Wachtwoorden veilig houden: adviezen

Je wachtwoorden zijn de sleutel tot je hele digitale leven.

Je bankgegevens. Je e-mail. Je medische dossiers.

Tja, wat eigenlijk niet?

Je wachtwoorden beveiligen alles.

En nu er recent een bekend wachtwoord-beheersysteem gehackt is (en ze niet zo goed beveiligd bleken te zijn als we dachten), wil ik hier nog eens aandacht aan besteden.

Wachtwoorden goed beheren is niet heel moeilijk. Maar je moet natuurlijk wel weten waar je op moet letten, en hoe je het moet doen — als je dat niet weet is alles moeilijk.

Dus, in dit artikel: even kort wat er met LastPass gebeurd is, maar vooral advies wat je kunt doen om je wachtwoorden veilig te houden.

(Sla het LastPass-stukje gerust over als je er geen interesse in hebt, maar kijk wel even wat je nu moet doen.)

Aanleiding van dit artikel: de LastPass hack

In augustus 2022 is LastPass gehackt. Later, in december 2022, hebben ze laten weten dat de hack meer data bevatte dan oorspronkelijk het geval leek.

Dit laatste is de aanleiding van dit artikel geweest.

Deze hack bevatte niet zomaar een spreadsheet met alle wachtwoorden (gelukkig), maar wel allerlei andere gegevens.

Onder andere namen, adressen, e-mailadressen, telefoonnummers, en IP-adressen zijn hiermee gelekt.

Of het lukt om de gegevens te bereiken is nog niet bekend, maar alle opgeslagen websites van gebruikers staan ook in dit bestand.

Dat geeft allerlei waardevolle informatie: ze kunnen bijvoorbeeld gericht "phishing emails" sturen — als ze bijvoorbeeld zien dat jij klant bent bij "bank A", kunnen ze je specifiek e-mails sturen dat daar iets aan de hand is. Beter dan een algemene "er is iets aan de hand bij uw bank".

Of soms is het feit dat je ergens een account hebt al informatie genoeg. Heb jij een account op een website voor mensen die op zoek zijn naar een buitenechtelijke relatie? Dan is er best een redelijke kans dat je niet wilt dat je partner dat weet… En misschien wil je dan ook nog wel losgeld betalen om dat te voorkomen.

Ook heeft de hacker nu de mogelijkheid om "lokaal" (dus niet via het internet) te proberen de wachtwoord-kluizen te kraken. Dat gaat een stuk makkelijker (en vooral veel sneller) dan via het internet.

Daarom dacht ik dat dit een goed moment was om te kijken naar de juiste manier om wachtwoorden te beheren.

Wat is LastPass?

Maar, sorry, we zijn ergens aan voorbij gegaan. Wat is LastPass eigenlijk?

LastPass is een app/dienst om je wachtwoorden te beheren.

In de eerste plaats: een dergelijke app is een goed idee.

Het gebruik van LastPass… Helaas niet meer.

Niet omdat er een hack was — dat kan in principe iedereen overkomen. Maar door de manier waarop ze er mee omgaan.

Wladimir Palant heeft bijvoorbeeld het artikel van LastPass ontleed, en laat zien dat er nog al wat dingen zijn die niet helemaal kloppen.

Het belangrijkste hier is: LastPass communiceert het alsof het bijna niet te doen is om in te breken in de gelekte databases.

Dat is… mogelijk waar.

Maar het is volledig afhankelijk van je hoofdwachtwoord.

Als je hoofdwachtwoord "Boeken2017" was, dan is het wachtwoord vrij snel te raden voor een goede computer. (Die te huren zijn voor een paar euro per uur.)

Dit werkt anders bij bijvoorbeeld 1Password (als je je daar wilt aanmelden, doe het dan via 1password.eu) of Bitwarden, die extra data toevoegen.

Wat moet je nu doen om je wachtwoorden veilig te houden?

Concreet: wat moet je doen?

‌Dat hangt, uiteraard, volledig af van je huidige situatie.

Ik was begonnen een flowchart te maken, maar vond het er niet duidelijker op worden. Dus dan maar in tekst hier.

Optie 1: je hebt geen wachtwoord-systeem

Heb je nu geen wachtwoord-systeem?

Bekijk dan de ingebouwde Sleutelhanger van Apple. Hij kan synchroniseren via iCloud als je wilt, zodat je je wachtwoorden hebt op Mac, iPhone, en iPad.

Sleutelhanger zit in nieuwere versies gewoon ingebouwd in Safari onder "Wachtwoorden".

Dit is de simpelste, maar wel heel veilige, manier om overal je wachtwoorden te hebben en veilige wachtwoorden te kunnen gebruiken.

