In 80 procent van de gevallen worden datalekken veroorzaakt door zwakke of gestolen wachtwoorden. Het gebruik van zwakke wachtwoorden is dan ook één van de grootste uitdagingen binnen cybersecurity. Toch zijn er nog steeds genoeg mensen die kiezen voor wachtwoorden als ‘welkom123’ of de naam van hun favoriete voetbalclub. Waarom gebeurt dit en hoe zorg je dan wel voor veilige wachtwoorden?
Risico’s worden onderschat
De voornaamste oorzaak van het gebruik van zwakke wachtwoorden is dat ze veel makkelijker te onthouden zijn dan sterke wachtwoorden. Ook worden de risico’s van zwakke wachtwoorden vaak onderschat. Er is te weinig besef dat goede, sterke wachtwoorden een eerste verdedigingslinie vormen tegen ongeoorloofde toegang tot onze computer en mobiele apparaten. Daar staat persoonlijke informatie op zoals emails of creditcardgegevens die door hackers geëxploiteerd kunnen worden. Daarbij ontbreekt het vaak aan kennis over oplossingen die het makkelijker maken om sterke wachtwoorden te gebruiken.
Database met gekraakte en gelekte wachtwoorden
Wanneer een hacker met succes een wachtwoord kraakt of vindt, de laatste bijvoorbeeld door een datalek, gooit ze die wachtwoorden in een groeiende database. Deze database, in wezen een woordenboek met wachtwoorden, wordt gebruikt tegen nieuwe doelen. Als jij een zwak en veelvoorkomend wachtwoord gebruikt, is dit voor hackers gemakkelijk te achterhalen.
Unieke wachtwoorden
“Maar ik gebruik variaties van hetzelfde wachtwoord, waarbij ik op een slimme manier "@" vervangt door "a", "!" voor de letter "l", en ik voeg een jaar na de tekst toe om het anders te maken.”
Helaas is dit patroon van variaties ook bekend bij kwaadwillende hackers.
Als je datzelfde wachtwoord dan ook voor al je alle andere applicaties en sites gebruikt, krijgt de hacker toegang tot nog veel meer persoonlijke data en accounts. Dit maakt hergebruik van wachtwoorden heel risicovol. Kies daarom altijd een uniek wachtwoord voor elke applicatie of site waar je toegang toe hebt. Check via de website have I been Pwned maar eens of jij accounts hebt die al eens gelekt zijn.
Afb: Computest analyse meest gebruikte wachtwoorden in Nederland in 2019
Zo zorg je voor veilige wachtwoorden
Als je beseft wat de risico’s zijn van gelekte wachtwoorden, dan snap je dat je hier als consument ook een verantwoordelijkheid in hebt. Het goede nieuws is dat veilige wachtwoorden best makkelijk te realiseren zijn.
Kies ten eerste een wachtwoord dat lang is. Gebruik daarbij niet te veel willekeurige tekens, want dat maakt het lastiger een wachtwoord te onthouden. Een goede manier om zo’n lang wachtwoord te bedenken is door een zin te gebruiken van vier of vijf woorden. Dan heb je een wachtzin van 20-25 tekens dat makkelijk te onthouden is, maar voor een hacker lastig te achterhalen.
Natuurlijk gebruik je ook zoveel mogelijk multifactor authenticatie, waardoor hackers nooit met alleen je wachtwoord toegang krijgen tot je gegevens maar je je ook altijd nog op een andere manier moet authenticeren. Bijvoorbeeld authenticeren door middel van iets wat je hebt (smartcard, telefoon) of wat je bent (vingerafdruk of face-id).
Password managers: veiliger én makkelijker
Een goede oplossing voor het genereren van veilige wachtwoorden is door gebruik te maken van een password manager zoals Lastpass of 1Password. Het grote voordeel daarvan is dat het één van de weinige securitymaatregelen is die je digitale leven niet alleen veiliger maakt maar ook makkelijker. Password managers genereren unieke, lange wachtwoorden voor al je accounts. Je kunt het zien als een sterke versleutelde kluis met al je wachtwoorden erin.
Daarnaast kun je er ook belangrijke documenten in uploaden zoals een kopie van je paspoort, rijbewijs of creditcard. Bovendien beschermt het je tegen phishing. Een password manager genereert wachtwoorden voor de officiële websites waar jij een account hebt. Klik je op een phishing mail die je leidt naar een valse website, dan zal de password manager er automatisch geen wachtwoord invullen en zal de phishing-poging niet slagen.
Je hoeft je geen zorgen te maken dat password managers toegang hebben tot al jouw wachtwoorden. Zij slaan slechts een versleutelde kluis op, waar niemand toegang toe krijgt zonder jouw hoofdwachtwoord. Ook de password manager zelf niet. Dit betekent dat jouw wachtwoorden alleen maar te gebruiken zijn op jouw apparaten. Op deze manier verkleinen password managers de risico's voor gebruikers die zouden ontstaan wanneer een password manager zelf wordt gehackt.
Drie wachtwoorden die je moet onthouden
Als je een password manager gebruikt, zijn er dus eigenlijk nog maar drie wachtwoorden die je moet onthouden:
- het wachtwoord van je e-mail;
- het wachtwoord van je computer;
- het hoofdwachtwoord van je password manager.
Stukken makkelijker toch?
Ben je overtuigd, maar lijkt het je nogal een gedoe om alle sites die je bezoekt te koppelen aan je password manager? Doe het dan gefaseerd. Voer dan steeds als je een nieuw account aanmaakt op een website je gegevens in in je password manager. Zo voeg je steeds meer sites toe en wordt het gebruik ervan geen enorme berg werk.
Maar wat nu als de leverancier van je password manager failliet gaat of dit bedrijf zelf wordt gehackt? Daar hoef je niet bang voor te zijn. Als de leverancier failliet gaat, stoppen alleen de updates en heb je nog ruimschoots de tijd over te stappen. Als een password manager gehackt wordt, zullen hackers het hoofdwachtwoord van je password manager ook niet achterhalen als je hier een sterke wachtzin voor gebruikt. Bovendien zullen ze naast je hoofdwachtwoord ook fysiek toegang moeten hebben tot één van je apparaten waar je de password manager gebruikt.
Hackers worden steeds inventiever
Hackers en andere cybercriminelen vinden steeds nieuwe manieren om toegang te krijgen tot je computer en mobiele apparaten om de informatie die erin staat te stelen of te exploiteren. Besteed dus aandacht aan het zorgvuldig creëren en beschermen van je wachtwoorden of nog beter: gebruik een password manager. Daarmee maak je het veiliger voor jezelf én makkelijker.