Meer dan 40% van de mensen gebruikt slechts een paar verschillende wachtwoorden voor al hun accounts, en 10% houdt het zelfs bij één enkel wachtwoord. Met zulke patronen wordt jouw online identiteit een makkelijke prooi voor cybercriminelen. Wachtwoorden blijven voorlopig een onmisbaar onderdeel van ons digitale leven, en dat maakt het cruciaal om ze beter te beheren. In de vernieuwde editie van het boek Pas op je passwords laat auteur Patrick Mackaaij zien hoe je met minimale inspanning maximale beveiliging kunt bereiken. Je ontdekt waarom een wachtwoordmanager niet alleen veiliger, maar ook makkelijker is. Dankzij duidelijke uitleg en stap-voor-stap instructies kun je meteen aan de slag met Bitwarden, een krachtige, gratis oplossing die op al je apparaten werkt. Dit is het eerste deel van hoofdstuk 2, met als belangrijke vraag: wanneer je wachtwoord veranderen?

Een sterk wachtwoord kiezen

Een beeld dat mensen hebben bij het hacken van wachtwoorden is dat een hacker veel combinaties achter elkaar probeert door met behulp van een computerprogramma in te loggen met wachtwoorden van ‘aaaaaaaa’ tot en met ‘zzzzzzzz’. De dagelijkse praktijk is dat mensen hetzelfde wachtwoord op verschillende diensten gebruiken. Diefstal of uitlekken van wachtwoorden is de belangrijkste oorzaak van hacks.

Het wachtwoord van 99,8 procent van alle gebruikers is te vinden in de top 10.000 van meest gebruikte wachtwoorden. De top 1000 dekt al 91 procent. Onderstaande afbeelding laat een wordcloud zien van de top 1000 van wachtwoorden van de RockYou-dataset, thematisch gesorteerd op kleur.

Met een wachtwoordmanager hoef je nog maar één wachtwoord zelf te onthouden. Dit zogenoemde hoofdwachtwoord hoeft helemaal geen speciale tekens te bevatten. Het mag natuurlijk niet in de top 10.000 van meest gebruikte wachtwoorden staan. Verzin een niet-bestaand woord, combineer een paar woorden of gebruik een zin.

Vervolgens laat je je wachtwoordmanager sterke wachtwoorden genereren. Bijvoorbeeld 12 of 16 willekeurige tekens. Je hoeft ze toch zelden zelf te typen.

Wachtwoorden kraken

Wachtwoorden kraken gebeurt door in hoog tempo diverse combinaties te raden. Met miljoenen pogingen per seconde. Daarvoor maakt een zogenoemde cracker gebruik van een lijst van gestolen of gelekte wachtwoorden.

De cracker kiest de combinaties slim [1]. Als een dienst zoals Netflix vraagt om minimaal vier tekens, dan heeft het geen zin om “a” tot “z”, “aa” tot “zz” of “aaa” tot “zzz” te proberen.

Sterker nog, de cracker begint helemaal niet met al die mogelijke combinaties. Als eerste pakt een cracker de lijst van meest gebruikte wachtwoorden erbij.

Daarna volgt bijvoorbeeld de lijst met alle wachtwoorden die ooit zijn uitgelekt en gestolen. Inclusief veelvoorkomende voor- en achtervoegsels, zoals een hoofdletter aan het begin en een getal of uitroepteken aan het eind. Vervolgens komen woordenboeken aan bod, inclusief de vervanging van tekens zoals een “s” door “$” en “a” door “@”. En dan weer de voor- en achtervoegsels.

Uiteindelijk komen alle wachtwoorden wel uit. Mijn LinkedInwachtwoord was in 2012 l00hgb8t. Ik krijg regelmatig e-mailberichten met dat wachtwoord erin. In die e-mailberichten probeert men mij af te persen, omdat ze ‘mijn’ wachtwoord weten en daardoor zogenaamd meelezen met e-mail en meekijken met mijn webcam.

Wachtwoorden proberen

Diensten horen inlogpogingen te beperken. Als je een paar keer je wachtwoord – of tweestapsaanmelding – verkeerd hebt getypt dan moet je even wachten. Op deze manier kan een crimineel niet zomaar een reeks wachtwoorden of codes proberen.

Criminelen werken hier omheen door de lijst met veelgebruikte wachtwoorden los te laten op alle accounts die ze van een bedrijf kunnen vinden. Ze proberen één wachtwoord uit op alle accounts en proberen dan een volgend wachtwoord.

Eerder gebruikte wachtwoorden doorzoeken

Beveiligingsonderzoeker Troy Hunt verzamelt op Have I Been Pwned (haveibeenpwned.com) inloggegevens die openbaar gemaakt zijn. Je kunt je e-mailadres typen om te zien of er wachtwoorden van jou bekend zijn. Je kunt je e-mailadres achterlaten, zodat je een notificatie krijgt als jouw gegevens ergens zijn buitgemaakt.

Op de website van Troy Hunt (haveibeenpwned.com/Passwords) kun je zoeken in wachtwoorden. Als jouw wachtwoord op de lijst voorkomt, kies dan maar een ander. Het ligt voor de hand dat een crimineel de bekende wachtwoorden probeert alvorens aan het kraken te gaan.

Wanneer wachtwoord veranderen?

Als je eenmaal een goed wachtwoord hebt dan hoef je het nauwelijks te veranderen. Gebruik wel op iedere dienst een ánder wachtwoord.

Vervolgens hoef je je wachtwoord alleen in deze situaties te veranderen:

• Als je wachtwoord is gelekt/gestolen. Bijvoorbeeld als je leest over een datalek bij een dienst die je gebruikt. Zoals je hierboven hebt gelezen is het een kwestie van tijd voordat je wachtwoord gekraakt is. Wacht wel even de officiële berichten van de organisatie af, het lek moet natuurlijk wel eerst gedicht zijn.
• Als er handelingen zijn verricht waar je geen weet van hebt. Controleer goed e-mailberichten die diensten versturen als je inlogt vanaf een nieuw apparaat en verander direct je wachtwoord als je een onverwacht verzoek tot tweestapsaanmelding krijgt.
• Als je je wachtwoord hebt gedeeld met iemand anders. Helaas kun je soms niet anders, denk aan gedeelde accounts zoals Netflix.
• Als iemand je wachtwoord heeft meegelezen, bijvoorbeeld over je schouder of op een projectiescherm.
• Als je je wachtwoord hebt gebruikt op een openbare computer zoals bij de bibliotheek. Je weet immers nooit welke applicaties er op die computer zijn geïnstalleerd. Dank aan apps die alles wat mensen typen verzamelen en doorsturen.
• Als je vermoedt dat je je wachtwoord op een phishingwebsite hebt ingevuld. Dat is een website die lijkt op een officiële website en alleen maar gemaakt is om jouw inloggegevens te verzamelen.