Online security: One password to rule them all

Uit jaarlijks terugkerende onderzoeken naar gelekte wachtwoorden blijkt dat we vaak geneigd zijn om te kiezen voor een makkelijker te onthouden wachtwoord, dan eentje die moeilijker te kraken valt. Hoe moet het wel? 

12345678, Welkom01, Qwerty, Wachtwoord. Dit is een rijtje met de meest populaire wachtwoorden van de afgelopen jaren. Makkelijk te raden? Nogal. Dan hebben we het nog niet eens gehad over de namen van kinderen, geboortedata en andere makkelijk af te leiden wachtwoorden. Die zijn namelijk nog veel meer in gebruik. Bijna iedereen heeft vast wel ergens een account aangemaakt, waar zo’n soort wachtwoord voor is gebruikt. En, zeg eens eerlijk? Jij ook? Je bent niet de enige.

Een gebrek aan originaliteit bij het verzinnen van wachtwoorden is ook niet zo raar. Tegenwoordig moet je tientallen en soms wel honderden verschillende wachtwoorden onthouden voor alle online platformen waarop je actief bent. Als je er zoveel in gebruik hebt, ontkom je er niet aan dat je simpele wachtwoorden gaat maken die erg makkelijk te onthouden zijn. Een alternatief is het veelvuldig gebruiken van hetzelfde wachtwoord. Ons brein blijkt namelijk niet in staat tientallen complexe wachtwoorden te onthouden. Een groot nadeel hiervan is dat je extra kwetsbaar bent voor kwaadwillenden. Met een wachtwoord, wat bijvoorbeeld bij LinkedIn is buitgemaakt, loggen de kwaadwillenden dan vervolgens in bij andere social media, webshops of jouw bankomgeving.

Een einde aan Fikkie01 als wachtwoord

Om toch een beetje veiliger over het internet te bewegen, zijn er ruim tien jaar geleden diverse wachtwoordmanagers in het leven geroepen. Nu kon je natuurlijk altijd al je wachtwoorden in jouw browser opslaan, maar sinds midden jaren ’00 is de wachtwoordmanager in opmars. Deze managers zijn op meerdere apparaten te gebruiken en beschikken bijna altijd over wachtwoordgeneratoren. Met het gebruiken van zo’n generator vervang je Fikkie01 en maak je voortaan gebruik van een wachtwoord als: Brasdfvb30jnDgJ~j%$nkdD23. Al jouw wachtwoorden zitten in een kluis bij een wachtwoordmanager. Om de kluis te openen, gebruik je een master-wachtwoord. Er is flinke concurrentie op dit gebied, want er zijn talloze opties tegenwoordig. De bekendere partijen zijn 1Password, LastPass, Dashlane en Keeper.

Ook de grote techbedrijven zijn de afgelopen jaren druk bezig met het beter beveiligen van de accounts van hun klanten. Zo heeft Apple haar wachtwoordmanager iCloud Keychain, Google heeft iets soortgelijks in Chrome en Microsoft synct wachtwoorden tussen de verschillende versies van zijn Edge-browser.

Vertrouw je een partij met al jouw inloggegevens?

Maar is het gebruik van een manager ook veiliger? Of introduceren we met het gebruik van deze diensten een single point of failure in de beveiliging van niet één, maar al onze accounts. Want als een kwaadwillende het master-wachtwoord achterhaalt, kan hij zonder problemen bij al jouw accounts. En wat als de wachtwoordmanager failliet gaat? Kan jij dan nog bij jouw ingewikkelde wachtwoorden? Of zit er dan niets anders op om voor elk account op wachtwoord vergeten te klikken. Het is dus wel zo dat de veiligheid van jouw accounts afhankelijk is van de betrouwbaarheid van de gebruikte wachtwoordmanager.

Een einde aan rondslingerende briefjes met wachtwoorden

Het is dan ook een kwestie van vertrouwen. Een bedrijf moet namelijk wel heel betrouwbaar zijn als je het al jouw inloggegevens toevertrouwt. De bedrijven achter de wachtwoordmanagers blijken de afgelopen jaren zeker niet allemaal perfect. Zo heeft LastPass een serieus lek gehad waarbij via een plug-in voor Firefox toegang kon worden verkregen tot alle opgeslagen wachtwoorden. Apple had vorig jaar een kwetsbaarheid in haar iCloud Keychain waardoor een man-in-the-middle-aanval kon plaatsvinden en er bepaalde veiligheidsmaatregelen werden gepasseerd. 1Password heeft onlangs nog een lek moeten dichten waarbij er via een gastaccount wachtwoorden konden worden gestolen. De bedrijven hebben dit zeer snel opgelost en er zijn weinig tot geen exploits bekend. Toch blijft er bij veel gebruikers echter een bezwaard gevoel leven voor het online opslaan van alle wachtwoorden. Want waarom zou je het niet gewoon lokaal opslaan in een persoonlijke versleutelde map op jouw pc?

