Met wachtwoorden ga je zorgvuldig om
Zelf moet ik zo’n 400 wachtwoorden onthouden. Met die wachtwoorden kan ik boeken bestellen, belastingaangifte doen of toegang krijgen tot de achterkant van mijn website. Als zo’n wachtwoord op straat komt te liggen, kan iemand anders uit mijn naam bestellingen doen, mijn telefoonabonnement aanpassen of mijn vakantiefoto’s bekijken. Ontzettend belangrijk dus dat ik slimme wachtwoordenEen goed wachtwoord is lang en makkelijk te onthouden. kies en er zorgvuldig mee omga.
Eén van de wachtwoorden geeft toegang tot mijn betalingen en instellingen van een creditcard. De uitgever van die creditcard, ICS Cards, geeft op haar website “tips voor veilig inloggenDe tips van ICS Cards om MijnICS goed te beschermen.”. Zo wordt me afgeraden wachtwoorden meer dan eens te gebruiken. De gedachte erachter is dat als mijn wachtwoord via een site zou lekken, kwaadwillenden daarmee ook toegang tot andere sites zouden kunnen krijgen. Geen gek idee, er bestaat namelijk zelfs software die dat automatiseert: vul een gebruikersnaam en wachtwoord in en zie op welke van de 500 meest populaire websites die combinatie ook werkt.
Dat hergebruik is al helemaal een probleem als je je wachtwoord dat ook toegang geeft tot je belangrijkste e-mailadres op meerdere sites toepast. Immers, als je voor een site je wachtwoord vergeten bent en op “ik ben mijn wachtwoord vergeten” klikt, krijg je bijna altijd per e-mail een link naar een pagina waarop je een nieuw wachtwoord kunt instellen. En als iemand anders in die mailbox kan snuffelen, dan zijn dus ontzettend veel van je andere accounts ook toegankelijk voor die meelezer. Goed advies dus, om voor elk account een ander wachtwoord te gebruiken.
Sara van den Broek
Hebben jullie ICS ook op de hoogte gesteld van de foute tip en de ontbrekende tip?
“Verander je wachtwoord regelmatig” is slecht advies – Bits of Freedom - Aalase Automatisering
[…] Bron: “Verander je wachtwoord regelmatig” is slecht advies – Bits of Freedom […]
Wim ten Brink
Ik pas een andere strategie toe. Ik heb een zestal wachtwoorden die ik overal gebruik maar dan wel steeds met een andere accountnaam!
Voor veel sites is je email adres je accountnaam en aangezien ik mijn eigen domeinnaam heb kan ik een oneindig aantal email accounts gebruiken. Wie dus mijn wachtwoord weet komt dus toch niet overal in omdat de accountnaam steeds weer verschillend is.
Daarnaast hanteer ik 20 verschillende accountnamen met meerdere variaties waardoor ik in principe 20×6=120 verschillende account/wachtwoord combinaties heb. Daarnaast maak ik ook veel gebruik van OpenID om bij verschillende sites in te loggen zodat ik voor die sites geeneens een wachtwoord nodig heb.
Het gebruik van OpenID heeft natuurlijk ook voor- en nadelen. Het voordeel is dat je maar 1 account nodig hebt om op diverse sites te kunnen inloggen. Het nadeel is dat die ene account natuurlijk wel een belangrijker doelwit wordt en hackers deze dus zullen proberen over te nemen. Maar goed, een wachtwoord van 26 hoofd- en kleine letters samen met speciale cijfers en nummers is lastig te hacken.
En wachtwoordbeheer? Dat is eigenlijk al ingebouwd in zowel Windows als diverse web browsers. Moet je dan nog wel een aparte tool hiervoor gaan gebruiken? Als een hacker al toegang heeft tot jouw systeem dan is je beveiliging sowieso al grotendeels weg.
Als je betere beveiliging wilt, kies dan voor two-way authentication waarbij je niet alleen een wachtwoord maar ook een speciale sessie-code moet invoeren. Die sessie-code krijg je dan b.v. via email of SMS. Je wachtwoord mag dan in verkeerde handen vallen maar de hackers komen er nog steeds niet in…
Friso
“verander je wachtwoord regelmatig” een slecht advies? Ik denk van niet. Als je wachtwoord bij hackers bekend is zonder dat jij dat weet, is dat niet langer zo na een wijziging. De ‘last’ van de wijziging wordt door een wachtwoordbeheerder nihil.
jasperwillem
https://haveibeenpwned.com/ is een site welke bijhoud of de email welke jij gebruikt is gevonden in grote hacks of pasts. Zo is mijn email laatst aangetroffen in een paste van 1.800.000 e-mailadressen op pastebin. Van de site krijg je een mailtje met de site waarop je een wachtwoord gebruikt en welke gecomprimeerd is (zeg voor een webwinkel), pas gewoon alle sites met een combi van dat wachtwoord / e-mailadres aan.
Zelf heb ik een uniek sterk ww op de mailaccount en daardoor kunnen hackers er niet verder. Zelf heb ik ook nog double sign-on aanstaan op email; op device niveau.
Laatste tip; geef bij een geheime vraag nooit een direct antwoord op de vraag, maar kies een antwoord wat je kan onthouden voor deze geheime vraag; bijvoorbeeld; “wat is de doopnaam van je moeder”; “zwartweg33denhaag” als antwoord (geboorte straat moeder). Doe dat consistent en de geheime vraag is niet te raden door een vreemde maar altijd te onthouden door jezelf (Geboortestraat vader; zus, broer, tante, de hond, etc).
Patrick
Mooi artikel en er is niets op af te dingen. Behalve dat het gebruik van een externe passwordmanager -al dan niet in the cloud- ook onderwerp is van een vertrouwensdilemma. Hoeveel vertrouwen kun je stellen op dat ene’ veilig veronderstelde puntje’ en op basis van welke feiten baseer je dat vertrouwen? In een corporate werkomgeving kun je deze oplossing nauwelijks adviseren, zeker niet als het een volle cloud-oplossing betreft