Minstens één hoofdletter, acht tekens lang en één speciaal teken: je gebruikt dagelijks wachtwoorden voor allerlei soorten accounts, maar zijn jouw wachtwoorden in 2023 nog wel veilig genoeg?
Je moet tegenwoordig voor zoveel verschillende websites en diensten een account aanmaken met je e-mailadres of een gebruikersnaam en een wachtwoord. Het is dan ook niet zo vreemd dat veel mensen gewoon kiezen voor een redelijk eenvoudig wachtwoord, zodat ze het gemakkelijk kunnen onthouden. Vaak wordt zo’n wachtwoord (of een variatie erop) ook voor meerdere accounts gebruikt. Ook dat is begrijpelijk, maar veilig is het niet. Voor sommige accounts is (of lijkt) een goede beveiliging misschien ook helemaal niet zo interessant, maar overal waar persoonlijke gegevens van je terug te vinden zijn, moet je het anderen toch eigenlijk wel zo moeilijk mogelijk maken om bij die gegevens te kunnen. Als je momenteel overal hetzelfde simpele wachtwoord voor gebruikt, dan hoeft er maar één keer ergens sprake te zijn van een datalek en dan kunnen cybercriminelen toegang krijgen tot al je gegevens. Om dit soort vervelende situaties te voorkomen, of om het de cybercriminelen in ieder geval moeilijker te maken, vind je hier acht tips om een goed wachtwoord te creëren in 2023.
Lang en veel verschillende tekens
Ten eerste wordt je wachtwoord al veiliger als je het simpelweg langer maakt. Hoe meer tekens, hoe veiliger je paswoord en het is dan ook aan te raden om minstens 12 tekens te gebruiken. Dat lijkt misschien vrij lastig te onthouden, maar het kan helpen als je in plaats van een bepaald woord een volledige zin bedenkt. Ook helpt het enorm als je meerdere verschillende soorten tekens door elkaar (en door het hele wachtwoord) gebruikt. Zo kan je natuurlijk bepaalde letters vervangen door cijfers of andere tekens en soms kan je zelfs spaties toevoegen. Op die manier blijft het nog redelijk goed te onthouden en creëer je toch een ingewikkelder, veiliger wachtwoord. Het is dan overigens alsnog aan te raden om iets te kiezen dat niet heel erg voor de hand ligt.
Goed te onthouden, moeilijk te raden
Als je ongeveer vijf seconden lang willekeurig allerlei verschillende toetsen op je toetsenbord aantikt, dan krijg je waarschijnlijk een erg veilig wachtwoord, maar dat is niet bepaald iets dat je gemakkelijk kan onthouden. Je moet dus een goede balans kunnen vinden tussen een ingewikkeld (en misschien gedeeltelijk willekeurig) wachtwoord en een wachtwoord dat je ook echt kan onthouden. Het heeft namelijk weinig zin als je elke keer wanneer je wil inloggen op ‘wachtwoord vergeten’ moet klikken. Gebruik in ieder geval nooit voor de hand liggende namen of informatie in je wachtwoord, zoals telefoonnummers of namen en verjaardagen van familieleden, en standaardcombinaties zoals ‘12345’, ‘qwerty’ of (hopelijk ligt dit voor de hand) ‘wachtwoord’. Dit soort standaardcombinaties zijn natuurlijk ook de eerste dingen die cybercriminelen testen en informatie over familieleden is misschien ook gemakkelijker terug te vinden dan je zou verwachten. Zorg dus dat je iets verzint dat anderen nooit zomaar zouden raden, maar dat voor jou (eventueel met een geheugensteuntje) wel te onthouden blijft.
