Het belangrijkste van wachtwoorden is dat u de voorkeur moet geven aan langere wachtwoorden. De gebruikelijke aanbeveling is een minimum van 15 tekens. Ook hergebruikt u best geen wachtwoorden op verschillende sites. Als u uw wachtwoord gebruikt voor meerdere sites en het lekt of wordt gekraakt, wat houdt de aanvallers dan tegen om op andere sites in te loggen met hetzelfde wachtwoord?
Misschien wilt u zich aanmelden voor meldingen van gelekte referenties op https://haveibeenpwned.com/. Als er een lek met uw e-mailadres op het internet wordt ontdekt, is de kans groot dat u een melding krijgt en uw wachtwoord kunt wijzigen voordat het wordt misbruikt.
Hoe u unieke wachtwoorden gemakkelijker kunt onthouden
Veel unieke wachtwoorden te onthouden is moeilijk. Velen die unieke wachtwoorden gebruiken, slaan ze op in notities, hetzij digitaal, in een notitieboekje of op een stuk papier. Als iemand toegang zou krijgen tot de aantekeningen, zou hij kunnen inloggen op alle sites die u hebt opgeslagen. Hoe kunt u dit voorkomen?
Wachtwoordmanagers
Wachtwoordmanagers zijn software die uw wachtwoorden en andere geheimen voor u onthoudt. Meestal versleutelen ze alle gegevens die u erin opslaat, zodat alleen u de opgeslagen gegevens kunt gebruiken. De veiligheid van wachtwoordmanagers hangt, zoals we in een later hoofdstuk zullen zien, af van de sleutel en niet van het gebruikte algoritme. Met andere woorden, als u de toegang zou verliezen tot de database met al uw versleutelde wachtwoorden, zou niemand anders er toegang toe kunnen krijgen zonder de sleutel.
Het onthouden van een lange sleutel is onmogelijk, dus kunt u een hoofdwachtwoord gebruiken om de sleutel zelf te ontcijferen, die vervolgens wordt gebruikt om de gegevens te ontcijferen. In wezen is de sleutel even veilig als uw hoofdwachtwoord. Dit is een concessie aan de bruikbaarheid ten koste van volledige veiligheid. Een hoofdwachtwoord is gemakkelijker te onthouden dan een lange sleutel vol willekeurige bits. Een hoofdwachtwoord moet echter zeer veilig zijn, dus lang en moeilijk, zo niet onmogelijk, te raden. Sommige wachtwoordmanagers hebben andere middelen om uw account te herstellen, maar wees voorzichtig als die herstelgegevens buiten uw controle worden opgeslagen, want dat betekent dat iedereen die toegang heeft tot die herstelgegevens uw wachtwoorden kan ontcijferen.
Wachtwoordmanagers helpen u ook met functies die veilige wachtwoorden kunnen genereren voor uw gebruik. Veel wachtwoordmanagers laten u ook de relatieve veiligheid van het wachtwoord zien met iets dat lijkt op de entropieberekening die we eerder zagen. Bijna alle wachtwoordmanagers hebben optionele browser plugins waarmee u automatisch login informatie kunt invullen op de websites die u bezoekt. De meeste werken ook cross-platform, zodat u dezelfde app kunt gebruiken op uw computers, tablets en mobiele telefoons.
Een handige functie die u in sommige wachtwoordmanagers vindt, is een melding van wachtwoordlekken op sites die u gebruikt. Wanneer u de melding ontvangt, kan de wachtwoordmanager u helpen uw wachtwoord te wijzigen in een nieuw wachtwoord, zodat aanvallers zich niet kunnen aanmelden met de mogelijk gelekte gegevens.
Besteed bij het kiezen van een wachtwoordmanager voldoende aandacht aan waar en hoe de wachtwoord database en encryptie sleutels worden opgeslagen. Bij sommige wachtwoordmanagers kunt u de wachtwoorden in een lokale database opslaan. Dit betekent dat u de enige bent die toegang heeft tot het databasebestand. Afhankelijk van de software, kunt u de database synchroniseren tussen computers en uw andere apparaten via verschillende diensten zoals Dropbox of iCloud. Sommige wachtwoordmanagers slaan de database op hun servers op. Hier is het belangrijkste voor de veiligheid te begrijpen hoe de encryptie en encryptiesleutels worden aangepakt. Sommige diensten moeten de hoofdcoderingssleutel op hun servers opslaan, maar dit geeft hen ook de mogelijkheid om de wachtwoorddatabase te ontcijferen. Andere diensten, zoals 1Password, slaan de wachtwoorddatabase op een locatie van uw keuze op (standalone versie) of op hun servers (abonnementsversie). In alle gevallen bent u echter de enige die de hoofdsleutel van de encryptie heeft.
