Hoe ga je slim om met wachtwoorden?

Hoe ga je slim om met wachtwoorden?

Blog door Edwin Stokvis, specialist Privacy en Informatiebeveiliging

Onze data beveiligen en goed omgaan met privacy? Het kan niet meer anders! Immers het aantal meldingen van datalekken blijft stijgen, zo waarschuwt de Autoriteit Persoonsgegevens in een recent bericht.

Ook kent iedereen inmiddels wel de alarmerende berichten over hacks die grote maar ook kleinere organisaties lam leggen. Wat kan je zelf doen, als medewerker of leidinggevende om veilig te werken? Een van de eerste zaken waar een hacker naar kijkt is of hij gewoon met een wachtwoord binnen kan komen. Slim omgaan met wachtwoorden gaat dus helpen, maar dat is best uitdagend, zo blijkt in de praktijk.

Wachtwoorden burn-out!
Peter Pannekoek zei ooit tijdens een optreden in DWDD: “Wij hebben een soort wachtwoorden burn-out, omdat je eigenlijk niet meer weet welk wachtwoord je waar hebt gebruikt.”

En als je er goed over nadenkt is dat ook zo. Wij mensen hebben daar verschillende oplossingen voor. Op de eerste plaats overal (bijna) hetzelfde wachtwoord. Op de tweede plaats een wachtwoord met oplopende nummers en de derde optie: een wachtwoorden boekje, of een veel modernere vorm, de password vault. Dit is net als bij een boekje één plek waar je al je wachtwoorden kan terugvinden. Toegang krijg je door het intikken van één wachtwoord. En dan heb je nog een laatste groep: mensen die standaard op ‘password vergeten’ drukken, omdat ze geen idee meer hebben wat hun password was.

Hoe veilig is je password?
Maar goed, dan heb je een password en dan is het nog wel de vraag: hoe veilig is die dan? Even een vraag aan jou, als geïnteresseerde lezer: “Hoeveel karakters heeft je wachtwoord”? Is je antwoord minder dan 9 karakters dan heb ik nog een vraag voor je: “Hoe lang denk je dat een beetje stevige computer ervoor nodig heeft om dit wachtwoord te kraken”?… Het antwoord: 1 seconde!

Er zijn op het internet zogenaamde brute-force attacks te koop voor een paar tientjes. Met dit programmaatje kan een hacker die je inlognaam weet binnen een seconde achter je password komen. Dat is geen lekker idee toch? Dus mocht je nou zo’n kort wachtwoord hebben, pas hem dan meteen aan tot eentje met minimaal 12 karakters en nog beter een zin die je goed kan onthouden.

Gebruik je werk-password niet voor andere omgevingen
Nog even iets om over na te denken. Gebruik je je inlognaam en password van de organisatie waar je voor werkt ook op andere sites? Bedenk dan het volgende: de organisatie waar jij voor werkt heeft dus wellicht de meest geweldige beveiliging, maar als de site waar je dezelfde login en password gebruikt wordt gehackt, weten deze hackers ook meteen hoe ze met jouw naam de organisatie binnen moeten komen. Bedenk hierbij ook dat als je bijvoorbeeld nummers gebruikt aan het eind van je password het voor een hacker een koud kunstje is om na te gaan bij welk nummer je bent gebleven op je bedrijfsnetwerk. Stel, mijn password is: “Edw1nStokvis10”. Een hacker komt hier achter via een website die is gehackt. De hacker weet ook dat je op de desbetreffende website je password nooit hoeft aan te passen. Hij ziet ook (geloof mij maar) wanneer je lid bent geworden van de desbetreffende website. Stel, je bent lid geworden op 1 december 2019. Bij de meeste organisaties is het beleid om iedere zes weken het password aan te moeten passen. De hacker kan dan dus eenvoudig “Edw1nStokvis11” of “Edw1nStokvis20” gebruiken om te proberen binnen te komen.

Check of je inlog-gegevens zijn buitgemaakt
Wil je weten of je login-gegevens ooit zijn gehackt? Onderzoek het via haveibeenpwned.com. Daar kan je door je mailadres in te tikken zien of je inlog-gegevens zijn buitgemaakt bij een aantal zeer grote hacks.

Hackers en social engineering
Oh ja, let ook op wat je allemaal op Facebook, Instagram of Twitter zet. Stel, je hebt net een nieuwe auto gekocht en zet dit trots op social media, dan is het voor slimme hackers een koud kunstje om te proberen of je bijvoorbeeld de merknaam van je auto hebt gebruikt als password. En dat geldt uiteraard ook voor nieuwe liefdes, paarden, cavia’s en konijnen. Het op deze wijze achter je password komen, wordt social engineering genoemd. Hierbij gaat een hacker op een slimme manier proberen achter je password te komen, door het speuren op het internet, je te mailen of je bellen. (Daar zal ik zal in de toekomst nog wel een keer een column aan wijden.)

Multi-factor-authentication
Organisaties die dit deel van informatiebeveiliging goed onder de knie hebben, zorgen dat je om de zes tot twaalf weken je password moet veranderen en dat je gebruik moet maken van multi-factor-authentication. Ofwel nadat je je password hebt ingetikt krijg je nog een sms-je met een code om te bevestigen dat jij het bent (of dit verloopt via een app). Dit helpt enorm tegen het onbevoegd binnendringen in het systeem. Daarnaast is het heel verstandig om ook een limiet te stellen op het aantal pogingen die gedaan mogen worden username en password in te tikken. Ik adviseer dit in te stellen op maximaal vijf pogingen. Hierdoor krijgen de eenvoudige brute force mogelijkheden geen kans.

Als je na dit verhaal over wachtwoorden even wil lachen om de wachtwoord ellende die wij allemaal kennen, kijk dan even naar dit filmpje van DWDD.

Wil je meer informatie over hoe je je organisatie informatie-veilig maakt? Neem gerust contact op via e.stokvis@harteveld.nl

Edwin Stokvis, Harteveld Groep

Lees ook
Is een DPIA vereist voor een ‘Mijn omgeving’?
Bescherming persoonsgegevens – tips voor het gebruik van BSN