Gebruik 2FA wanneer mogelijk
Je hoeft tegenwoordig gelukkig voor veel accounts ook niet meer alleen te vertrouwen op een wachtwoord. Je kan vaak namelijk via tweestapsverificatie (2FA) een extra laag beveiliging toevoegen. Het is nog steeds aan te raden om een sterk wachtwoord te creëren, want 2FA is geen vervanging voor je wachtwoord. Met 2FA voeg je dus een extra laag beveiliging toe aan het gehele loginproces. Deze extra laag is er om te checken of de persoon die toegang wil tot een account, wel echt is wie hij zegt dat hij is. Bij 2FA log je in eerste instantie gewoon in op de manier waarop je dat normaal ook zou doen met een gebruikersnaam (of e-mailadres) en wachtwoord. Als je 2FA echter hebt ingesteld, dan word je daarna niet automatisch toegelaten tot het account, maar komt er nog een tweede check. Je moet dan dus nog meer informatie leveren om te bevestigen dat jij het bent. Meestal kan je deze tweede methode voor verificatie instellen via een 2FA-app, zoals bijvoorbeeld de Microsoft (of Google) Authenticator.
Er zijn twee vormen van authenticatie die hierbij het meest gebruikelijk zijn, namelijk een verificatiecode of een pushnotificatie. Bij de authenticatie via een verificatiecode word je na het invullen van je wachtwoord dus gevraagd om een code in te voeren. Die code haal je uit zo’n 2FA-app, die je gelinkt hebt aan het account waarbij je wil inloggen. Deze codes worden in de app automatisch steeds na een korte tijd veranderd, dus het is niet zo dat iemand die code maar één keer hoeft te raden om ook door de tweede laag beveiliging heen te komen. De authenticatie via een push-notificatie is misschien redelijk vanzelfsprekend. Na het invullen van je wachtwoord, krijg je op het apparaat met je 2FA-app een melding waarin je om toestemming wordt gevraagd om in te kunnen loggen. Elke keer als er een poging wordt gedaan om in te loggen, krijg je dan dus een melding en kan je het accepteren of weigeren. 2FA kan echter ook gebruikmaken van een extra wachtwoord of pincode, een antwoord op een geheime vraag of bijvoorbeeld een vingerafdruk. Waar het op neerkomt, is dat je er met 2FA dus voor zorgt dat er meer dan alleen een wachtwoord nodig is om in je account te komen.
Gebruik een wachtwoord maar één keer
Dit ligt misschien wel enigszins voor de hand, maar we snappen ook waarom het niet altijd gebeurt. Toch is het in ieder geval niet aan te raden om hetzelfde wachtwoord voor meerdere accounts te gebruiken, zeker niet als het een erg eenvoudig wachtwoord is. Het probleem met wachtwoorden is natuurlijk dat je er tegenwoordig enorm veel moet onthouden en dan is het logischerwijs gemakkelijker om vaker hetzelfde wachtwoord te gebruiken. Helaas kan dit wel voor grote problemen zorgen. Hoe sterk je wachtwoord dan ook is, als je overal hetzelfde wachtwoord gebruikt, hoeft er maar een van je accounts gekraakt te worden en dan kunnen cybercriminelen meteen toegang krijgen tot al je andere accounts. Wie weet hoeveel persoonlijke informatie ze dan wel niet kunnen verzamelen en waar ze dat allemaal voor kunnen gebruiken. Als je elke keer echter een uniek wachtwoord gebruikt, dan blijft de schade beperkt als er eentje wordt gekraakt en dan hoef je vervolgens dus ook niet al je andere accounts te checken en bij te werken. Sterker nog: je wachtwoorden moeten ook niet te veel op elkaar lijken. Helaas is het ook niet genoeg om aan het einde van een wachtwoord gewoon een paar cijfers te veranderen of iets dergelijks, want dat kan alsnog te makkelijk geraden worden als je ene wachtwoord bekend is. Hoe vervelend het dus misschien ook is, je kan het beste elke keer iets totaal anders verzinnen.
Deel je wachtwoord niet
Dit klinkt misschien ook heel logisch, maar een veilig wachtwoord is een wachtwoord dat alleen jij kent. Het gaat hier in de eerste instantie niet eens zozeer om of je iemand anders wel of niet kan vertrouwen om geen misbruik van je gegevens te maken, maar zodra je een wachtwoord uit handen geeft, heb je er simpelweg zelf geen controle meer over. Als iemand anders het ergens opschrijft of in zijn telefoon noteert (of als je het zelf naar die persoon stuurt) en die persoon vervolgens wordt gehackt of nalatig is, dan kunnen jouw gegevens op die manier ook worden verspreid. Daarnaast kan het natuurlijk ook voorkomen dat je iemand achteraf niet blijkt te kunnen vertrouwen en dat jouw paswoord expres door die persoon kan worden misbruikt of verder kan worden gedeeld, zonder jouw toestemming. Als je echt genoodzaakt bent om toch je wachtwoord voor een bepaald account te delen, zorg er dan voor dat je het wachtwoord verandert op het moment dat je het niet meer hoeft te delen of dat je in ieder geval het wachtwoord regelmatig verandert als je het wachtwoord blijft delen.