Heb je meer functies nodig, omdat je bijvoorbeeld wachtwoorden wilt kunnen delen met familie, of mensen met wie je werkt?

Bekijk dan 1Password.

Er zijn nog allerlei andere opties (Bitwarden of KeePassXC bijvoorbeeld), maar Sleutelhanger en 1Password zijn mijn adviezen.

(En nadat ik dat geschreven had las ik dit artikel waar een veiligheid-expert hetzelfde advies geeft. Als je meer wilt weten over de problemen van LastPass, en Engels geen probleem is, is het een interessant stuk om te lezen.)

Als je twijfelt: begin met Sleutelhanger.

Optie 2: je wachtwoord-systeem is een papieren notitieboekje

Heb je je wachtwoorden in een fysiek boekje opgeschreven?

Prima.

Mensen zijn hier vaak onzeker over, als ze mij bijvoorbeeld spreken tijdens een Veilige Mac scan, maar echt: een boekje is prima.

Het kan niet gehackt worden, dus je bent veilig voor allerlei digitale aanvallen.

Natuurlijk is het wel belangrijk dat je het boekje zelf veilig opbergt, bijvoorbeeld in een kluis. Stop het niet in je laptoptas, waar je het een dief wel erg makkelijk maakt.

Een belangrijk nadeel van een boekje is wel dat het er vaak voor zorgt dat je toch nog simpele wachtwoorden gebruikt.

42 willekeurige tekens opschrijven, en overtypen, is misschien net wat te foutgevoelig. In plaats van "qvG.ieEC9yKC__ox_EZhT@@fnjTKgiWWkACsyfKeaG" ga je toch liever voor "Bananen12!", wat een veel minder veilig wachtwoord is.

(Afhankelijk van allerlei factoren, kan het zijn dat zo'n wachtwoord gekraakt is in een paar seconden. Het willekeurige wachtwoord zou echter honderden jaren duren. Zie verderop in dit artikel voor meer tests.)

Bovendien: je hebt de wachtwoorden niet op je telefoon als je onderweg bent. Dus ook daar krijg je dan misschien toch de neiging om voor sommige dingen een "standaard wachtwoord" te gebruiken.

Misschien juist voor de dingen die veilig zouden moeten zijn. (Je e-mail, iCloud, webshops…)

Denk er dus goed over na of het boekje goed voor je werkt. Zo ja? Blijven doen, prima.

Zo nee? Kies een nieuw wachtwoord-systeem volgens optie 1.

Optie 3: je wachtwoord-systeem is LastPass

Kies een nieuw wachtwoord-systeem volgens optie 1, en wijzig zo snel mogelijk je wachtwoorden.

Waarschijnlijk heb je er veel — misschien wel honderden. Focus eerst op de belangrijkste (denk aan je bank, webshops waar je creditcard opgeslagen is, websites waar je op rekening kunt bestellen, abonnementen zoals Netflix…), en werk zo de lijst af.

Als een laatste stap verwijder je je gegevens uit de oude dienst.

In het geval van LastPass verwijder je daar dus al je wachtwoorden, en zeg je dan je account op.

Optie 4: je wachtwoord-systeem is een onbeveiligd #Word-document (of vergelijkbaar)

Door wachtwoorden op te schrijven in en Word-document, of een Numbers spreadsheet, of iets vergelijkbaars, geef je mogelijk heel veel extra toegang aan een hacker.

Het is zoiets als je belangrijke papieren documenten niet in een kluis stoppen.

Natuurlijk is het al erg genoeg dat iemand in je huis komt, maar dat betekent niet dat je ze ook nog al die extra informatie wil geven.

In dit geval: stel dat een hacker (of kwaadaardige software) je documenten in handen krijgt… Dan wil je niet dat ze ook nog gelijk overal op kunnen inloggen.

Dus, hetzelfde advies als LastPass: stap over op een ander wachtwoord-systeem volgens optie 1, wijzig je wachtwoorden, en verwijder dit document.

Optie 5: anders

Voldoe je aan geen van bovenstaande opties? Dan gebruik je misschien al een veilig wachtwoord-systeem, zoals de ingebouwde Sleutelhanger.

Prima, ga zo door.

Twijfel je of jouw systeem veilig is? Of heb je iets heel moois bedacht wat je met me wilt delen?

Mail me gerust even, en ik geef je graag advies als je dat wilt.

Wachtwoorden wijzigen

Waarschijnlijk heb je honderden, of duizenden, wachtwoorden.

"Even" al je wachtwoorden wijzigen gaat dus niet lukken.

Zeker omdat het vaak ook zoeken is op de website hoe je je wachtwoord moet wijzigen.

