Wachtwoord spaghetti

Elke dag gebruiken we online diensten, zijn we aan het werk, webshoppen we, hebben we wifi, gebruiken we slimme apparatuur in huis, bankieren we nog wat en zetten we de muziek aan via speakers die gekoppeld zijn aan het internet. Allemaal diensten en producten waar je een account en een wachtwoord voor nodig hebt. Heb jij jouw aantal accountants al eens geteld? Je komt al snel boven de 20 stuks. Het advies is om voor elk account een uniek wachtwoord te maken. Dit resulteert vaak in een spaghetti van wachtwoorden en inlognamen waarbij je als gemiddelde gebruiker regelmatig de wachtwoord herstelfunctie moet gebruiken.
Vanuit Linfosys en AVG wordt aangedrongen op een goed wachtwoordbeheer en -gebruik. Dat is niet omdat wij je willen pesten! Dat doen we enkel en alleen ter bescherming van je data en apparaten. Hopelijk helpt deze blog je om te begrijpen waarom dat zo belangrijk is en helpt het je met het organiseren van jouw wachtwoorden.

Waarom hackers je wachtwoord willen?

‘Zou jij je pincode en bankpas zomaar afgeven aan een wildvreemde?’ Bij een proef op de som heb ik aan willekeurige mensen deze vraag gesteld. ‘Natuurlijk niet! Dan kon ik immers bij hun bankrekening om die te plunderen’, kwam het er stellig uit. Nee, niemand gaf mij zijn pas of de code.
Uiteraard heb ik deze mensen achteraf wel uitgelegd waarom ik de vraag stelde.

In de digitale wereld kun je je e-mailadres zien als een bankpas en het wachtwoord als de pincode. Stel dat je een wildvreemde je e-mailadres en je wachtwoord geeft, dan krijgt die persoon toegang tot jouw digitale wereld, met allerlei nare gevolgen van dien.
Voor wie is die digitale wereld wel interessant? Wie kan daar wat mee? Dat zijn de hackers. Er zijn meerdere redenen waarom:

  • Defacen van een website
    Het aanpassen van een website/app om een (politieke) boodschap neer te zetten.
  • Spam versturen via gehackte apparatuur/websites/accounts
    Het loont schijnbaar nog steeds om spam te versturen.
  • Data diefstal
    Opdrachtgevers van hackers zijn niet bekend, maar voorbeelden van diefstallen van data zijn: NASA, Volkswagen, Disney, Verenigde Staten van Amerika en diverse Nederlandse ministeries.
  • Malware verspreiden
    Het installeren van Malware om zo centraal geregeld honderdduizenden dan wel miljoenen computers te kunnen misbruiken. De hacker is er vooral op uit om niet ontdekt te worden want dan kan hij ongemerkt doorgaan met misbruiken.
  • Ransomware
    Hacken van sites/computers om vervolgens voor losgeld de hack ongedaan te maken. Overigens is het advies om niet te betalen aan de hackers:
      1. Betalen houdt het systeem in stand.
      2. Betalen is geen zekerheid dat de hack ongedaan gemaakt wordt.
    Betaling gebeurt overigens vaak in Bitcoins (in ieder geval geen bancaire transactie).
  • Phishing
    Je voordoen als een andere website of app. Een mooi voorbeeld is een nep-betaal site zoals Tikkie (van de ABN Amro). Je krijgt een betaalverzoek, laat je gegevens achter op de ‘betaalsite’ en jouw gegevens zijn in handen van de hackers.

Hackers willen niet ontdekt worden, zodat ze langdurig misbruik kunnen maken van alle informatie en mogelijkheden die ze ontdekken. Vervolgens slaan ze op het juiste moment toe.

Fynn als voorbeeld

Laten we eens kijken hoe Fynn met zijn accounts omgaat. Hij heeft een PC met wat spelletjes en uiteraard een virusscanner. Hij gebruikt zijn iPhone en iPad voor diverse zaken en heeft wat slimme apparatuur in huis zoals een slimme thermostaat en een deurbel met camera. Hij houdt ook van gadgets kopen bij Ali Express en koopt graag kleding bij H&M vanuit zijn luie stoel via de webshop.

Zijn e-mailadres is fynn@zijndomein.nl. De accounts voor zijn online diensten, apparatuur en apps/software zijn allemaal gekoppeld aan dat e-mailadres. Hieronder zie je een overzicht van alles wat aan zijn e-mailadres gekoppeld is. Voor al deze accounts heeft Fynn hetzelfde wachtwoord.

STEL:
HACKERS ZIJN ER IN GESLAAGD OM ALI EXPRESS TE HACKEN.

Je hoort het regelmatig in het nieuws: websites, apps en webshops die zijn gehackt en dat er miljoenen accounts zijn ontfutseld. Natuurlijk heeft Ali Express zijn gebruikers op de hoogte gesteld, wachtwoorden gereset en de mogelijkheid tot nog een keer een dergelijke hack weggehaald.

