Beveiligen van accounts vereist een stevig wachtwoord, tegenwoordig helemaal. In mijn boek De Zwakste Schakel (en in deze blogpost) leg ik uit hoe je gebruik kunt maken van een wachtzin in plaats van een wachtwoord voor betere online-veiligheid.
Wachtwoorden die zijn te kraken met een dictionary attack besparen een hacker veel tijd vergeleken met een normale brute force attack. Iedere seconde vinden er zo’n 579 wachtwoordaanvallen plaats . Dat zijn er ruim 18 miljard per jaar! Daarom is het hoog tijd dat je je wachtwoord maar vergeet. Ik heb mijn wachtwoord ‘Eminem1985’ ook al een tijd geleden vervangen en niet alleen omdat ik geen hiphop meer in m’n playlist heb staan.

Wachtzinnen voor beginners
Als je je accounts een stuk beter wilt beveiligen, dan moet je eigenlijk al geen wachtwoord meer gebruiken. In plaats een wachtwoord kun je beter een wachtzin gebruiken. De Engelse benaming hiervoor is passphrase. Een wachtzin is een reeks woorden achter elkaar. Wachtzinnen zijn voor hackers al een stuk lastiger om te kraken dan wachtwoorden.
Een voorbeeld van een wachtzin is: ‘ikhebeenwachtzin’, maar die is nog behoorlijk zwak. Alle woorden in die wachtzin staan in het woordenboek en het is ook nog eens een logisch klinkende zin. Dat kan beter.
Wachtzinnen voor gevorderden
Om je wachtzin sterker te maken kun je beter geen logisch klinkende zin gebruiken, maar willekeurige woorden achter elkaar. Je kunt dan een ezelsbruggetje bedenken om ze te onthouden. Bijvoorbeeld: ‘Op vakantie zag ik een hond die bagels at’. De wachtzin is dan ‘vakantiehondbagels’. Op deze manier voorkom je dat een computer de logica van een normale zin snel kan raden. Toch is deze wachtzin nog lang niet ideaal.
Wachtzinnen voor experts
Voor de fanatiekelingen: zet tussen ieder woord nog een bijzonder teken. Dan zou je wachtzin zoiets zijn als ‘vakantie@hond*bagels’ De kans dat die combinatie in een bekende lijst staat is natuurlijk vele malen kleiner dan zoiets als ‘wachtwoord1’, dat begrijp je wel. Je maakt het hackers dan al een stuk moeilijker. Let op: hierbij is het wel belangrijk dat je geen woorden gebruikt die uit jouw belevingswereld komen, zoals de naam van je favoriete sportclub of je lievelingsfilm.
Wachtzinnen voor die-hards
Als je een echte wachtzinnenheld wilt zijn dan zet je die bijzondere tekens ook midden in een woord: Maak er iets van als ‘vak#anti@eh$ond*bag(els’. Dat is wel een lange wachtzin natuurlijk, maar zelfs als je één van de woorden weghaalt en er bijvoorbeeld ‘vak#anti@eh$ond‘ van maakt is het nog steeds veel beter dan ‘wachtwoord01’ of ‘justinbieber2003’ of iets dergelijks.

Wachtzinnen voor eindbazen
De beste wachtzin is er een waar helemaal geen patroon of logica in zit die geraden kan worden door een computer. Dat zou zoiets zijn als ‘I_8l@M*t!n %2g&M6^’. De afkorting van de letters vormt hier de zin ‘ik laat me toch niet gek maken’, met zowel hoofdletters als kleine letters. Dit in combinatie met al die cijfers en speciale tekens, dat is heel lastig voor een hacker om te ontdekken. Sowieso geldt voor een wachtzin de vuistregel: hoe langer, hoe beter. Houd minimaal 12-15 tekens aan voor je wachtzin. Onthoud: de kracht van een goede wachtzin zit hem in de lengte en de complexiteit.
Tijd is geld
Net als een ondernemer denkt een professionele hacker na over hoe hij zijn tijd besteedt. Een investering moet geld opleveren en daar wil een ondernemer niet te lang op wachten. Als de investering veel geld kost en het lang duurt voordat er winst wordt gemaakt, dan zal de ondernemer die investering niet doen. Zulke overwegingen maken hackers dus ook. Als ze honderd euro van iemand willen stelen gaan ze echt geen twee jaar zitten wachten tot iemands wachtzin is gekraakt. Daarom is het cruciaal dat je sterke wachtzinnen gebruikt in plaats van wachtwoorden. Het doel is om het hackers zodanig moeilijk te maken dat jij geen aantrekkelijk doelwit meer bent; het moet te veel tijd en moeite kosten om jou te hacken. Verander je wachtzin daarom ook ten minste één keer per jaar. Nee echt, serieus, doe dat nou maar gewoon.

