Vraag: Er zijn twee vragen over wachtwoorden. Hoe maak ik een ECHT sterk wachtwoord en hoe bewaar ik al die wachtwoorden veilig?

Eddy: Deze vraag is lastiger te beantwoorden dan je zou denken. Er is namelijk nogal wat discussie over. Tot voor kort werd meestal gezegd: kies voor een wachtwoord waarbij een combinatie wordt gemaakt van hoofdletters, kleine letters, cijfers en speciale tekens en zorg dat je wachtwoord minimaal 8 tekens lang is. Maar omdat de rekenkracht van computers steeds meer toeneemt en hele botnets (= legers van geïnfecteerde computers) worden ingezet om wachtwoorden te kraken, vinden we 8 tekens nu eigenlijk niet meer lang genoeg. Inmiddels hebben veilige wachtwoorden minimaal 16 tekens. Er zijn wiskundigen die hebben berekend dat een hele zin als wachtwoord effectiever is, zelfs als er geen cijfers en speciale tekens in voorkomen. Een wachtwoordzin waarin deze tekens wél voorkomen is uiteraard het meest veilig, maar lastiger te onthouden. En daar zit hem de crux: we willen niet alleen dat een wachtwoord sterk is, we willen het ook kunnen onthouden. En daarmee is een wachtwoordzin een goede optie. Neem bijvoorbeeld een regel uit een favoriete songtekst of gedicht. Wanneer je daar dan toch een cijfer en een teken aan toe kunt voegen, dan heb je een heel veilig wachtwoord. Voorbeeld:

Steeds als ik je zie lopen, dan gaat de hemel een klein beetje open: Steedsalsikje7ielopen,dangaatdehemel1kleinbeetje()pen

Maar nu je een veilig wachtwoord hebt, ben je nog niet klaar. Het is namelijk zeer onverstandig om één wachtwoord voor meerdere accounts te gebruiken. Sommige online diensten, winkels of andere partijen hebben hun beveiliging namelijk niet goed onder controle. Wanneer het wachtwoord dat je bij meerdere accounts gebruikt bij één site wordt gestolen, is het een peulenschil voor de cyberdieven om met datzelfde wachtwoord verschillende andere diensten af te gaan en zo heel je online identiteit over te nemen. Het is dan ook van essentieel belang dat je nooit hetzelfde wachtwoord twee keer gebruikt. Je kunt wel een basiswachtwoord gebruiken, dat je aan ieder account een beetje aanpast. Als je dat op subtiele wijze doet, zal het erg lastig zijn voor gegevensdieven om je patroon aan de hand van één wachtwoord af te leiden. Je kunt bijvoorbeeld alle klinkers van de dienst die je gebruikt aan het wachtwoord toevoegen. Zo krijgt je voor Facebook bijvoorbeeld:

Steedsalsikje7ielopen,dangaatdehemel1kleinbeetje(aeoo)pen

Voor Twitter:

Steedsalsikje7ielopen,dangaatdehemel1kleinbeetje(ie)pen

Voor Wehkamp:

Steedsalsikje7ielopen,dangaatdehemel1kleinbeetje(ea)pen

Met deze methode heb je eigenlijk geen reden om je wachtwoorden ergens op te schrijven. Maar er kunnen altijd onverwachte dingen gebeuren: bijvoorbeeld als een webwinkel wordt gehackt en je vraagt om je wachtwoord aan te passen. Je moet dan van je vaste schema afwijken, of een nieuwe zin kiezen. Maar dan wil je dat misschien toch wel even ergens opschrijven. Doe dat in geen geval in een

documentje op je pc, want dat is absoluut het eerste waar malware naar op zoek gaat als het je pc binnen komt. Als je beschikt over encryptiesoftware kun je dat wel doen, maar dan moet je er altijd voor zorgen dat het document goed versleuteld wordt en kun je het wachtwoord voor de encryptiesleutel niet op de pc bewaren. Een andere optie, die ook door veel security-experts wordt toegepast, is de ouderwetse combinatie van pen en papier. Zolang je ervoor zorgt dat het stuk papier met je inloggegevens zich niet binnen een straal van een paar meter bij je pc bevindt, is dit een redelijk veilige methode. Er zijn uiteraard ook online services zoals LastPass, die een beetje ruimte in de cloud bieden met sterke encryptie waar je je wachtwoorden kunt bewaren. Maar hieraan kleeft het (kleine) risico dat de encryptie van dergelijke diensten ooit wordt gekraakt en dat de wachtwoorden van alle gebruikers op straat liggen.

Overigens bieden steeds meer online diensten tegenwoordig tweefactor-authenticatie aan. Daarbij wordt, wanneer je wilt inloggen, een code naar je mobiele nummer gestuurd. Voor het inloggen heb je zowel je eigen wachtwoord als deze eenmalige code nodig. Dit is absoluut aan te raden voor vrijwel alle online diensten, want zo moeten gegevensdieven niet alleen je wachtwoord, maar ook je mobiele telefoon stelen. In de meeste gevallen worden wachtwoorden gestolen door lekkende databases van aanbieders, dus daarmee kunnen cybercriminelen niets wanneer tweefactor-authenticatie is ingeschakeld.

Er is nog een ander punt dat in dit verband moet worden genoemd en dat is de geheime vraag. Veel diensten vragen je bepaalde informatie in te vullen (bijvoorbeeld: wat is de meisjesnaam van je moeder?), waarmee je later, als je je wachtwoord vergeten bent, alsnog toegang tot de dienst kunt krijgen. Steeds vaker zijn de antwoorden op de geheime vraag echter heel goed te achterhalen met behulp van bijvoorbeeld Facebook. Moeders tonen hun meisjesnaam vaak open en bloot op Facebook om zo gevonden te kunnen worden door vrienden uit hun jeugd. En voor de jongere generatie geldt dat hun grootouders (van moeders kant) gewoon de meisjesnaam van de moeder als achternaam hebben. Denk er dus goed over na of je deze geheime vragen wel naar waarheid moet invullen. Misschien is het wel verstandiger om te liegen en je leugen toe te vertrouwen aan het aloude papier.

Wie is Eddy Willems?

Wij leggen jullie vragen voor aan onze expert Eddy Willems. Hij is bestuurslid van brancheorganisaties AMTSO en EICAR en Security Evangelist bij G Data Software. Gespecialiseerd in IT-beveiliging. Presenteert, geeft workshops en seminars over dit onderwerp, wordt regelmatig geïnterviewd en is al in meer dan 5000 artikelen in de media (print, online, radio en televisie) wereldwijd verschenen. In oktober van 2013 publiceerde hij zijn eerste boek: Cybergevaar.

Leeftijd: 53 jaar

Functie: Malware-expert

Opleiding: Informatica aan IHB en VUB

Dit artikel is op initiatief van G Data tot stand gekomen.