Verander je wachtwoorden regelmatig
Als we het dan toch hebben over het regelmatig veranderen van je wachtwoorden, dan is het ook goed om te weten dat dit hoe dan ook een goede gewoonte is (of je je wachtwoord nu deelt of niet). Misschien heb je aan de hand van een aantal van de bovenstaande tips al een heel sterk wachtwoord kunnen maken, maar hoe langer je hetzelfde wachtwoord blijft gebruiken, hoe meer kans er is dat het op een gegeven moment toch wordt gekraakt. Nu zal dat misschien niet heel snel gebeuren, maar voor de zekerheid is het toch aan te raden om bijvoorbeeld om de paar maanden, of misschien om het half jaar, je wachtwoorden te wijzigen. Op deze manier ben je ook minder snel de dupe als er bijvoorbeeld ergens een datalek is geweest en jouw (hopelijk oude) wachtwoord daardoor bekend is gemaakt. Als je inmiddels alweer een nieuw wachtwoord hebt, dan kunnen cybercriminelen waarschijnlijk vrij weinig met dat verouderde wachtwoord. Het is daarbij wel van belang dat je dus ook echt een compleet nieuw wachtwoord verzint en niet een nieuwe variatie voor een bestaand wachtwoord. Ook kan het in verband met datalekken een goed idee zijn om ook eens in de zoveel tijd te checken of je e-mailadres(sen) eventueel betrokken zijn geweest bij dit soort incidenten. Dat kan je bijvoorbeeld via www.haveibeenpwned.com checken en vervolgens kan je aan de hand daarvan eventueel ook nog de nodige wachtwoorden wijzigen.
Gebruik een wachtwoordmanager
Als je het toch een beetje lastig vindt om al deze verschillende (enigszins ingewikkelde) wachtwoorden te onthouden, dan is het zeker aan te raden om een wachtwoordmanager te gebruiken. Veelgebruikte wachtwoordmanagers zoals 1Password, Bitwarden, Dashlane of NordPass bieden apps aan voor op je mobiele apparaten en op je computer om op een veilige manier al je wachtwoorden op één plaats op te slaan. Je moet dit soort programma’s eigenlijk zien als een soort digitale kluis voor je wachtwoorden. Met zo’n app is het niet meer nodig om al je verschillende wachtwoorden te onthouden, want ze staan allemaal in de kluis en kunnen meestal ook op een handige manier automatisch worden ingevuld op de juiste websites en in de juiste apps. Om toegang tot die kluis te krijgen en daarmee dus tot al je wachtwoorden, heb je wel nog één (sterk) wachtwoord nodig en dat is voor de wachtwoordmanager zelf. Dat is ook nog maar het enige wachtwoord dat je zelf hoeft te onthouden, dus dat maakt het gemakkelijker om dit paswoord iets ingewikkelder te maken. Vaak krijg je bij een wachtwoordmanager ook de mogelijkheid om veilige, sterke wachtwoorden te genereren via de app. Je hoeft dan zelf niets te verzinnen en je krijgt in principe wachtwoorden die bestaan uit willekeurige combinaties van cijfers, letters en tekens, wat ze nog moeilijker te ontcijferen maakt. Het lijkt trouwens misschien gevaarlijk om al je wachtwoorden bij elkaar in deze kluis te verzamelen, maar de beste wachtwoordmanagers zijn heel erg goed beveiligd en zelfs als ze gehackt worden, zijn jouw data (als het goed is) nog steeds versleuteld. Dat moet het bijna onmogelijk maken voor cybercriminelen om effectief bij je wachtwoorden te komen.
