“Wij hebben veilige wachtwoorden!”

Laatst was ik bij een cliënt die mij triomfantelijk vertelde dat ze gebruikmaakten van veilige wachtwoorden.
De stelligheid waarmee mij dit werd verteld, riep onmiddellijk argwaan bij mij op. “Hoe kom je erbij dat jullie wachtwoorden veilig zijn”, vroeg ik.
Antwoord: “Omdat we ze hebben gecheckt op een online wachtwoorden-checker!”

Ik moest eerst lachen, maar kort daarna werd ik heel serieus. Je moet natuurlijk nooit je wachtwoord zomaar ergens intoetsen! Ergens achterin kantoor hoorde ik iemand zich hardop herinneren “dat ik daar weleens voor had gewaarschuwd”. Gelukkig.

Wachtwoorden zijn lastig. Aan de ene kant moeten ze moeilijk te raden/herleiden zijn voor anderen, maar tegelijkertijd makkelijk te onthouden voor jezelf. Gebruik dus niet de naam van je kat, kind, echtgenoot of je geboortedatum.
Gebruik altijd verschillende wachtwoorden voor verschillende systemen. Zorg ervoor dat je wachtwoord geen gewoon woord is, dat bijvoorbeeld in een woordenboek voorkomt. Ook Leet (het vervangen van letters door cijfers) is onveilig. Gebruik dus geen wachtwoorden als geb@k (gebak) of m031l1jk (moeilijk).

Tip
Je zou per systeem een rijmpje of versje kunnen bedenken en met die letters een goed wachtwoord maken.
Als je een goed wachtwoord voor je Apple ID zoekt, kun je bijvoorbeeld denken aan Sneeuwwitje (appel), de zin:
“Spiegeltje, spiegeltje aan de wand, wie is het mooiste van het land?”
leidt tot het volgende wachtwoord:
S,sadww=hmvhl?

Dat is een prima wachtwoord. Gebruik dit wachtwoord niet, hoor! Het is slechts een voorbeeld.

Sommige systemen ondersteunen two-factor authentication, waarbij je je naam, wachtwoord en een wisselende code nodig hebt om je aan te melden. Vergeet niet dat, zelfs als je two-factor authentication gebruikt, het belangrijk is om een goed en veilig wachtwoord te hebben en voer nooit, nee, nooit je wachtwoord in op een site die je niet kent.

NIET DOEN!
Op onderstaande site kun je je wachtwoord checken. Er zijn er verschillende en ze lijken allemaal op elkaar. Sommige sites waarschuwen dat het gebruik op eigen risico is. Andere sites melden dat ze je wachtwoord niet zullen opslaan, maar welke garantie heb je dat ze dat (niet) doen? Bovendien is elk internetverkeer dat niet specifiek versleuteld is door derden als platte tekst gewoon te lezen en onderscheppen. Zelfs als jouw wachtwoord-check-site goede bedoelingen heeft en werkelijk niet je IP-adres, naam en wachtwoord opslaat, kan een kwaadwillende de door jou ingevoerde gegevens zonder moeite van het internet vissen en ermee doen wat hij wil. Niet doen, hoor! Ik heb de site expres niet gelinkt, maar ik toon ‘m als plaatje:

2014-11-07_09-44-23

Je kunt biometrische gegevens (vingerafdruk, oogscan) gebruiken om je gegevens mee te beveiligen, maar dat is juridisch gezien wezenlijk iets anders dan een wachtwoord dat in je hoofd zit. In de US worden op dit moment rechtszaken gevoerd over het gedwongen afstaan van vingerafdrukken om een iPhone te ontgrendelen. De politie kan je niet dwingen om je wachtwoord af te staan.

Iets anders is het gebruik van Password Managers. Ik ben daar zelf niet zo dol op. Er zijn in het verleden veel problemen geweest, waarbij enorme hoeveelheden gegevens zijn buitgemaakt. Als je al je eieren in 1 mandje legt, dan loop je een enorm risico.
Mijn advies: Gebruik een ander wachtwoord voor elke dienst/systeem en kies een goed wachtwoord. Probeer two-factor authentication te gebruiken waar mogelijk.

EDIT

Van een anonieme bron, die “Disqus echt verschikkelijk” vindt, kreeg ik nog de volgende input:

Dae,

Uiteraard ben ik het met je eens dat ’t geen goed idee is om wachtwoorden bij zo’n check in te vullen, maar jouw suggestie voor ’t maken van een goed wachtwoord op basis van bijvoorbeeld een rijmpje vind ik minder goed.
De schijnbaar willekeurige reeks aan tekens is namelijk voor software die wachtwoorden kraakt vrijwel onbelangrijk. Een veel belangrijke factor is de lengte van een wachtwoord. Het rijmpje is een mooi geheugensteuntje, maar zal in de praktijk vaak resulteren in korte wachtwoorden.

Een goede uitleg van ‘realistische’ wachtwoord-sterkte is te vinden op ’t tech blog van Dropbox: https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/
Zij hebben daar ook een tool beschikbaar gemaakt die in websites gebruikt kan worden om de sterkte van wachtwoorden te bepalen.
https://xkcd.com/936/
Ik had dit bericht natuurlijk ook als reactie op het blog zelf kunnen plaatsen, maar ik vind Disqus echt verschrikkelijk. Vandaar.

Groet,

Jules

De online wachtwoord-test (staat verscholen in het artikel) vind je hier: https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html
Als je hier mijn voorbeeldwachtwoord “S,sadww=hmvhl?” invoert, dan zie je overigens dat het een prima wachtwoord is. Nogmaals: niet gebruiken, hoor! En als je zelf een wachtwoord op basis van een zinnetje maakt, zorg er dan inderdaad voor dat het lang genoeg is!
Je kunt natuurlijk ook een willekeurig gegenereerd wachtwoord van mijn weblog gebruiken.