Overzicht
Actueel
08 August 2019
We blijven het belang van sterke wachtwoorden onderschatten

Het is een bekend gegeven dat zwakke, zeer gemakkelijk te kraken en voor meerdere accounts herhaalde wachtwoorden helaas onverminderd populair blijven. Combinaties als ‘password’, ‘welcome123' en ‘qwerty’ duiken structureel op in de toplijstjes van internationale websites rond gelekte of gehackte wachtwoorden, omdat de privacy en de juiste bescherming van online accounts nog altijd onderschat wordt.

In Nederland doen we het helaas niet beter, zo blijkt nu. Het FD haalde met hulp van een analyse van Scattered Secrets naar boven dat zowel Ajax als Feijenoord in de top 30 van meestgebruikte wachtwoorden staan. Ook het generieke 'voetbal' en 'vakantie' duiken op. In de Top Tien zien we bovendien veel dezelfde cijfer- en lettercombinaties die in eerdere onderzoeken naar voren kwamen, met '123456', 'qwerty' en '123456789' op de eerste drie plekken. Ook in het toplijstje: 'wachtwoord', 'welkom' en 'welkom01'.

Leestijd: 3 minuten

ScatteredSecrets

Je kent vast de website haveibeenpwned.com, waar je snel en eenvoudig kunt checken of je e-mailgegevens gelekt zijn bij een openbaar bekend datalek, zoals de incidenten bij Dropbox en LinkedIn. Het Nederlandse ScatteredSecrets.com van security experts Rickey Gevers en Jeroen van Beek biedt dezelfde inzichten in bekende datalekken en dekt bijvoorbeeld ook porno- en datingsites.

Er zijn inmiddels miljarden gelekte wachtwoorden in de database opgenomen. ScatteredSecrets gaat bovendien een stapje verder dan Haveibeenpowned omdat je bij een gelekt account ook te zien krijgt welk wachtwoord er openbaar – of in ieder geval potentieel op internet vindbaar – is geworden. Het idee is dat het belangrijk is om te achterhalen welke van je wachtwoorden op straat liggen, zodat je weet welke je nooit meer ergens anders zou moeten gebruiken.

Je kunt direct opvragen of jouw e-mail betrokken is geweest bij een lek, en net als bij Haveibeenpwned kun je bovendien notificaties instellen voor het geval jouw e-mail bij een toekomstig incident opduikt. Het opvragen voor particulier gebruik is gratis. Bedrijven die hun medewerkersbestand na willen lopen, moeten wel betalen. ScatteredSecrets biedt daartoe diverse mogelijkheden. Om misbruik te voorkomen kun je uiteraard niet zomaar een wachtwoord opvragen. Die informatie wordt alleen naar het betreffende e-mailadres gestuurd, waarbij je eerst op een linkje moet klikken om jezelf te verifiëren en je wachtwoord in te zien.

Sterke wachtwoorden

Uit de FD-analyses van de database van ScatteredSecrets is gebleken dat Ajax en Feijenoord erg populair zijn als (onderdeel van) veelgebruikte wachtwoorden. In Duitsland doen Porsche en Mercedes het goed als wachtwoord, terwijl 'bolleke' en 'sloeber' in België zeer regelmatig voorkomen. In alle drie de landen wordt de ranglijst aangevoerd door simpelweg '123456'.

Een goed en sterk wachtwoord verzinnen vindt iedereen lastig. Logisch, want we hebben zakelijk en privé heel veel verschillende accounts en de eisen voor een sterk wachtwoord lijken alsmaar strenger te worden. Ze moeten langer, complexer en bijvoorbeeld een verplichte combinatie van letters, cijfers en speciale tekens bevatten.

Die strenge eisen zijn er echter niet voor niets. Wachtwoorden zijn de toegang tot je e-mail, je digitale werkplek en al je accounts online en e-mail en dus een geliefd doelwit van criminelen. Het is daarom cruciaal om een sterk (lang) wachtwoord te bedenken, dat je ook nog eens uniek houdt voor al je verschillende accounts. Want mocht dat ene wachtwoord op straat of op wat voor manier dan ook bij de verkeerde persoon belanden, en je hebt (bijna) dezelfde voor al je andere applicaties en apparaten, dan kunnen ze immers óveral binnenkomen.

