MENU

Een goed wachtwoord


Op heel veel websites wordt je gevraagd om een inlog-account te maken met een wachtwoord. Maar hoe houd je die nu veilig, en hoe voorkom je dat je wachtwoord op straat ligt als een website wordt gehackt (wat bijv. laatst gebeurde met Baby Dump). Hierbij een aantal praktische tips.

In een notendop: kies een wachtwoord dat niet te raden is; en zorg ervoor dat je deze per website verschilt.

Niet te raden

De meest veilige wachtwoorden zijn met de computer gegenereerd en zien eruit als bijv. chuS-?p9a&*e93at . Het gaat om een totaal willekeurige reeks tekens met alle mogelijke tekens toegestaan. Dit wachtwoord is overigens gemaakt met http://www.pctools.com/guides/password/ en een lengte van 16 tekens.

In de praktijk zijn zulke wachtwoorden lastig te onthouden. Wij gebruiken zulke wachtwoorden voor onze belangrijkste servers, maar als ik boodschappen doe bij bol.com heb ik toch liever een wachtwoord wat ik makkelijker kan onthouden.

Wat zijn de do’s en don’ts hierbij?

Do’s:
1. Gebruik een mix van woorden en vreemde lettertekens.
2. Kies een woord dat niets met je te maken heeft en dus niet door mensen te raden is
3. Gebruik meer dan 8 tekens

Don’ts: gebruik niet:
2. de naam van je moeder, je hond of een ander familielid
3. je geboortedag of -jaar, die van je dochter of je trouwdag (?)
4. een woord uit het woordenboek. En ook niet een woord uit het woordenboek met daarin iedere o vervangen door een 0, de a door een 4 en de e door 3 en de i vervangen door een 1 of !. Hoe makkelijk kan een computer dat raden?

Een goed wachtwoord is bijvoorbeeld glijbaan!121212

Waarom?

Met een goed wachtwoord ben je redelijk veilig voor een brute-kracht aanval (brute force attack). Een brute kracht-aanval zou eigenlijk ook domme kracht aanval kunnen heten: hierbij probeert een hacker simpelweg om je wachtwoord te raden en probeert hij achter elkaar verschillende wachtwoorden uit.

Wachtwoorden van minder dan 8 karakters zijn in dit geval te makkelijk! Een computer kan dan enorm snel achter elkaar raden en als een website daar geen goede beveiliging tegen heeft, is je account zo te achterhalen. Mocht je je afvragen of dit gebeurt: ja dit is zo. Een account is geld waard. Lijsten met inlognamen en wachtwoorden worden illegaal verhandeld en er zijn hackers die hier geld mee verdienen. Vooral in Rusland en daaromheen zitten veel goed opgeleide hackers zonder geld die hierin zijn geprofessonaliseerd.

Omdat de meeste wachtwoorden niet willekeurig zijn gekozen, is de brute kracht aanval nog effectiever dan je zou denken. In de praktijk zijn er databases bekend van de meest gebruikte wachtwoorden. Staat je wachtwoord ertussen, of is dit welkom01, verander deze dan onmiddelijk.

Als een aanvaller specifiek jouw account aanvalt, en meer over je weet (hallo internet!), dan heeft hij het nog makkelijker. Met de computer genereert hij combinaties van familienamen en geboortedata en een wachtwoord als penny1978 is dan zo geraden.

Overigens, een goed systeem voorkomt brute kracht aanvallen. Helaas doen maar al te veel sites dit niet. Er zijn goede technische oplossingen maar deze zijn soms lastig te implementeren. Bijvoorbeeld Google en Facebook doen dit goed en laten een machine niet vaker dan 3 keer raden. En de ING-bank pakt het nog iets drastischer aan: als je je wachtwoord 3x verkeerd invoert, mag je niet meer inloggen. Andere sites laten je telkens langer wachten als je verkeerd raadt. Beide manieren zijn trouwens niet ideaal, want in dit geval kan een hacker je heel makkelijk de toegang tot de dienst onmogelijk maken door telkens je wachtwoord verkeerd in te vullen.

Uiteraard is het belangrijk om je goede wachtwoord uit je hoofd te kennen. Beter kun je hem niet opschrijven. Als je dat dan toch doet, doe dat dan op een papier en leg dit in de la. Lastig voor hackers om er dan nog bij te komen. Sla je je wachtwoorden elektronisch op in een Word-bestand met als titel “Mijn wachtwoorden.docx” dan is dat echt niet veilig. Doe dit niet! Stel dat een hacker via een beveiligingslek op je computer terechtkomt, dan ben je de pineut.

Een verschillend wachtwoord per website

Gebruik voor iedere website een verschillend wachtwoord. Anders als er een site gehackt wordt, liggen je gegevens bij alle andere websites op straat. Zeker als je vaak met creditcard betaalt is dit natuurlijk enorm belangrijk.

Hoe ga je die verschillende wachtwoorden dan in hemelsnaam onthouden? Een goede truc is om de naam van de website in het wachtwoord te gebruiken. Vervolgens doe je dan een stukje met je eigen geheime code.

En gebruik een heel ander en moeilijk wachtwoord voor internetbankieren. En nog een heel ander voor je creditcard en paypal-account. Gebruik deze ook niet dubbel. En hoeveel wachtwoorden staan er wel niet in je (online) e-mail? Ik zou hier zeker ook een apart wachtwoord voor gebruiken.

Voor nog meer veiligheid raden we het je aan om je wachtwoord regelmatig te wisselen. Bijvoorbeeld de ING helpt je hieraan te herinneren door eens in de zoveel tijd je te verplichten om je wachtwoord te wijzigen.

Met deze tips kan je zoveel mogelijk voorkomen dat je online accounts worden gehackt. Heb je nog andere tips die niet genoemd zijn? Deel ze met ons door een comment achter te laten!