U hebt misschien gemerkt dat het gebruik van een wachtwoordbeheerder een situatie creëert waarbij ‘alle eieren in dezelfde mand liggen’. Als een aanvaller toegang krijgt tot uw wachtwoorddatabase en deze kan decoderen, bent u al uw wachtwoorden tegelijk kwijt. Echter, het gebruik van een wachtwoordmanager heeft over het algemeen veel meer positieve kanten tegen het risico van het verliezen van alle wachtwoorden op hetzelfde moment. U kunt er unieke en lange wachtwoorden veilig mee op slaan die bijna onmogelijk te onthouden zouden zijn. Het verliezen van één wachtwoord via een hack van een website zal de andere logins niet in gevaar brengen omdat u hetzelfde wachtwoord niet hergebruikt. Om uw database te beschermen, gebruikt u een goed en lang hoofdwachtwoord. U kunt zelfs een wachtwoordzin gebruiken (of een reeks van verschillende niet-gerelateerde woorden) om het nog langer te maken!
Als u bang bent dat iemand uw gegevens in handen krijgt, kunt u meestal extra bescherming gebruiken, zoals multifactorauthenticatie.
Multifactorauthenticatie
Multifactorauthenticatie, of MFA, is wanneer een gebruiker zich bij een dienst authenticeert met meer dan één factor. Deze factoren worden meestal gedefinieerd als:
iets wat u weet (kennis, zoals een wachtwoord)
iets dat u hebt (een bezit, zoals uw mobiele telefoon of een fysiek token)
iets dat u bent (de zogenaamde ‘inherence’, zoals uw vingerafdruk of netvlies)
De meest gebruikelijke manier waarop multifactorauthenticatie wordt gebruikt, noemen we tweefactorauthenticatie (of tweefactorverificatie). Een voorbeeld van een tweefactorauthenticatie (of 2FA) is betalen met een creditcard. Bij een creditcardbetaling gebruikt u iets wat u hebt (de creditcard) en iets wat u weet (uw pincode) om de betaling goed te keuren.
Een gebruikersnaam en een wachtwoord samen zijn nog steeds maar één factor. Ze behoren allebei tot de categorie ‘iets dat u weet’. Sommige sites gebruiken nog steeds veiligheidsvragen als extra factor, vooral voor het herstellen van wachtwoorden, maar dat is nog steeds slechts één factor in dezelfde categorie. Erger nog, de antwoorden op die veiligheidsvragen zijn meestal heel gemakkelijk te vinden op het internet.
Multifactorauthenticatie wordt gebruikt om uw authenticatie extra te beveiligen. U hebt misschien inbreuken gezien op websites die u gebruikt en gehoord dat gebruikersnamen en wachtwoorden op het internet zijn uitgelekt. Als u geen multifactorauthenticatie of de meer gebruikelijke variant daarvan, tweefactorauthenticatie (2FA), gebruikt, kan iedereen die toegang heeft tot die gegevens, ze gebruiken om toegang te krijgen tot het account. Als u het wachtwoord voor meerdere diensten hebt hergebruikt, zijn ze allemaal vatbaar voor misbruik door iedereen die toegang heeft tot de inloggegevens. Als u echter 2FA hebt ingeschakeld in de diensten die u gebruikt, dan moet de aanvaller ook toegang hebben tot de tweede factor om toegang te krijgen tot uw account.
Veel voorkomende tweede factoren zijn onder andere:
SMS (u moet toegang hebben tot de telefoon om in te kunnen loggen);
eenmalige wachtwoorden, hetzij met behulp van een app of een fysiek token zoals een RSA-sleutel (een klein apparaatje dat eenmalige wachtwoorden genereert);
beveiligingssleutels, bijvoorbeeld een Yubikey of de Titan-sleutel van Google
pushmeldingen (bijvoorbeeld gebruikt via de Google-app of Authenticator van Microsoft)
vingerafdruk- of gezichtsherkenning.
Wees voorzichtig met SMS
Hoewel sms nog steeds de meest gebruikte aanvullende factor is, is deze vatbaar voor misbruik. Er kunnen veel verschillende aanvallen worden gebruikt om de veiligheid die het gebruik van sms oplevert, teniet te doen. Bovendien hebben criminelen trucs gebruikt om gebruikers te verleiden hun eenmalige wachtwoordcode in te voeren als antwoord op onverwachte verzoeken, zodat de aanvaller die code in zijn aanval kan gebruiken.
Deze social engineering-aanval kan de vorm aannemen van een sms waarin u wordt verteld dat uw account wordt aangevallen en dat u het eenmalige wachtwoord moet invoeren om de dienst te laten verifiëren dat u niet de aanvaller bent. Een andere strategie die vrij vaak wordt gebruikt, is u op te bellen als een vertegenwoordiger van uw bank of een andere instelling die u vertrouwt en u te vragen uw identiteit te bevestigen door middel van een verzoek om een eenmalig wachtwoord. Vervolgens proberen ze in te loggen op uw account en sturen ze het eenmalige wachtwoordverzoek naar u door. De aanvaller kan betrouwbaar overkomen omdat hij u kan waarschuwen om uw gegevens aan niemand te geven (ze hebben ze al!). Vergeet niet dat geen enkele legitieme bank, overheid of officiële instelling u ooit om uw wachtwoord of pincode zou vragen!