Dat is natuurlijk ook een optie, maar gemak dient de mens. De eenvoudige bediening van de wachtwoordbeheerders, maakt ze voor iedere gebruiker toegankelijk. Dit verhoogt de online-veiligheid voor iedereen die gebruiktmaakt van een wachtwoordmanager significant. Je kent vast wel het bekende geeltje aan de pc met wachtwoorden bij die ene collega, die dan vaak ook nog grapt: ‘Ik heb niets te verbergen, dus wat maakt dat nou uit dat ze mijn mail kunnen lezen?’ Nou, bijvoorbeeld dat kwaadwillenden jouw salaris op een andere rekening laten storten.

Wachtwoordmanagers zijn voor iedere gebruiker een enorme vooruitgang in de beveiliging van inloggegevens. Want of je nou de inloggegevens van 20 of 200 accounts moet onthouden, een wachtwoord van meer dan 16 willekeurige tekens onthouden, blijft lastig. Daarnaast checken bijvoorbeeld 1Password en Dashlane tegenwoordig of jouw accounts ergens gelekt zijn en ronddwalen over internet. Als dat zo is, krijg je in de wachtwoordmanager een waarschuwing dat je direct jouw gegevens moet aanpassen.

Wachtwoordmanagers monitoren continu de veiligheid van je wachtwoorden.

Beveiligings-specialisten werken continu aan updates

De bedrijven achter de wachtwoordmanagers zijn continu bezig met het onderzoeken van de laatste kwetsbaarheden en hebben er groot belang bij dat jouw gegevens veilig bij hen zijn opgeslagen. De tientallen beveiligingsexperts die voor deze diensten werken, laten hun managers ook regelmatig auditen en lossen potentiële lekken vaak binnen enkele dagen op. Hierdoor is de kans op exploits erg klein en zijn jouw gegevens optimaal beschermd tegen vreemden. Mocht je willen overstappen van manager of al jouw wachtwoorden toch ook fysiek willen opslaan in jouw eigen omgeving, dan biedt elke bekende wachtwoordmanager tegenwoordig ook een simpele exporteer- en importeerfunctie. Zo heb jij de maximale controle over jouw gegevens en kan je altijd een andere oplossing zoeken als je dat graag wilt.

Draai je eigen wachtwoordmanager

Mocht je jouw gegevens toch niet in handen willen geven van een externe partij, dan is het tegenwoordig ook mogelijk om een lokale instantie te draaien van een wachtwoordmanager. Zo valt opensourcemanager Bitwarden zelfs gratis op een eigen server te installeren. Op deze manier houd je alles in eigen hand. De wachtwoorden staan niet op een externe server, jouw eigen veiligheidsmaatregelen zijn van kracht en je bent niet afhankelijk van een andere partij voor updates. Daarnaast zijn jouw inloggegevens altijd toegankelijk, zelfs als de ontwikkelaar ermee stopt. Het mooie aan Bitwarden is dan ook nog dat het clients heeft voor zeer veel besturingssystemen waaronder Android, iOS, MacOs, Windows en Linux.

Fysieke veiligheid met two-factor authentication

Jouw wachtwoorden zijn dankzij de generator van een wachtwoordmanager erg veilig. Maar om jouw account bij zo’n manager nog extra te beveiligen, is het aan te raden om two-factor authentication (2FA) aan te zetten. Deze extra beveiligingsmaatregel voorkomt dat als jouw master-wachtwoord in de handen van vreemden valt zij direct kunnen inloggen op jouw account. Zij moeten namelijk dan ook toegang hebben tot een tweede wachtwoord dat door jouw 2FA-app wordt gegenereerd. De meestgebruikte variant van 2FA is een time-based one-time password (TOTP). Deze zescijferige wachtwoorden worden gegenereerd door apps als Authy en Google Authenticator en zijn steeds 30 seconden geldig, wat het zo goed als onmogelijk maakt om achter dit eenmalige wachtwoord te komen.

Zet 2FA aan om je account nog veiliger te maken.Het is ook mogelijk om 2FA te realiseren met fysieke hardware. Onder andere het Zweedse Yubico staat daarom bekend. Dit bedrijf levert YubiKey USB-sticks die een authenticator-app vervangen. Als je dan op een site wilt inloggen, moet je de USB-stick in jouw device steken en na het inloggen met gebruikersnaam en wachtwoord fysiek bevestigen via een druk op het YubiKey-logo dat je echt wilt inloggen.

Onze eigen opslagdienst STACK ondersteunt nu ook 2FA voor accountbeveiliging. Je TransIP-account was al langer te beveiligen met two-factor authentication.

Voorlopig de beste oplossing

Ondanks dat er soms toch wel wat aan te merken valt op de beveiliging van de wachtwoordmanagers, zijn ze voorlopig voor de meeste mensen de beste oplossing. De managers zijn makkelijk in gebruik, het hergebruiken van wachtwoorden wordt teruggedrongen en ‘12345678’ behoort hopelijk definitief tot het verleden. Voeg daar een sterk master-wachtwoord en het gebruik van 2FA aan toe en de kans op een hack van jouw complete digitale leven neemt enorm af.