Wachtwoorden beheren? Gebruik een kluis

Je hebt een wachtwoord voor je mailserver, je pensioenoverzicht en al je online abonnementen. Zie die maar eens allemaal te onthouden. Een wachtwoordmanager doet dat voor jou. Maar hoe veilig is dat? En hoe werkt zo’n wachtwoordkluis precies?

’Welkom2020’, dat was eind 2020 het wachtwoord van het beheerdersaccount bij gemeente Hof van Twente. Makkelijk te onthouden, maar ook makkelijk te kraken. Het gevolg: een enorme ransomware-aanval. En niet alleen Nederlanders kiezen makkelijke wachtwoorden in plaats van veilige. Van de miljarden wachtwoorden die in 2022 wereldwijd gelekt of gestolen werden, was ‘password’ het populairst. Op nummer twee in de lijst: ‘123456’ …

Overal hetzelfde wachtwoord

We kiezen dus te makkelijke wachtwoorden. Maar er is nog een probleem, zegt Tijs Hofmans, redacteur Privacy bij Tweakers.net. “We hebben honderden accounts, dus we gebruiken vaak hetzelfde wachtwoord opnieuw. Als jij op site A en B hetzelfde wachtwoord gebruikt en de eerste site wordt gehackt, dan kunnen criminelen ook inloggen op site B.” In deze tijd van datalekken is het daarom belangrijker dan ooit: gebruik unieke wachtwoorden. Maar hoe beheer je die? Een veilige optie is een wachtwoordmanager.

Eén hoofdwachtwoord onthouden

“Een wachtwoordmanager slaat al je wachtwoorden op in een veilige kluis,” legt Hofmans uit. “De meeste wachtwoordmanagers kunnen ook sterke, willekeurige wachtwoorden voor je maken.” Bijvoorbeeld ‘kdhj48H23D!-l09w’. Als je online inlogt bij een account, vult de manager het juiste wachtwoord in. Zo hoef je al die wachtwoorden niet zelf te onthouden. Het enige wat je wél moet onthouden, is het hoofdwachtwoord. En dat mag natuurlijk niet ‘password’ zijn.

Veilig?

“Een wachtwoordmanager is in principe veilig”, zegt Hofmans. “Er is natuurlijk een kans dat zo’n dienst gehackt wordt. Maar hun ‘core business’ is beveiliging. Als dat misgaat zijn ze failliet. Ze zetten dus alles op alles om dat te voorkomen.” Soms gaat het mis. Zo drongen hackers in augustus 2022 de wachtwoordmanager LastPass binnen. De aanvallers kwamen volgens het bedrijf niet bij de wachtwoorden zelf. De kans is waarschijnlijk groter dat je wachtwoorden via slecht beveiligde webshops gelekt worden, dan via je wachtwoordmanager.

Voordelen voor ondernemers

Voor iedereen is een wachtwoordmanager zinvol, vindt Hofmans, maar voor ondernemers helemaal. “Als je met klantgegevens werkt, is het belangrijk om die te beveiligen. Maar je wilt ook niet dat er iets gebeurt met je website of de online dienst die je aanbiedt. Digitale veiligheid is echt een bedrijfsrisico.” Verschillende diensten bieden betaalde en onbetaalde wachtwoordmanagers aan. De wachtwoordmanager is in beide gevallen gelijk, maar wie betaalt, krijgt bijvoorbeeld extra opslagruimte voor versleutelde gegevens. Alleen: hoe te kiezen? Er zijn veel vergelijkingstests beschikbaar, bijvoorbeeld van Tweakers of van VPN Gids.

Doe-het-zelf-wachtwoorden

Beheer je je wachtwoorden toch liever zelf? Zo kiezen jij en je werknemers veilige wachtwoorden.

  • Kies nooit getallenreeksen of reeksen van het toetsenbord. Een wachtwoord van vijf cijfers, zoals 12345, is in één microseconde door een computer gekraakt.
  • Check eens de meest gebruikte wachtwoorden in 2022. Dat zijn bijvoorbeeld ook ‘iloveyou’ of ‘superman’. Gebruik die dus vooral niet.
  • Vermijd in je wachtwoord persoonlijke gegevens die gemakkelijk online te vinden zijn, zoals je geboortejaar.
  • Een wachtwoord korter dan acht tekens is volgens experts per definitie zwak. Ga voor minstens acht tekens, maar liever twaalf of meer.
  • Moet je je wachtwoord vernieuwen? Kies dan echt een nieuw wachtwoord. Plak niet een ander cijfer achter het wachtwoord dat je al drie jaar gebruikt: daarmee maak je het hackers gemakkelijk.
  • Een wachtwoordzin is vaak makkelijker te onthouden dan een wachtwoord, en vaak ook sterker. ‘Ikschreefmijvorigeweekinbijkvk’ blijkt bijvoorbeeld best een geschikte wachtwoordzin: pas na een paar quintiljoen jaar gekraakt.

Bewaar niets in webbrowser

Log je in op een website, dan biedt je webbrowser meestal standaard aan je gebruikersnaam en wachtwoord op te slaan. Zo vult die je gegevens de volgende keer automatisch voor je in. Deze 'Autofill'-functionaliteit is handig, maar niet veilig. Een hacker kan alle wachtwoorden die je in de browser opslaat gemakkelijk stelen. Bijvoorbeeld via een schadelijke plug-in in je browser. Of via een gevaarlijk script op een webpagina die je bekijkt. Bewaar je wachtwoorden dus niet in je webbrowser, maar in een wachtwoordkluis.

Check het lek

Wil je weten of jouw inloggegevens ooit zijn gelekt? Dit kun je op verschillende sites controleren. Op de site van de Nederlandse politie, maar ook op de Australische website haveibeenpwned.com, die grote datalekken en hacks verzamelt. Op de Nederlandse site scatteredsecrets.com kun je zelfs zien welke van je wachtwoorden op straat liggen. Die moet je dus snel veranderen!

Gebruik jij een wachtwoordmanager voor je bedrijf? We komen graag met je in contact. Deel je ervaring via kvk.cyber@kvk.nl.

Hoe gebruik je veilige en sterke wachtwoorden?