Vuistregels voor sterke wachtwoorden

Een eerste vuistregel is: maak je wachtwoord uniek. Blijf weg van al die standaardvarianten zoals ‘welkom123’, maar bedenk ook steeds weer een nieuw en uniek wachtwoord als het systeem vraagt om je oude te vervangen.

Een tweede vuistregel luidt: hoe meer tekens, hoe beter. Gebruik er minimaal 10, waarbij je inderdaad hoofd- en kleine letters, cijfers en leestekens afwisselt. Dat hoeft echt niet ingewikkeld te zijn, zoals 'VdL_84H*-@0qR'. Integendeel, drie willekeurige woorden of een kort zinnetje zijn minstens zo slim, zolang je geen onderdelen van je gebruikersnaam, of bijvoorbeeld je bedrijfs- of familienaam gebruikt. 

Kies bijvoorbeeld 'frietpan-KOEKBLIK-racewagen': 27 karakters, een mix van grote en kleine letters, twee leestekens; zo goed als onkraakbaar. Mits je 'm voor jezelf houdt natuurlijk. Het onthouden van al die verschillende combinaties hoef je namelijk niet zelf te doen. De derde vuistregel: gebruik een wachtwoordmanager. 

Wachtwoordmanagers zijn veilige apps die fungeren als digitale kluis, op zijn beurt vergrendeld met een overkoepelend wachtwoord. Je kunt ze gebruiken om al je zelf bedachte wachtwoorden aan toe te vertrouwen, maar ook om ingewikkelde passwords voor je te genereren en die vervolgens op te slaan. 

Geschikte opties zijn KeePass, 1Password, Bitwarden en LastPass. Ze hebben - op 1Password na, geoptimaliseerd voor gebruik op Apple-apparaten - een gratis variant, dus je kunt het zeer laagdrempelig eens uitzoeken. Voorkeursvariant KeePass is Engelstalig, maar heeft wel gratis een officiële versie voor Windows.

Tweefactorauthenticatie

Een laatste tip of vuistregel behandelen we graag even los: tweefactorauthenticatie, of 2FA. Dat is een extra veiligheidslaagje voor je wachtwoord. 2FA vermindert het risico dat een hacker toegang krijgt tot je online accounts door aan dat wachtwoord een tweede stap toe te voegen, zoals de fysieke beschikbaarheid van je mobiele telefoon. Je wordt dan bijvoorbeeld naast invoer van je wachtwoord ook gevraagd om een code die op je telefoon verschijnt.

Om precies te zijn kun je tweefactorauthenticatie op drie verschillende manieren toepassen; met iets dat je weet, iets dat je hebt of iets dat je bent. ‘Iets dat je weet’ kan het unieke wachtwoord van jouw account zijn. ‘Iets dat je hebt’ gaat in de meeste gevallen om je smartphone: na het invoeren van je wachtwoord moet je ook op je telefoon akkoord geven om in te loggen, of krijg je daar een tweede inlog zoals een cijfercode. ‘Iets dat je bent’ is de toevoeging van biometrische gegevens, zoals je vingerafdruk.

Veel van de grootste websites ter wereld hebben 2FA gemakkelijk beschikbaar gesteld vanuit de beveiligingsinstellingen van de accounts, maar dan moet je die functie wel zelf benutten. De gemakkelijkste manier om je even in te lezen en ermee aan de slag te gaan, is via de website turnon2fa.com. Een simpele en slimme manier om de digitale deur steviger op slot te zetten.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.
Neem contact op
E-learning: online training over wachtwoorden

Aan de menskant van informatiebeveiliging kunnen we veel doeltreffende maatregelen nemen om beveiligingsrisico’s te verkleinen en het informatiebewustzijn van medewerkers te vergroten. De serie e-learnings van Awareways, waaronder de module gericht op veilige wachtwoorden, bieden die oplossing. De training kent verschillende leervormen, zoals korte instructievideo’s, quizzen en andere interactieve oefeningen. De nadruk zal liggen op het beveiligen van accounts en het beschermen van informatie.

Awareways online leermodules over specifieke onderwerpen, van social engineering tot phishing, activeren de human firewall. De e-learnings zijn in verschillende talen beschikbaar, worden aangeboden op een eigen leerplatform in de corporate huisstijl (SSO-koppeling mogelijk) en bieden een eigen beheer- en rapportage-omgeving ter monitoring en evaluatie. Wil je meer informatie, kijk dan eens op awareways.com/producten/e-learning.

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.