Een andere token provider die vaak wordt gebruikt is een authenticator app. Er zijn meerdere apps die dezelfde service bieden, dus u kunt kiezen welke u wilt gebruiken. De meeste apps zijn multiplatform en kunnen in de meeste mobiele telefoons en computers gebruikt worden. De meest gebruikte authenticator-apps zijn Google Authenticator, Authy en Microsoft Authenticator, maar er bestaan er nog veel meer. Vaak heeft de authenticator app een seedwaarde nodig van de server om het eenmalige wachtwoord voor u te kunnen genereren. De meest gebruikelijke manier is tegenwoordig het scannen van een QR-code met de camera van uw mobiele telefoon. De tijdsgebaseerde seedcode zal meestal in 30 seconden regenereren. De code heeft ook een klein tijdsbestek waarbinnen hij zal werken, meestal ongeveer een minuut.
Beveiligingssleutels
Een beveiligingssleutel is de meest veilige van de eerder genoemde factoren in multifactorauthenticatie. Het gebruik ervan is iets ingewikkelder dan een authenticator-app, maar ze zijn ook veiliger. Als u uw telefoon verliest met de authenticator-app, kunt u alle informatie verliezen die uw accounts beschermt. Met een beveiligingssleutel hebt u een apart fysiek apparaat dat nodig is naast uw inloggegevens, dus als u alleen het apparaat met de wachtwoorden verliest, betekent dat niet dat iemand kan inloggen op uw account. Het is een goede gewoonte om een duplicaat van de beveiligingssleutel op een veilige plaats te bewaren voor het geval u uw primaire sleutel verliest of breekt. Beveiligingssleutels hebben meestal een extra stap om de gegevens erin te beschermen. Meestal is er een knop die u moet indrukken voordat het geheim kan worden gebruikt. Dit voorkomt dat malware op uw computer het beveiligde token kan lezen, tenzij er een fysieke handeling plaatsvindt.
Wachtwoordloze logins
Er zijn veel zwakke punten bij het gebruik van wachtwoorden. Gebruikers geven bijvoorbeeld de voorkeur aan memorabele en zwakke wachtwoorden en die moeten ergens worden opgeslagen, meestal niet op een veilige plaats. Eens ze gelekt zijn, kunnen de logingegevens misbruikt worden, zelfs op andere sites in het geval van hergebruikte wachtwoorden. Rainbow tables en brute force zullen in de toekomst minder bruikbaar worden, met de komst van steeds snellere computers, voortschrijdend inzicht in algoritmen en kwantumcomputing. Wachtwoordloze logins beogen hier verandering in te brengen door gebruik te maken van versleuteling met behulp van een privésleutel. Bij deze methode wordt de privésleutel niet doorgegeven aan de server en kan bij verlies van de publieke sleutel die op de server is opgeslagen, niemand behalve de eigenaar van de privésleutel inloggen op het account van de gebruiker. De Windows Hello-authenticatie van Microsoft is een voorbeeld van een wachtwoordloze login.
Windows Hello kan op verschillende manieren worden gebruikt, van een pincode tot vingerafdruk- of zelfs gezichtsherkenning. De initiële authenticatie gebeurt lokaal op uw computer en wordt nooit doorgestuurd naar de server. In plaats daarvan wordt de pincode of vingerafdruk achter de schermen gebruikt om een cryptografische uitwisseling tussen uw computer en de server te autoriseren, die u uiteindelijk toegang tot de computer verleent.
Wachtwoordloze versus multifactorauthenticatie
Wachtwoordloos inloggen kan verward worden met multifactorauthenticatie, omdat de eindgebruikerservaring vrij gelijkaardig kan zijn. Bij wachtwoordloze authenticatie vraagt het systeem meestal om enkele identificerende gegevens, zoals de gebruikersnaam of een e-mailadres. Authenticatie kan gebeuren via meerdere verschillende factoren die worden gedeeld met multifactorauthenticatie. Het verschil is dat u bij wachtwoordloze authenticatie geen gedeeld geheim met de server hoeft te onthouden, zoals een wachtwoord. Zelfs als u een pincode gebruikt, wat een vreselijk wachtwoord zou zijn, wordt deze niet naar de server verzonden, maar in plaats daarvan gebruikt om de cryptografische authenticatie lokaal op uw computer in te schakelen.
Sign up to solve exercises
Na het beëindigen van hoofdstuk 2 kun je:
begrijpen welke gegevens moeten worden beschermd en welke gegevens open mogen blijven.
uitleggen waar en hoe u sporen van gegevens achterlaat, en waarvoor ze worden gebruikt.
begrijpen hoe u uw rechten en verantwoordelijkheden met betrekking tot het gebruik van gegevens kunt vinden.
beschikken over een basiskennis over hoe u een goed wachtwoord kunt aanmaken en uw inlogbeveiliging voor al uw online accounts kunt versterken.
