“Verander je wachtwoord regelmatig” is slecht advies
Hoeveel wachtwoorden moet je eigenlijk onthouden? En dan moeten die wachtwoorden ook nog eens best moeilijk zijn? En dan zou je die wachtwoorden ook nog eens regelmatig moeten veranderen? Slecht advies, dat laatste.
Steve Buissinne
Met wachtwoorden ga je zorgvuldig om
Zelf moet ik zo’n 400 wachtwoorden onthouden. Met die wachtwoorden kan ik boeken bestellen, belastingaangifte doen of toegang krijgen tot de achterkant van mijn website. Als zo’n wachtwoord op straat komt te liggen, kan iemand anders uit mijn naam bestellingen doen, mijn telefoonabonnement aanpassen of mijn vakantiefoto’s bekijken. Ontzettend belangrijk dus dat ik slimme wachtwoordenEen goed wachtwoord is lang en makkelijk te onthouden. kies en er zorgvuldig mee omga.
Eén van de wachtwoorden geeft toegang tot mijn betalingen en instellingen van een creditcard. De uitgever van die creditcard, ICS Cards, geeft op haar website “tips voor veilig inloggenDe tips van ICS Cards om MijnICS goed te beschermen.”. Zo wordt me afgeraden wachtwoorden meer dan eens te gebruiken. De gedachte erachter is dat als mijn wachtwoord via een site zou lekken, kwaadwillenden daarmee ook toegang tot andere sites zouden kunnen krijgen. Geen gek idee, er bestaat namelijk zelfs software die dat automatiseert: vul een gebruikersnaam en wachtwoord in en zie op welke van de 500 meest populaire websites die combinatie ook werkt.
Dat hergebruik is al helemaal een probleem als je je wachtwoord dat ook toegang geeft tot je belangrijkste e-mailadres op meerdere sites toepast. Immers, als je voor een site je wachtwoord vergeten bent en op “ik ben mijn wachtwoord vergeten” klikt, krijg je bijna altijd per e-mail een link naar een pagina waarop je een nieuw wachtwoord kunt instellen. En als iemand anders in die mailbox kan snuffelen, dan zijn dus ontzettend veel van je andere accounts ook toegankelijk voor die meelezer. Goed advies dus, om voor elk account een ander wachtwoord te gebruiken.
De foute tip en de ontbrekende tip
Maar de uitgever van de creditcard geeft ook verrassend slecht advies: “verander je wachtwoord regelmatig.” Met dat advies is nauwelijks winst te behalen, zolang je maar een sterk wachtwoord hebt ingesteld. Tegelijkertijd hebben de meeste gebruikers al moeite met het onthouden van een paar goede wachtwoorden. Als je die gebruikers vraagt hun wachtwoord regelmatig aan te passen, zullen ze sneller het wachtwoord versimpelen, de variatie beperken én ergens buiten het hoofd opslaan. Weinig winst, veel risico.
Zelfs als je je wachtwoorden niet heel regelmatig rouleert is het al een hels karwei om tientallen of honderden wachtwoorden te onthouden. Dé tip die ontbreekt op de pagina van deze creditcardmaatschappij is het gebruik van een zogenaamde wachtwoordbeheerderNooit meer wachtwoorden vergeten met een password manager. (of password manager). Dat is een programmaatje waarin je al je wachtwoorden op een veilige manier kunt opslaan. Je hoeft slechts één wachtwoord te onthouden: het wachtwoord waarmee je toegang krijgt tot al die andere wachtwoorden. Vanzelfsprekend doe je er goed aan daar dan wel een bijzonder sterk wachtwoord voor te kiezen.
Je hoeft slechts één wachtwoord te onthouden: het wachtwoord waarmee je toegang krijgt tot al die andere wachtwoorden.
Welke wachtwoordbeheerder je het beste kunt gebruiken hangt een beetje van je wensen afVergelijk meteen password managers op onze Internetvrijheid Toolbox.. Sommige van de programma’s kunnen synchroniseren naar je telefoon, anderen niet. Niet elk programma draait op Windows én MacOS. Weer andere slaan je gegevens, weliswaar versleuteld, op in the cloud. Voor een goede keuze raadpleeg je de door onze vrijwilligers samengestelde Internetvrijheid Toolbox: praktische adviezen en tips om zelf je vrijheid op internet beter te beschermen.
