Overzicht
Actueel
22 October 2018
Is jouw wachtwoord gelekt? Tips voor sterke en veilige wachtwoorden

We schrijven regelmatig over het belang van sterke wachtwoorden, een onderwerp dat bij veel organisaties in de gouden cybersecurityregels terug te vinden is. En niet voor niets; het gaat namelijk nog vaak mis. Dat komt doordat mensen ofwel onveilige wachtwoorden gebruiken, hetzelfde wachtwoord voor zakelijke en persoonlijke accounts herhalen, of te lang wachten met het vervangen van een oud wachtwoord.

Sterke wachtwoorden'

Een goed en sterk wachtwoord verzinnen vindt bijna iedereen lastig. Maar wachtwoorden zijn je toegang tot je digitale werkplek, accounts op internet en e-mail en dus een geliefd doelwit van criminelen. Het is daarom cruciaal om een sterk (lang) wachtwoord te bedenken dat daarnaast goed te onthouden is. Een voorbeeld is drie willekeurige woorden met een streepje (-) ertussen met tenminste één cijfer en één hoofdletter, want een sterk wachtwoord mag ook een wachtzin zijn.

Een goed wachtwoord of sterke wachtzin is daarnaast pas veilig als het ook uniek is. Het is daarom van groot belang om altijd een volledig nieuw en uniek wachtwoord te gebruiken als het systeem vraagt om een nieuw wachtwoord in te stellen, en dat voor ieder individueel account – dus zowel je e-mail op kantoor als je Netflix thuis. Want mocht dat ene wachtwoord een keer op straat belanden of op wat voor manier dan ook bij de verkeerde persoon terechtkomen, en je hebt (bijna) hetzelfde wachtwoord voor al je zakelijke en privé applicaties en apparaten, dan kunnen ze eenvoudig overal binnenkomen.

ScatteredSecrets

De afgelopen week zagen we een nieuwtje in de wereld van wachtwoorden en veilig online zijn, dat we graag met je willen delen: ScatteredSecrets. Je hebt vast wel eens gehoord van haveibeenpwned.com, de website waar je kunt checken of je e-mailgegevens gelekt zijn bij een bekend datalek, zoals de incidenten bij Dropbox en LinkedIn.

Het Nederlandse ScatteredSecrets.com biedt dezelfde inzichten in bekende datalekken en dekt bijvoorbeeld ook porno- en datingsites. Er zijn ruim 2 miljard gelekte wachtwoorden in de database opgenomen. Je kunt direct opvragen of jouw e-mail betrokken is geweest bij een lek, en net als bij Haveibeenpwned kun je bovendien notificaties instellen voor het geval jouw e-mail bij een toekomstig incident opduikt. Het opvragen voor particulier gebruik is gratis.

Bedrijven die hun medewerkersbestand na willen lopen, moeten wel betalen. ScatteredSecrets biedt daartoe diverse mogelijkheden.

Welke wachtwoorden liggen er op straat?

Bovenstaande is nog geen vernieuwing ten opzichte van Haveibeenpwned, maar ScatteredSecrets gaat wel een stapje verder. Het verschil is namelijk dat je bij een gelekt account ook te zien krijgt welk wachtwoord er daarbij openbaar – of in ieder geval potentieel op internet vindbaar – is geworden. Het idee is dat het belangrijk is om te achterhalen welke van je wachtwoorden op straat liggen, zodat je weet welke je nooit meer ergens anders zou moeten gebruiken.

Om misbruik te voorkomen kun je uiteraard niet zomaar een wachtwoord opvragen. Die informatie wordt alleen naar het betreffende e-mailadres gestuurd, waarbij je eerst op een linkje moet klikken om jezelf te verifiëren en je wachtwoord in te zien. Uit de database van ScatteredSecrets blijkt overigens dat de top tien van meest gelekte wachtwoorden opgemaakt wordt uit varianten van ‘123456’…

Let op: kom je niét in de lijsten van deze websites voor, dan is dat geen garantie dat inloggegevens niét in verkeerde handen zijn gevallen. Het is dus raadzaam om je wachtwoorden regelmatig te vervangen. Daarnaast is er een extra mogelijkheid om je accounts te beveiligen: 2-factor authenticatie.

2FA: 2-factor authenticatie

2-factor authenticatie of 2FA is een extra veiligheidslaagje voor je wachtwoord, voor wie nog iets verder wil gaan in het beveiligen van persoonlijke en zakelijke accounts. 2FA vermindert namelijk het risico dat een hacker toegang krijgt tot je online accounts door aan dat wachtwoord een tweede stap toe te voegen, zoals de fysieke beschikbaarheid van je mobiele telefoon. Je wordt dan bijvoorbeeld naast invoer van je wachtwoord ook gevraagd om een code die op je telefoon verschijnt.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman
Neem contact op
De volgende stap: Awareways

Informatiebewustzijn is een belangrijke eerste stap, maar een extra slotje op je account garandeert geen honderd procent digitale veiligheid. Dat kan ook niet, het internet is -gelukkig- niet met een hek afgesloten en cybersecurity is geen los product waarmee je alles afdicht en beschermt. Informatieveiligheid vraagt niet om één oplossing, maar om een 360 graden-aanpak.

Dat geldt zeker in een moderne bedrijfsomgeving, waarin de risico’s, de kans dat je ermee in aanraking komt én de potentiële gevolgen veel groter zijn. De techniek, de medewerkers, de organisatie én de procedures: alles moet daarom langs dezelfde meetlat gelegd worden. Hoe is het in jouw organisatie gesteld met het niveau van security awareness?

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.