Een veilig online wachtwoord kiezen doe je zo

Computer met foto's

Hoe kies je een goed wachtwoord om je online accounts te beschermen tegen hackers? 'Kies een wachtzin', is de tip van adviseur ICT-veiligheid Paul De Vroede.

Wat is zo’n wachtzin en waarom is die veiliger?

PAUL: 'Een wachtzin is een zinnetje dat je makkelijk kunt onthouden en dat zo’n 15 tot 25 karakters lang is. Met de huidige computerprogramma’s slagen cybercriminelen er immers op enkele seconden in een wachtwoord van acht karakters te kraken. Als je pakweg 15 karakters gebruikt, is dat al veel moeilijker. Zo is de wachtzin ‘IkEetElkeDag2Boterhammen’ een veel sterker wachtwoord dan ‘Boterham’.'

Volstaat één wachtzin voor al je accounts?

PAUL: 'Nee. Uit onderzoek blijkt dat een op de vijf Belgen één wachtwoord gebruikt voor al zijn accounts. Dan maak je het criminelen wel heel makkelijk om meteen overal binnen te raken. Gebruik dus een wachtzin per account of belangrijke website. Als je toch gehackt wordt, blijft de schade beperkt en hoef je niet al je wachtwoorden aan te passen.'

Heb je tips om dergelijke wachtzinnen te maken en om ze te onthouden?

PAUL: 'Als je zelf geen systeem hebt om zinnen te maken, kun je een wachtwoordkluis gebruiken. Die maakt wachtwoorden en houdt ze versleuteld bij. De enige lange wachtzin die je dan nog hoeft te onthouden, is die voor de toegang tot de wachtwoordkluis.'

'Zelf gebruik ik een wachtwoordgenerator om woordencombinaties of zinnen van een 20-tal karakters te maken. Die hou ik thuis bij op een papiertje dat ik veilig opberg. Sla nooit wachtzinnen op in je browser, mail, een document of in je notities op je smartphone of tablet. Een schriftje of post-it naast je pc zijn ook geen goed idee. Een veilige wachtzin is immers niets waard als je er niet veilig mee omgaat.'

Nog tips?

PAUL: 'Gebruik nooit wachtzinnen over een onbeveiligde publieke wifi zoals in luchthavens of hotels. En misschien een evidente, maar heel belangrijke tip: zorg dat niemand meekijkt als je een wachtzin intypt.'

Nog meer tips om veilig om te gaan met wachtwoorden en -zinnen lees je op de ICT-pagina's. 

Reacties

Veilig online wachtwoord

Olivier R - Wonen Vlaanderen - 24/05/2017 - 03:16

BedanktVoorDezeTipPaul!

wachtwoordkluis

Hilde Verboven - Onroerend Erfgoed - 29/05/2017 - 03:07

Bestaan er digitale 'wachtwoordkluizen' (of apps voor het beheren van wachtwoorden) en zijn die betrouwbaar?

digitale wachtwoordkluizen

Paul De Vroede - Het Facilitair Bedrijf - 02/06/2017 - 04:41

Er bestaan inderdaad toepassingen - digitale wachtwoordkluizen of 'password managers' in het Engels - die je kunnen helpen met het beheer van wachtwoorden.
Jouw verschillende wachtwoorden worden dan op een veilige manier bewaard in die toepassing (wachtwoordkluis, op je computer of soms ook in de 'cloud'), en automatisch ingevuld op de website waar je wenst aan te loggen.
Met één sterk wachtwoord dat je nog wel moet onthouden beveilig je de 'kluis'.
De meeste beveiligingsexperten raden vandaag het gebruik van zo'n wachtwoordkluis aan, en beschouwen het veiliger dan wat gebruikers soms doen zonder zo'n wachtwoordkluis, bvb. hetzelfde (te korte) wachtwoord hergebruiken op verschillende websites (wat absoluut af te raden is !).
Zelf beveel ik het gebruik van een wachtwoordkluis niet actief aan, omdat het ook software is die kan falen (of een clouddienst die gehackt wordt).
Zo kwam deze week bvb. 'OneLogin' met het bericht dat de inloggegevens van miljoenen gebruikers gehackt is en wellicht gedecrypteerd kan worden door de hackers : http://www.theregister.co.uk/2017/06/01/onelogin_breached/. Eerder kwamen ook al LastPass in het nieuws (https://www.theregister.co.uk/2017/03/21/lastpass_vulnerabilities/), of ook 1Password (https://www.theregister.co.uk/2017/02/28/flaws_in_password_management_apps/).
Een bepaald merk durf ik dan ook niet aanbevelen.
Dus samengevat: experten menen dat het gebruik van een wachtwoordkluis een goede praktijk is en de beveiliging kan verbeteren (omdat gebruikers langere en unieke wachtwoorden zullen gebruiken),
Of u zelf best een wachtwoordkluis gebruikt is een overweging die u dient te maken, met name of u denkt dat ze uw beveiliging kunnen verbeteren t.o.v. hoe u vandaag met wachtwoorden om gaat.
Hopelijk hebt u er iets aan...

