden, terwijl multi-factor authenticatie een essentiële extra verdedigingslaag toevoegt, waardoor het voor hackers aanzienlijk moeilijker wordt om ongeautoriseerde toegang te krijgen. Het onthouden van deze tips en veelgemaakte fouten is niet alleen verstandig, maar ook noodzakelijk om je digitale identiteit te beschermen.