Fynn shopt ook regelmatig bij Ali Express en doordat Ali Express zijn wachtwoord gereset heeft denkt hij nu veilig te zijn. Hij vergeet echter dat de hackers nu al in zijn e-mail en dus ook bij al zijn andere accounts kunnen. Alle gegevens van Fynn liggen immers op straat waardoor de hackers toegang hebben tot  zijn apparaten, diensten en software. En dat alles doordat er een hack is bij een ander bedrijf.

Omdat de hackers zijn gegevens hebben, kunnen zij o.a.:

  • Alle gegevens in Dropbox bekijken.
    Foto’s, documenten en de rest van zijn data.
  • Zien wie er aan zijn deur staat.
    Sommige slimme deurbellen kunnen ook de deur openen, oftewel de hackers kunnen dan fysiek binnen.
  • In zijn Paypal account.
  • Ze kunnen Online shoppen bij H&M en betalen met Paypal.

Als een ander bedrijf/dienst gehackt is kan er grote schade ontstaan voor jezelf.
Zelfs als jij niet rechtstreeks gehackt bent!

Is het echt zo makkelijk?

Ja, zo makkelijk als bij Fynn gaat het echt. Als Fynn zich echter gehouden had aan bepaalde gouden regels, dan had hij het hackers veel moeilijker gemaakt om bij zijn gegevens te komen.

Hoe meer gouden regels je handhaaft, hoe moeilijker het voor hackers wordt om bij je gegevens te komen:

  1. Gebruik een uniek wachtwoord per account.
    In geval van een hack heeft niet elke dienst een nieuw wachtwoord nodig.
  2. Gebruik complexe wachtwoorden.
    Complex staat niet gelijk aan moeilijk. Het wachtwoord: “Appel275Taart!” is bijvoorbeeld al een complex wachtwoord.
  3. Gebruik ezelsbruggetjes voor jezelf.
    Zorg ervoor dat je zelf je wachtwoorden makkelijk kan onthouden, bijvoorbeeld:
    Peren159Taart@, Kruimel619Taart#, Pruimen853Taart$
  4. Gebruik Two Factor Authentication (2FA)
    Veel diensten werken met 2 Factor authenticatie. Dat houdt in dat je e-mailadres en een wachtwoord niet meer voldoende zijn om in te loggen. Een extra authenticatie wordt dan toegevoegd. Dat kan bijvoorbeeld een code zijn die je per SMS ontvangt, of een koppeling met de OneTimePassword Authenticator. De combinatie van 2FA en een wachtwoord en een login zorgt voor een uitermate goede beveiliging. Je zou zelfs makkelijkere wachtwoorden kunnen gebruiken.
  5. Sla wachtwoorden veilig op.
    Online opslaan via bijvoorbeeld LastPass, Dashlane, of  Keeper Security (hier zijn wij geen voorstander van). Beter lokaal op je PC met Keepas of desnoods op een papiertje in de kluis.
  6. Sla wachtwoorden overdraagbaar op.
    In geval van incidenten/sterfgevallen is het handig voor nabestaanden om digitale diensten te kunnen annuleren zoals het opzeggen van online tijdschriften, (mobiele) abonnementen of social media accounts.

KeePass

KeePass is software die je lokaal op je PC of laptop installeert. Het programma maakt een kleine database waarin je categorieën kan aanmaken om je wachtwoorden in op te slaan. Deze database is versleuteld en er zit een zogeheten ‘masterwachtwoord’ op. Tijdens de installatie vraagt KeePass of je een document wilt printen zodat je daar het masterwachtwoord op kan schrijven (handig voor in de kluis).

 

Ben je de eigenaar van een kluis? Dan kun je ook nog overwegen om een ‘export’ te maken vanuit KeePass van alle accounts. Zo krijg je een document dat je kan printen en in de kluis leggen.

Excel of Papier

Alles opschrijven op papier of via Excel een printje maken is ook een optie. Sla een dergelijk document nooit op, maar maak enkel een afdruk. En let op de ‘automatisch opslaan’ functie van Excel. Uiteraard staat deze in het voorbeeld uit.

Een voorbeeld van een Excel sheet met password informatie.
Sla een dergelijk sheet nooit op, maar print het uit voor in de kluis.

LastPass, Dashlane of Keeper Security

Ik ben geen voorstander van Online Wachtwoorddiensten waar wachtwoorden opgeslagen kunnen worden. Los van de legio van mogelijkheden die worden genomen om de dienst veilig te houden zijn deze dienstverleners een aantrekkelijk doelwit voor hackers. Verdere uitleg sla ik ook over in deze blog.

In september 2019 is er een hack gemeldt bij LastPass. Meer informatie hierover op nu.nl (klik hier).

Mocht je toch de behoefte hebben een online dienst af te nemen hoor ik graag hoe die dienst je bevalt.

Dus…

Om je accounts en wachtwoorden goed te regelen moet je ruim de tijd nemen en een avond achter de PC of laptop gaan zitten. Regel een passwordmanager (online, lokaal of pak er pen en papier bij of open een Excel sheet). Breng voor jezelf in kaart waar je een inlog hebt, welke kunnen werken met 2 Factor Authentication en leg het goed vast.