Veilige wachtwoorden, zonder gedoe

Voor bijna elke app, service en dienst heb je een eigen gebruikersnaam en wachtwoord nodig. Met praktisch elke week in het nieuws dat er een site gehackt is en alle gegevens ineens op straat liggen, wil je het liefst voor elke service een veilig en uniek wachtwoord. Telkens een nieuw wachtwoord bedenken, is best wel wat gedoe en dan moet je al die verschillende wachtwoorden nog zien te onthouden ook! Je komt daardoor vaak in de verleiding toch hetzelfde wachtwoord te gebruiken, of iets wat er veel op lijkt. Je wachtwoord rex1234 wordt bij een andere dienst rex1234!, Rex1234 of rex4321. Dit maakt het makkelijk te onthouden (meestal gunnen die sites je wel een paar pogingen, dus kan je ze zelfs gewoon alle 4 even proberen als je het niet meer weet), maar ook erg onveilig. Een website zoals givemeapassword.com biedt uitkomst. Het genereert een uniek en veilig wachtwoord, dat niet te achterhalen is. Maar hoe ga je het wachtwoord *%&M_$cP-&yqJdrCAi7a!HGs_X6Pbave/SO$05MWEI in godsnaam onthouden?

Wachtwoord manager: 1Password

Hoe kan dit nu makkelijker? Hiervoor zijn er programma’s die een ‘wachtwoord manager’ genoemd worden, zoals bijvoorbeeld: 1Password. Met dit programma kan je wachtwoorden opslaan, beheren en genereren. Met een pincode en/of een Masterpassword kan je bij al je wachtwoorden en vergeet je nooit meer iets. Feitelijk is het een soort vertaal machine, jij geeft het wachtwoord van jouw 1Password, en dan geeft 1Password jou het wachtwoord van de dienst waar je wilt inloggen. Maar hoe doe je dat dan als je op een andere computer moet werken? Nou dan pak je gewoon de iPhone versie van 1Password, zoek je wachtwoord daar op en typ het eventjes over. Of je maakt gebruik van 1PasswordAnywhere. Ook erg handig als je op vakantie bent!

1Password’s Masterpassword

Je zwakste punt is dus vanaf nu het Masterpassword. Het Masterpassword is extreem belangrijk bij het gebruik van 1Password. Dit wachtwoord geeft namelijk toegang tot al je gegevens en wachtwoorden. Daarom is het zaak dat je dit wachtwoord heel zorgvuldig kiest. Er is geen manier om dit masterpassword te achterhalen, dus let op! Het is raadzaam om het eerst te noteren op een stukje papier en op een veilige plaats te bewaren, tot je er zeker van bent dat het in je geheugen gegrift staat! Een manier om dit te doen, is door het letterlijk vaak te typen. Zorg dat je het vaak in moet voeren, dan onthoudt je het vanzelf Gelukkig is dit waarschijnlijk niet echt een probleem, want je gaat het typen voor elk wachtwoord dat je nodig hebt. 1Password heeft ook een functie dat het om de 5 of 10 minuten automatisch ‘lockt’ en dus vaker om je masterpassword vraagt. Dit kan je op het begin instellen, zodat je het wachtwoord sneller uit je hoofd leert. Later, zodra je er zeker van bent dat je het masterpassword nu echt kan dromen, zet je deze irritante functie gewoon weer uit.

Slechte wachtwoorden

Het is een slecht idee om korte en veelgebruikte woorden te gebruiken als wachtwoord. Het meest voorkomende wachtwoord: 123456, dien je sowieso te vermijden. Ook populair zijn: password, w8wooord, naamvanhuisdier of Ilovepersoonx. Deze wachtwoorden zijn niet sterk genoeg om als masterpassword te dienen. Ook wachtwoorden als naam&naam123 zijn bijzonder makkelijk te kraken. Je dient iets te kiezen wat je makkelijk kunt onthouden, maar wat niet direct naar jou persoonlijk terug te leiden is.