Er wordt wel gewerkt aan een standaard die dit makkelijker moet maken (voor een groot deel dankzij Apple-medewerkers, zoals hier te zien), maar de meeste websites ondersteunen dit nog niet. (De Apple Coach Academie overigens wel, moest je je dat afvragen.)

Dat betekent dat je per website moet opzoeken hoe je je wachtwoord wijzigt. Het daadwerkelijk moet wijzigen. Vaak nog moet bevestigen via e-mail…

Je bent zo 5 minuten per wachtwoord kwijt. Dat is niet veel voor één wachtwoord, maar wel als je er 200 moet. (200 * 5 = 1000 minuten = meer dan 16 uur…)

Daarom is het handig om een prioriteiten-lijst te maken. Een aantal websites die ik zeker als belangrijk zou aanmerken:

• Overheid-websites (DigiD, Belastingdienst)
• iCloud / Apple ID / App Store (dit is allemaal hetzelfde account)
• E-mail (Gmail, Outlook.com, etc.)
• Webshops, met name als er besteld kan worden met "achteraf betalen" (o.a. bol.com, zalando.nl)
• Cloud synchronisatie en/of backup (Dropbox, OneDrive, Backblaze)
• Banken en financiële informatie (sowieso je eigen bank dus, maar ook bijvoorbeeld icscards.nl, coinbase.com)
• Zakelijke omgevingen die je beheert (YouTube-kanaal, eigen website, nieuwsbrief)
• Social media, met name als je de accounts gebruikt om in te loggen op andere plaatsen (Facebook, Twitter, LinkedIn)
• Tweedehands verkoop-sites, waar "betrouwbare" accounts erg populair zijn voor criminelen ivm identiteitsfraude (Marktplaats, eBay)
• Betaalde diensten, waar accounts vaak doorverkocht worden (Netflix, Disney+, Spotify)

Hoe weet je of een wachtwoord veilig is?

Je wilt dan natuurlijk sterke wachtwoorden gebruiken voor je nieuwe wachtwoorden.

Het beste is die te laten genereren door je wachtwoord-beheer-systeem. Dan is het ook gelijk geïntegreerd.

Safari doet bijvoorbeeld zelf een suggestie voor een nieuw wachtwoord, dat je prima kunt gebruiken.

Ook online zijn er allerlei handige tools te vinden (bijvoorbeeld deze van 1Password), maar dan moet je het wachtwoord wel weer apart opslaan.

Om te weten of je wachtwoord "sterk" is zijn er ook verschillende systemen online.

Mijn favoriet is zxcvbn, omdat het beter is in het herkennen van zwakke wachtwoorden dan veel andere programma's.

Het herkent bijvoorbeeld ook dingen als "droowthcaw" ("wachtwoord", maar dan achterstevoren), of "p4ssw0rd" ("password", met cijfers in plaats van letters).

Test de veiligheid van een wachtwoord

Op basis van zxcvbn heb ik onderstaand hulpmiddel gemaakt. Hier kun je een wachtwoord invoeren, en zien hoe sterk het ongeveer is.

De tijden die je ziet zijn een geschat minimum en maximum. Het hangt van allerlei factoren af (gebeurt het lokaal op de computer, of moet het via internet? wordt er door de website automatisch een stop gezet na een aantal verkeerde pogingen?), maar geeft je een idee.

Let op: je wachtwoord wordt niet naar mij gestuurd. Toch kan het verstandig zijn om een variatie te gebruiken en niet je echte wachtwoord.

Ik ben niet verantwoordelijk als er iets met je wachtwoord gebeurt nadat je het hier hebt ingetypt. (Al zou ik op zich niet weten hoe er iets kan gebeuren, want dit gebeurt allemaal op je computer. Maar dan weet je het even.)

Belangrijke afsluiter

En ten slotte, een heel belangrijke tip…

Zorg natuurlijk voor een enorm sterk wachtwoord op je wachtwoord-systeem.

Als je de ingebouwde van de Mac gebruikt betekent dat dus een sterk wachtwoord op je iCloud, en je Mac-gebruiker.

Synchroniseer je het naar je iPhone of iPad? Gebruik daar dan ook liever een uitgebreid wachtwoord dan een simpele pincode.

Hoe dat allemaal precies zit valt een beetje buiten het onderwerp van dit artikel.

In de cursus over Veiligheid & Privacy bespreken we dit natuurlijk wel, en ook zeer uitgebreid.

Daar hebben we ook handige tips voor het maken van een sterk wachtwoord, dat je nog kunt onthouden ook.

Als je veiligheid belangrijk is — en ik snap dat ik hier subjectief ben — zou ik je zeker aanraden om de cursus te volgen en/of een Veilige Mac scan uit te laten voeren.