Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox. E-mailadres

We doen het allemaal wel eens: omdat het soms snel moet gaan, kiezen we een voor de hand liggend wachtwoord of eentje dat wel al eens eerder gebruikt hebben voor een andere account. Wanneer je gegevens gestolen worden bij een datalek of wanneer je paswoord simpelweg geraden wordt, kan dat rampzalige gevolgen hebben voor je gegevens. Tijd voor sterkere wachtwoorden.

Een beeld dat mensen hebben bij het hacken van wachtwoorden is dat een hacker veel combinaties achter elkaar probeert door met behulp van een computerprogramma in te loggen met wachtwoorden van ‘aaaaaaaa’ tot en met ‘zzzzzzzz’. Diefstal of uitlekken van wachtwoorden is de meest belangrijke oorzaak van hacks. Het wachtwoord van 99,8 procent van alle gebruikers is te vinden in de top 10.000 van meest gebruikte wachtwoorden. De top 1.000 dekt al 91 procent. Afbeelding 1 laat een wordcloud zien van de top 1000 van wachtwoorden van de RockYou-dataset, thematisch gesorteerd op kleur.

Security Blanket © Lorrie Cranor

Met een wachtwoordmanager hoef je nog maar één wachtwoord zelf te onthouden. Dit zogenoemde hoofdwachtwoord hoeft helemaal geen speciale tekens te bevatten. Het mag natuurlijk niet in de top 10.000 van meest gebruikte wachtwoorden staan. Verzin een niet-bestaand woord, combineer een paar woorden of gebruik een zin. Vervolgens laat je je wachtwoordmanager sterke wachtwoorden genereren. Bijvoorbeeld 12 of 16 willekeurige tekens. Je hoeft ze toch zelden zelf te typen.

Wachtwoorden kraken

Wachtwoorden kraken gebeurt door in hoog tempo diverse combinaties te raden. Met miljoenen pogingen per seconde. Daarvoor maakt een zogenoemde ‘cracker’ gebruik van een lijst van gestolen of gelekte wachtwoorden. De cracker kiest de combinaties slim. Als een dienst zoals Netflix vraagt om minimaal vier tekens, dan heeft het geen zin om “a” tot “z”, “aa” tot “zz” of “aaa” tot “zzz” te proberen. Sterker nog, de cracker begint helemaal niet met al die mogelijke combinaties. Als eerste pakt een cracker de lijst van meest gebruikte wachtwoorden erbij. Daarna volgt bijvoorbeeld de lijst met alle wachtwoorden die ooit zijn uitgelekt en gestolen. Inclusief veelvoorkomende voor- en achtervoegsels, zoals een hoofdletter aan het begin en een getal of uitroepteken aan het eind. Vervolgens komen woordenboeken aan bod, inclusief de vervanging van tekens zoals een “s” door “$” en “a” door “@”. En dan weer de voor- en achtervoegsels. Uiteindelijk komen alle wachtwoorden wel uit. Mijn LinkedIn-wachtwoord was in 2012 l00hgb8t. Ik krijg regelmatig e-mailberichten met dat wachtwoord erin. In die e-mailberichten probeert men mij af te persen omdat ze ‘mijn’ wachtwoord weten en daardoor zogenaamd meelezen met e-mail en meekijken met mijn webcam.

Wachtwoorden proberen

Diensten horen inlogpogingen te beperken. Als je een paar keer je wachtwoord (of tweestapsaanmelding) verkeerd hebt getypt dan moet je even wachten. Op deze manier kan een crimineel niet zomaar een reeks wachtwoorden of codes proberen. Criminelen werken hier omheen door de lijst met veelgebruikte wachtwoorden los te laten op alle accounts die ze van een bedrijf kunnen vinden. Ze proberen één wachtwoord uit op alle accounts en proberen dan een volgend wachtwoord.

Eerder gebruikte wachtwoorden doorzoeken

Beveiligingsonderzoeker Troy Hunt verzamelt op Have I Been Pwned (haveibeenpwned.com) inloggegevens die openbaar gemaakt zijn. Je kan je e-mailadres ingeven om te zien of er wachtwoorden van jou bekend zijn. Je kan je e-mailadres achterlaten, zodat je een notificatie krijgt als je gegevens ergens zijn buitgemaakt. Op de website van Troy Hunt (haveibeenpwned.com/Passwords) kan je zoeken in wachtwoorden. Als jouw wachtwoord op de lijst voorkomt, kies dan maar een ander. Het ligt voor de hand dat een crimineel de bekende wachtwoorden probeert, alvorens aan het kraken te gaan.

Wanneer wachtwoord veranderen?

Als je eenmaal een goed wachtwoord hebt, dan hoef je het nauwelijks te veranderen. Gebruik wel op iedere dienst een ánder wachtwoord. Vervolgens hoef je je wachtwoord alleen in deze situaties te veranderen:

Als je wachtwoord is gelekt/gestolen. Bijvoorbeeld als je leest over een datalek bij een dienst die je gebruikt. Zoals je hierboven hebt gelezen, is het een kwestie van tijd voordat je wachtwoord gekraakt is. Wacht wel even de officiële berichten van de organisatie af, het lek moet natuurlijk wel eerst gedicht zijn.

Als er handelingen zijn verricht waar je geen weet van hebt. Controleer goed e-mailberichten die diensten versturen als je inlogt vanaf een nieuw apparaat en verander direct je wachtwoord als je een onverwacht verzoek tot tweestapsaanmelding krijgt.