Het creëren van een veilig wachtwoord

Het probleem waar we dus tegen aanlopen is dat een wachtwoord niet gekraakt moet kunnen worden, maar ook makkelijk te onthouden moet kunnen zijn voor ons simpele stervelingen. Stap voor stap zal ik uitleggen hoe je een veilig wachtwoord creëert. Stel ik wil een masterpassword bedenken voor 1Password en ik kom met: Ikheb2honden:Molly&Rex. We zullen dit wachtwoord in de rest van dit artikel als voorbeeld gebruiken. Dit wachtwoord ziet er in eerste instantie goed uit, het is lang en bevat cijfers en hoofdletters. In 1Password kan je ook spaties toevoegen aan je wachtwoorden, dat maakt de zin al gelijk 6 tekens langer en nog makkelijker te onthouden en te typen ook. In ons geval wordt het dan: Ik heb 2 honden: Molly & Rex.

Vertel nooit de waarheid in je wachtwoorden

Als je wachtwoord gebaseerd is op iets van waarheid, maakt dit het makkelijker om het wachtwoord te kraken. Er zijn veel manieren waarop gebruik kan maken van kleine leugens in je wachtwoord. Ook in ons voorbeeld kunnen we hier gebruik van maken. Bijvoorbeeld: Ik heb 2 draken: Bert & Ernie. Draken zijn al een minder voor de hand liggend huisdier dan honden, en ze heten helemaal geen Bert & Ernie. We kunnen dit wachtwoord nog op een andere manier verbeteren. Dit kan door er nog meer onlogica aan toe te voegen. Laten we zeggen dat ik 35 draken als huisdier heb, maar ik noem enkel twee: Ik heb 35 draken: Bert & Ernie.

Vermijdt voorspelbare uitspraken in je wachtwoorden


Ik heb 35 draken: Bert & Ernie, klinkt als een veilig wachtwoord. Het kan echter nog beter! Voor bijna iedereen is het logisch dat ‘Bert & Ernie’ in een adem genoemd worden. Daarom kan je beter voor iets anders kiezen. Ik heb 35 draken: Bert & Hans, is daarom een beter wachtwoord dan het vorige, zelfs al is het korter!

Hoofdletters & Cijfers in je wachtwoorden

Een hoofdletter aan het begin van een woord is logisch, net zoals een ‘1’ in plaats van ‘een’, maar maken je wachtwoord niet sterker. Denk eraan, als jij dit kan bedenken, kunnen codekrakers dit ook! Hoofdletters toevoegen midden in een woord is beter, maar typt vaak lastig en is lastig te onthouden. Voor cijfers geldt hetzelfde, voor of achter een woord is vaak logisch, maar cijfers midden in een woord maken je wachtwoord veel sterker! Je kan dus bijvoorbeeld je wachtwoord afkorten: Ik heb 35d:B&H. Korter, en toch sterker.

Een veilig wachtwoord: De Dobbelsteen Methode

We hebben al veel verbeteringen aangebracht in het creëren van een veilig wachtwoord. Onthoudt dat geen enkel wachtwoord perfect is, maar je wil het krakers zo moeilijk mogelijk maken. Mensen zijn voorspelbaar in hun denkpatroon, wat het codekrakers ook makkelijker maakt! Om een wachtwoord te creëren dat niet voorspelbaar is, moet je zelf ook onvoorspelbaar zijn. Helaas ben je als mens altijd in meer of mindere mate voorspelbaar, daarom heeft meneer Arnold Reinhold in in 1995 al een geniaal simpel en effectief systeem bedacht om echt onvoorspelbaar te worden: Diceware. Dit is een systeem dat bestaat uit een lijst van korte woorden, die gecodeerd zijn aan de hand van 5 cijfers. Wat je moet doen is simpel:
Dobbelstenen

  1. Rol 5x een dobbelsteen en noteer de cijfers.
  2. Check de woorden lijst welk woord je krijgt met jouw 5 cijfers
  3. Herhaal dit een paar keer voor meerdere woorden

Stel ik rol, 13325, dat brengt me bij het woord alpino. Geen idee wat een alpino is, en dat maakt het juist zo’n goed systeem. Wanneer ik mijn eigen wachtwoord combineer met dit willekeurige woord, krijg ik bijvoorbeeld: Ik alpino 35d:B&H. Dit maakt je wachtwoord minder voorspelbaar, en dus een stuk veiliger! Als je op die manier nog 1 of 2 andere woorden toevoegt is het wachtwoord veilig genoeg om aan elk mogelijke lengte eis te voldoen.