Sara van den Broek
Hebben jullie ICS ook op de hoogte gesteld van de foute tip en de ontbrekende tip?
“Verander je wachtwoord regelmatig” is slecht advies – Bits of Freedom - Aalase Automatisering
[…] Bron: “Verander je wachtwoord regelmatig” is slecht advies – Bits of Freedom […]
Wim ten Brink
Ik pas een andere strategie toe. Ik heb een zestal wachtwoorden die ik overal gebruik maar dan wel steeds met een andere accountnaam!
Voor veel sites is je email adres je accountnaam en aangezien ik mijn eigen domeinnaam heb kan ik een oneindig aantal email accounts gebruiken. Wie dus mijn wachtwoord weet komt dus toch niet overal in omdat de accountnaam steeds weer verschillend is.
Daarnaast hanteer ik 20 verschillende accountnamen met meerdere variaties waardoor ik in principe 20×6=120 verschillende account/wachtwoord combinaties heb. Daarnaast maak ik ook veel gebruik van OpenID om bij verschillende sites in te loggen zodat ik voor die sites geeneens een wachtwoord nodig heb.
Het gebruik van OpenID heeft natuurlijk ook voor- en nadelen. Het voordeel is dat je maar 1 account nodig hebt om op diverse sites te kunnen inloggen. Het nadeel is dat die ene account natuurlijk wel een belangrijker doelwit wordt en hackers deze dus zullen proberen over te nemen. Maar goed, een wachtwoord van 26 hoofd- en kleine letters samen met speciale cijfers en nummers is lastig te hacken.
En wachtwoordbeheer? Dat is eigenlijk al ingebouwd in zowel Windows als diverse web browsers. Moet je dan nog wel een aparte tool hiervoor gaan gebruiken? Als een hacker al toegang heeft tot jouw systeem dan is je beveiliging sowieso al grotendeels weg.
Als je betere beveiliging wilt, kies dan voor two-way authentication waarbij je niet alleen een wachtwoord maar ook een speciale sessie-code moet invoeren. Die sessie-code krijg je dan b.v. via email of SMS. Je wachtwoord mag dan in verkeerde handen vallen maar de hackers komen er nog steeds niet in…
Friso
“verander je wachtwoord regelmatig” een slecht advies? Ik denk van niet. Als je wachtwoord bij hackers bekend is zonder dat jij dat weet, is dat niet langer zo na een wijziging. De ‘last’ van de wijziging wordt door een wachtwoordbeheerder nihil.
jasperwillem
https://haveibeenpwned.com/ is een site welke bijhoud of de email welke jij gebruikt is gevonden in grote hacks of pasts. Zo is mijn email laatst aangetroffen in een paste van 1.800.000 e-mailadressen op pastebin. Van de site krijg je een mailtje met de site waarop je een wachtwoord gebruikt en welke gecomprimeerd is (zeg voor een webwinkel), pas gewoon alle sites met een combi van dat wachtwoord / e-mailadres aan.
Zelf heb ik een uniek sterk ww op de mailaccount en daardoor kunnen hackers er niet verder. Zelf heb ik ook nog double sign-on aanstaan op email; op device niveau.
Laatste tip; geef bij een geheime vraag nooit een direct antwoord op de vraag, maar kies een antwoord wat je kan onthouden voor deze geheime vraag; bijvoorbeeld; “wat is de doopnaam van je moeder”; “zwartweg33denhaag” als antwoord (geboorte straat moeder). Doe dat consistent en de geheime vraag is niet te raden door een vreemde maar altijd te onthouden door jezelf (Geboortestraat vader; zus, broer, tante, de hond, etc).
Patrick
Mooi artikel en er is niets op af te dingen. Behalve dat het gebruik van een externe passwordmanager -al dan niet in the cloud- ook onderwerp is van een vertrouwensdilemma. Hoeveel vertrouwen kun je stellen op dat ene’ veilig veronderstelde puntje’ en op basis van welke feiten baseer je dat vertrouwen? In een corporate werkomgeving kun je deze oplossing nauwelijks adviseren, zeker niet als het een volle cloud-oplossing betreft