Als je je wachtwoord hebt gedeeld met iemand anders. Helaas kan je soms niet anders, denk aan gedeelde accounts zoals Netflix.

Als iemand je wachtwoord heeft meegelezen, bijvoorbeeld over je schouder of op een projectiescherm.

Als je je wachtwoord hebt gebruikt op een openbare computer zoals bij de bibliotheek. Je weet immers nooit welke applicaties er op die computer zijn geïnstalleerd. Dank aan apps die alles wat mensen typen verzamelen en doorsturen.

Als je vermoedt dat je je wachtwoord op een phishingwebsite hebt ingevuld. Dat is een website die lijkt op een officiële website en alleen maar gemaakt is om jouw inloggegevens te verzamelen.

Verouderd wachtwoordbeleid binnen organisaties

Organisaties hanteren vaak een wachtwoordbeleid en verplichten gebruikers periodiek hun wachtwoord te veranderen. Wachtwoorden moeten dan bijvoorbeeld minimaal acht tekens lang zijn, uit hoofd- en kleine letters bestaan en een getal en een speciaal teken bevatten. Daarnaast mag het wachtwoord niet in het woordenboek voorkomen en moet je het iedere 90 dagen veranderen. De oorsprong van dit wachtwoordbeleid is het document Electronic Authentication Guideline (SP 800–63) van het National Institute of Standards and Technology (NIST) uit 2003. Complexe wachtwoorden zijn inderdaad moeilijker te raden. Een hacker kan een computer alle mogelijkheden af laten lopen. Bijvoorbeeld a, b, c enzovoort. Meer tekens (langere wachtwoorden) en meer variatie maakt het moeilijker wachtwoorden te raden. Hackers proberen vooral korte wachtwoorden. Systemen kunnen dergelijke inlogpogingen echter eenvoudig herkennen en bijvoorbeeld al na drie keer afsluiten of vertragen. In een moderne aanval proberen hackers eerder de meest gebruikte wachtwoorden op iedere inlognaam die ze kunnen vinden. Later onderzoek wees uit dat gebruikers die periodiek een ‘sterk’ wachtwoord moeten kiezen juist een zwak wachtwoord bedenken. Daarna veranderen gebruikers het wachtwoord op een voorspelbare manier; bijvoorbeeld de naam van de organisatie, een volgnummer en een speciaal teken. Het oorspronkelijke NIST-document wees er al wel op dat de auteurs graag meer inzicht wilden hebben in wachtwoorden die mensen onder dergelijk beleid bedenken. Het oorspronkelijke NIST-document is inmiddels een paar keer herzien en auteur Bill Burr heeft spijt van de aanbevelingen. Helaas zijn de regels binnen veel organisaties nog op de oude regels uit 2003 gebaseerd. Gebruikers regelmatig dwingen een nieuw sterk wachtwoord te kiezen werkt contraproductief. Op basis van een geraden wachtwoord is het immers eenvoudig om het nieuwe wachtwoord van de gebruiker te raden. Als het vermoeden bestaat dat het wachtwoord is gelekt of gedeeld met onbevoegden, is het zaak eerst het lek te verhelpen. En dan inderdaad zo snel mogelijk het wachtwoord veranderen – en niet pas na 90 dagen. Microsoft neemt de nieuwe aanbevelingen over in hun Security baseline: “Het periodiek laten veranderen van wachtwoorden is een ouderwetse en achterhaalde maatregel met zeer weinig waarde, en we vinden het niet de moeite waard om in onze baseline af te dwingen.”

Bronnen

Anatomy of a hack: How crackers ransack passwords like ‘qeadzcwrsfxv1331’

Onderzoeker: aanvallers bruteforcen geen lange wachtwoorden

Time to rethink mandatory password changes

Widely Used Password Advice Turns Out to Be Wrong, NIST Says

Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903

Pas op je passwords 2e editie

Dit artikel is een hoofdstuk uit het boek ‘Pas op je passwords 2e editie’ van Patrick Mackaaij.

Meer dan 40 procent van de mensen gebruikt slechts een paar verschillende wachtwoorden voor al hun accounts en 10 procent houdt het zelfs bij één enkel wachtwoord. Met zulke patronen wordt jouw online-identiteit een makkelijke prooi voor cybercriminelen. Wachtwoorden blijven voorlopig een onmisbaar onderdeel van ons digitale leven, en dat maakt het cruciaal om ze beter te beheren. In de vernieuwde editie van ‘Pas op je passwords’ laat Patrick Mackaaij zien hoe je met minimale inspanning maximale beveiliging kan bereiken. Je ontdekt waarom een wachtwoordmanager niet alleen veiliger, maar ook makkelijker is. Dankzij duidelijke uitleg en stap-voor-stapinstructies kan je meteen aan de slag met Bitwarden, een krachtige, gratis oplossing die op al je apparaten werkt. Dit boek biedt zowel beginners als ervaren gebruikers praktische handvatten. Aan de hand van actuele voorbeelden, praktische tips en slimme strategieën zorg je ervoor dat jouw gegevens en privacy beter beschermd zijn – thuis, op het werk, en overal daar tussenin.

Deze uitgave van Van Duuren Media is onder andere verkrijgbaar bij Standaard Boekhandel voor 24,99 euro.

Lees ook: Opgeslagen wachtwoorden terugvinden in Google Chrome