Nieuws Cybersecurity
Tips van een meesterhacker: zo kies je veilige wachtwoorden
Goede veiligheid op internet begint met goede wachtwoorden, maar je wordt gek van al die wachtwoorden die je moet onthouden. Meesterhacker Rickey Gevers geeft in De Volkskrant tips uit eigen keuken. Vergeet de verplichte ingewikkelde tekens en cijfers. 'Totale onzin.'
Je gebruikt 123456 als wachtwoord, of je geboortedatum. En, als je heel inventief bent, w31kom. Of erger nog: je gebruikt hetzelfde wachtwoord voor meerdere sites en apps. Niets om je voor te schamen. Je bent niet de enige die van simpel houdt: Facebookbaas Marc Zuckerberg gebruikte het nogal suboptimale wachtwoord Dadada voor verschillende socialmedia-accounts, bleek vorig jaar nadat zijn accounts waren gehackt.
FBI
Als er iemand is die weet waaraan een goed wachtwoord moet voldoen, is het Rickey Gevers (31). Als puber weet hij al feilloos wachtwoorden te kraken, te beginnen met die van zijn vader. Niets is veilig voor hem. Hij belandt zelfs in de cel als de FBI hem in het vizier krijgt nadat hij een universiteitsnetwerk is binnengedrongen. De FBI tipte daarop de KLPD. Nu is hij beveiligingsexpert bij het Haagse ict-securitybedrijf Redsocks.
Lees ook: Hackexpert Ronald Prins (Fox-IT): bedrijf van 133 miljoen en FBI als klant
Het begint meestal met databases van wachtwoorden die ooit zijn gestolen. Die van LinkedIn is vermaard: tjokvol waardevol materiaal voor hackers. Belangstellenden konden de 117 miljoen wachtwoorden en mailadressen vorig jaar voor een paar bitcoin downloaden op het darkweb. 'Via het LinkedIn-wachtwoord kom je meestal zonder al te veel moeite in iemands mail omdat hiervoor een vergelijkbaar wachtwoord wordt gebruikt', weet Gevers. En ieders mail staat vol met weer andere wachtwoorden. Want zo gaat dat: mensen mailen aan zichzelf een wachtwoord. Gevers: 'En zo kom je van het een in het ander.'
Gebruik unieke wachtwoorden
Dit is meteen de belangrijkste tip: gebruik unieke wachtwoorden. Volgens Gevers stamt het systeem van gebruikersnaam en wachtwoord nog uit de oertijd van internet, toen mensen nog niet veel accounts hadden. Dat is nu geheel anders. Webwinkels, social media, reissites, nieuwssites, banken: voor alles is een inlog nodig. De consument wordt er gek van.
Schijnveiligheid
Het resultaat: eenvoudig te raden wachtwoorden. Gevers: 'Het is een illusie te denken dat mensen overal een uniek wachtwoord voor gebruiken. Dat doen ze gewoon niet.' Maar wat kan de consument dan wél doen? Eerst maar eens twee hardnekkige misverstanden uit de wereld helpen, die ook door systeembeheerders in stand worden gehouden. De eerste is de vaak opgelegde verplichting minstens één bijzonder teken, hoofdletters en cijfer te gebruiken. 'Totaal achterhaald', zegt Gevers. 'Wat doen mensen namelijk? Ze veranderen de 'e' in een '3' of de 'i' in een 1. Hackers lachen daar om. Het is schijnveiligheid.'
Misverstand 2: verander wachtwoorden zo vaak mogelijk. De ict-afdelingen van bedrijven en banken stellen dit vaak verplicht. Gevers : 'Dit slaat echt nergens op. Alleen als er aanwijzingen zijn dat een wachtwoord niet meer veilig is, moet je het veranderen.' Het kan zelfs kwaad, want mensen worden murw van al die verplichte veranderingen. Dus wat doet de gemiddelde internetter? Hij maakt van welkom01 gewoon welkom02. Ook hier leidt het goedbedoelde advies aan de consument dus weer tot schijnveiligheid.
Extra controle naast wachtwoord.
Gebruik waar het kan zogenoemde tweetrapsauthenticatie. Je moet dan naast een wachtwoord nog een extra controlemiddel toevoegen dat naar je smartphone wordt gestuurd, bijvoorbeeld een code. Banken gebruiken dit al langer, maar ook Apple, Google en andere bedrijven bieden deze extra veiligheid aan. Meer gedoe, maar een stuk veiliger.
Lees ook: Cybersecurity & privacy: tips om miljoenenboetes te voorkomen
Tips: zo kies je veilige wachtwoorden
1. Maak het wachtwoord zo lang mogelijk
‘Het enige wat telt is lengte’, aldus Gevers. Moeilijk te onthouden? Hoeft echt niet. Gebruik gewoon een zin. De eerste regels van een liedje bijvoorbeeld. Een wachtwoord als ‘hijstaatindesneeuwaandepoortvandestad’ is bijzonder lastig te kraken. Het enige probleem is dat sommige sites bizar genoeg juist een limiet stellen aan het maximaal aantal tekens
2. Veel verschillende wachtwoorden
Gebruik zo veel mogelijk unieke wachtwoorden voor alle sites en apps die je gebruikt. Zeker voor die sites waarvan je echt niet wilt dat onbevoegden er binnenkomen.
3. Gebruik eeen wachtwoordmanager
Lastig te onthouden? Overweeg dan een zogenoemde wachtwoordmanager die voor jou al die verschillende wachtwoorden beheert of zelfs nieuwe genereert. Zorg er wel voor dat het hoofdwachtwoord heel, heel veilig is (zie tip 1). Goede en betrouwbare wachtwoordmanagers zijn LastPass of Dashlane.
4. Extra controle na wachtwoord
Gebruik waar het kan zogenoemde tweetrapsauthenticatie. Je moet dan naast een wachtwoord nog een extra controlemiddel toevoegen dat naar je smartphone wordt gestuurd, bijvoorbeeld een code. Banken gebruiken dit al langer, maar ook Apple, Google en andere bedrijven bieden deze extra veiligheid aan. Meer gedoe, maar een stuk veiliger.
5. Gezichts- en vingerafdrukherkenning
Biometrische controle: gezichtsherkenning, vingerafdruk. Moderne mobieltjes ondersteunen deze beveiligingsmethodes steeds vaker. Apps (bijvoorbeeld die van uw bank) kunnen dan geopend worden met uw unieke vingerafdruk of via een selfie. Wel zo veilig.