Toch nog enkele vraagjes

P. Vandenberghe - DKB Communicatie & Gedragsinzichten - 02/06/2017 - 10:22

Duidelijk interview met veel praktische tips, dankuwel Paul. Nog enkele vragen :
1 - dezelfde vraag als die van Hilde Verboven: welke worden aangeraden, welke afgeraden, wat is er vanaf wanneer beschikbaar in SoftwareCentre? Zijn er verschillen afhankelijk van het OS?
2 - Als ik het goed begrijp betekent "sla nooit wachtzinnen op in je browser" dat u afraadt om bv. in Firefox "Aanmeldingen voor websites onthouden" aan te vinken, of in Chrome "Aanbieden om je internetwachtwoorden op te slaan" ? Of zelfs om Chrome of Firefox ingelogd te gebruiken? Zijn er risico's als men nooit uitlogt, of als men de pc zelden of nooit afzet?
(Ik had van een andere veiligheidsexpert onthouden dat het een goed idee is om verschillende activiteiten te spreiden over verschillende browsers. Goed voor de privacy en ook handig als de ene browser crasht want dan draait de andere nog. Hij beklemtoonde ook het belang om de browsersoftware goed up-to-date te houden.)
3 - Zou het geen goed idee zijn mensen wat actiever te coachen hoe ze de voorkeuren in Chrome, Explorer, Firefox, Opera & co het best instellen? Bv. de internetopties van Explorer zijn toch wel heel complex, wat raadt u daar aan? Ik zie immers best veel dat collega's de instellingen van de software en platformen die ze gebruiken niet induiken om ze aan te passen.
4 - Niet essentieel m.b.t. hacking vermoed ik, maar hoe staat u tegenover anti-tracking plugins (bv. Disconnect, Ghostery, PrivacyBadger)?

Paul De Vroede - Het Facilitair Bedrijf - 06/06/2017 - 02:06

Hallo,

Deze vragen zitten al op het 'expert' niveau..., ik doe een poging om ze beantwoorden :

puntje 1 heb ik verwerkt in een ander antwoord.
puntje 2: Wachtwoorden (of wachtzinnen) bewaren in de browser wordt afgeraden omdat algemeen gesproken browsers niet op de meest veilige manier omgaan met het opslaan van de wachtwoorden. Dit is vooral een risico als een hacker toegang heeft tot uw computer (niet alleen fysiek, maar ook vanop afstand).
Het beveiligingsniveau van browsers is uiteraard iets dat steeds in verandering is en ook afhangt van browser type en het besturingssysteem (O.S.) waarop de browser gebruikt wordt. Ik geef hier wel toe dat ik het ook al eens gebruik... .
Het up-to-date houden van software is een algemene goede veiligheidsmaatregel : vaak worden fouten in software (zgn. 'bugs') met een update (zgn. 'patch') hersteld of wordt er een sterkere beveiliging geïntroduceerd in nieuwere versies van een toepassing. Tenzij je 'compatibiliteitsproblemen' verwacht (iets dat niet meer werkt in een nieuwere versie van de software) is vanuit veiligheidsstandpunt gezien updaten meestal aan te raden.
Er hangt een risico aan nooit uitloggen als je het toestel onbewaakt achter laat (en het niet vergrendelt), dan kan iemand anders jouw computer/toepassing gebruiken uit jouw naam.
Maar ook (iets weliswaar technischer) 'session hijacking' (het kapen van jouw 'gebruikers-sessie') zou kunnen gebeuren wanneer de toepassing of computer gehackt wordt. Om die reden wordt door een toepassingseigenaar (of de dienst beveiliging) een balans gezocht tussen het 'comfort' om niet te vaak opnieuw te moeten aanloggen, en de veiligheid van regelmatig opnieuw aan te melden.
puntje 3 : het instellen van de beveilgings- en privacyinstellingen van browsers is inderdaad zeer belangrijk. Het probleem om dit te documenteren is dat ze verschillend zijn voor elk type browser, en dat het voortdurend verandert bij nieuwe versies van de browser. Het is als gebruiker wel belangrijk om hier aandacht aan te schenken (net zoals u niet met een auto de weg opgaat voor u weet hoe u die bedient). Browser hebben wel standaardinstellingen, maar je kan een heel eind verder gaan.
puntje 4 : anti-tracking plugins zijn zeker een aanrader als je echt op je privacy gesteld bent en maximaal weerwerk wil bieden aan bedrijven die je gedrag (lees-, koop, ...) op internet willen volgen. Let wel, niet elke website laat je 'binnen', als men merkt dat je een 'ad-blocker' (bvb) gebruikt.
De Privacy Badger die je vernoemt is interessant in die zin dat het ontwikkeld werd door een non-profit organisatie die privacy en mensenrechten nastreeft (EFF).
Ik heb Ghostery ook al door security experten aangeraden gezien. Opnieuw hier de disclaimer: het is allemaal software (en dus introduceert het wellicht ook ongekende kwetsbaarheden).

Bedankt Paul

P. Vandenberghe - DKB - 09/06/2017 - 03:35

Van allerharte bedankt voor dit zeer duidelijke antwoord Paul.

Reactie toevoegen

Uw bericht wordt door onze redactie bekeken voor het op de site wordt geplaatst

Anonieme reacties worden niet gepubliceerd. We behouden het recht om lange reacties in te korten.