Emoji gebruiken voor een nóg veiliger wachtwoord

Nu zal je denken “Ok.. Mijn wachtwoord is inmiddels behoorlijk onraadbaar geworden, maar hoe zit het met krakers die computers inzetten?” Goed punt. Die computers zijn over het algemeen vrij stom, maar dat is niet erg want ze proberen gewoon duizenden opties per seconde. Die computers maakt het niet uit wie jij bent. Ze beginnen gewoon met A, als dat niet werkt B, en als ze alle 1 karakter opties hebben gehad gaan ze verder met AA, AB, etc. Uiteindelijk raad zo’n computer dus waarschijnlijk je wachtwoord wel. Daarom zijn lange wachtwoorden fijn, omdat zulke computers er dan veel te lang over gaan doen en het voor de kraker niet rendabel is.

Met het wachtwoord Ik alpino 35d:B&H kloste, hebben we al 24 karakters, en die komen allemaal voor in het computer alfabet, dus het is voor zo’n computer prima te kraken. Wat we nu nog kunnen doen is misbruik maken van beperkingen in veel computer software. Software gebruikt namelijk bepaalde datasets om hun computertaal van 1’en en 0’en te vertalen naar de voor ons mensen leesbare letters, cijfers, en andere leestekens. Het is je vast inmiddels opgevallen dat we op onze iPhones regelmatig smileys typen, de zogenaamde Emoji. Die Emoji werken op je Mac ook prima, maar toch zie je dat ze bijna nergens gebruikt worden. Waarom niet? Omdat er blijkbaar nog nauwelijks software is die het snapt. Check bijvoorbeeld maar eens deze webpagina met een overzicht van Emoji, in Google Chrome en in Safari (of welke andere browsers jij beschikbaar hebt). In Safari zie je alle Emoji, in geen enkele andere webbrowser werkte het bij mij. Daar gaan we dus gebruik van maken, in ons voordeel.

Wat we nu dus gaan doen is zo’n Emoji toevoegen in ons wachtwoord. Op je iPhone kan je ze gewoon typen, op je Mac kan je ze in elk tekstveld tevoorschijn toveren ‘Special Characters’ paneel (met de sneltoets: Option + CMD + T). Dan hebben we nu: Ik alpino 35d:B&H kloste Ghost Emoji. Waarbij we hopen dat het spookje misschien niet in de kraak software hun dataset zit, zo wel maakt ookt niet uit zijn het in ieder geval weer 2 karakters (Waarom 2? Geen idee.. Dat heeft vast iets te maken met de reden waarom het in veel software niet gebruikt wordt).

Een Keylogger proof wachtwoord met TextExpander

En dan komen we bij het laatste deel, Keyloggers. De makkelijkste manier voor een kraker om jouw wachtwoord te achterhalen is door simpelweg een zogenaamde keylogger te installeren. Deze keylogger houd netjes alles bij wat je intypt, elk toets aanslag, overzichtelijk gesorteerd naar bijvoorbeeld in welke applicatie je aan het typen was. Dan is het dus een kwestie van even in dat logboek ‘1Password’ opzoeken, en overtypen wat jij volgens het logboek getypt had. Om dit ook nog even te dwarsbomen kunnen we TextExpander gebruiken. Maak een nieuwe snippet, bijvoorbeeld: w8w;. En laat die expanden naar een gegenereerd wachtwoord van GiveMeAPassword.com, zoals: IwNKdoa$r0LO. Vervolgens voeg je dat ook nog toe aan je bestaande wachtwoord, dan krijg je dus: Ik alpino 35d:B&H kloste Ghost Emoji IwNKdoa$r0LO. Maar! Dat gaat die keylogger niet weten, want jij typt: Ik alpino 35d:B&H kloste Ghost Emoji w8w;

Cruciale punten voor je wachtwoord

De bovengenoemde stappen zorgen voor een veiliger wachtwoord, maar geen enkel wachtwoord is perfect. Zorg ervoor dat het typen van je masterpassword geen vervelende ervaring wordt en maak het jezelf niet té moeilijk. Probeer voorspelbare zaken te voorkomen en zorg ervoor dat je wachtwoord makkelijk te onthouden is, maar niet te persoonlijk! Probeer te denken zoals een wachtwoord kraker en pas je wachtwoord hier op aan. Een keer tijd investeren in een goed en betrouwbaar wachtwoord, bespaart je later een hoop tijd en gedoe!