Wat je in ieder geval niet moet doen
Weten wat je wel moet doen betekent dat je óók weet wat je niet moet doen. Bij dezen:
- Gebruik nevernooit persoonsgegevens in je wachtzin.
- Gebruik nooit woorden die iets over jou als persoon kunnen zeggen, dus geen nicknames, geen geboortejaar en al helemaal geen namen van huisdieren (sorry Fikkie).
- Gebruik niet voor al je accounts dezelfde wachtzin, want als je dan toch gehackt wordt ben je meteen alles kwijt.
- Vermijd logisch klinkende zinnen en gebruik ook geen bekende teksten of citaten uit bijvoorbeeld films, boeken of liedjes.
- Gebruik geen bekende toetsenbordpatronen zoals ‘QWERTY’ of ‘abc111’ of iets vergelijkbaars.
- Gebruik speciale tekens niet alleen aan het begin en het eind, maar ook midden in een woord.
- Gebruik geen voor de hand liggende vervanging voor een letter, dus geen @ in plaats van a en geen $ in plaats van s. Het wachtwoord P@$$w0rd is algemeen bekend en dus volstrekt waardeloos.
Tip voor ouders
Leg het wat hierboven staat ook uit aan je kinderen. Als je dochter megafan is van de Zuid-Koreaanse popgroep BTS, leg haar dan uit waarom ‘IloveBTS!’ geen goed wachtwoord is. Zo moet iemand die fan is van Star Wars ook niet ‘LukeSkywalker10’ gebruiken. Dan kun je nog beter iets gebruiken als ‘JarJarBinksIsTheBest!’, want zoiets bedenkt niemand*. *Als je deze grap niet begrijpt, dan ben je geen Star Wars-fan, denk ik. Laat het een ervaren Star Wars-liefhebber maar even aan je uitleggen.
Deze blogpost Een wachtzin in plaats van een wachtwoord voor betere online-veiigheid is afkomstig uit mijn boek Wij zijn de zwakste schakel. Hoe komt het dat hackers zo veel succes boeken? Wat is de AVG en wat heb jij daar aan? Waarom moet je niet alles wat je overkomt op social media posten? Hoe komen hackers aan jouw persoonsgegevens? Antwoorden op die vragen vind je in het boek Wij zijn de zwakste schakel, maar dat hoeven we niet te zijn, over de menselijke factor van cybercrime van Stijn de Wilde.
In de digitale ketting van internetveiligheid zijn wij als mensen altijd de zwakste schakel. Er zijn steeds meer computercriminelen die geen systemen hacken, maar mensen. Om ze te slim af te zijn moet je niet alleen weten hoe ze te werk gaan, maar ook waarom ze dat op die manier doen. Dit boek leert je welke methoden hackers gebruiken, en welke psychologische trucs achter die methoden verstopt zitten. Met die kennis kun je de signalen van oplichterij beter herkennen en de aanval afweren voordat jij slachtoffer wordt.
Meer lezen over online-veiligheid:
- De mens als succesbepalende factor bij informatiebeveiliging
- Informatiebeveiliging: de mens als de cruciale factor
- Tweestapsverificatie met veiligheidssleutels bij Twitter
- Vijf misvattingen over onlinemisbruik
- Beveiligingssleutels gebruiken in macOS, iOS en iPadOS
- Wat is het dark web?
- Een wachtzin in plaats van wachtwoord voor betere online-veiligheid
- Stap nu over van LastPass naar een veilige wachtwoordmanager
- Privénavigatie in Windows 11 Edge
- De Security Check-up van je Googleaccount
- De meest gestelde vragen over Wij zijn de zwakste schakel
- Maak een digibeet digitaal weerbaar