Je bent weer jouw paswoord vergeten?!
En je het het nochtans zo mooi opgeschreven in dat klein boekje dat je in jouw onderste schuif bewaart. Maar dat boekje helpt je ook niet veel als je op vakantie bent en op jouw Netflix account wil aanloggen. Of de stand van jouw rekening nakijken, alvorens jouw parter los te laten in de winkelstraat met jouw VISA kaart.
Wachtwoorden zijn voor velen een doorn in het oog. Maar in de huidige wereld van internet criminelen, die zitten te popelen om aan de haal te gaan met jouw data, of ergens, de inhoud van jouw bankrekening, zijn paswoorden nog steeds broodnodig.
Helaas is niet elk paswoord even goed. Een “zwak” paswoord is in principe even slecht als “geen enkel paswoord”. Net zoals een verrotte achterdeur van de keuken, die je kan open meppen met een kleine tik, evengoed waardeloos is om op een zaterdagnacht een inbreker buiten te houden, terwijl je je zat aan het drinken bent op een feestje.
Wat is een zwak wachtwoord? Een wachtwoord die gebaseerd is op een bestaand woord, in gelijk welke taal, is een zwak wachtwoord. Alsook, elk wachtwoord die te kort is, is eigenlijk waardeloos. Alles onder de 8 letters en cijfers is niet veilig. En dus al helemaal niet als het gebaseerd is op een woord.
Ook alles wat je kan raden als iemand jou kent, of even jouw facebook of instagram account afschuimt, is slecht. De naam van jouw kind, kat of hond? Vergeet het maar.
Ah, en wat als ik mijn geboordedatum neem? Alweer een slecht idee.
Waarom dan?
Is een zwak wachtwoord dan zo snel te raden of te kraken? of zijn we paranoide geworden anno 2023? Misschien een beetje paranoïde, maar niet wanneer het op paswoorden aankomt.
Computers worden sneller en sneller. Jouw smartphone in jouw broekzak is gemiddeld 40.000 keer sneller dan de computer die ik voor mijn neus had toen ik “voor kompjoeter” studeerde, een goede 20 jaar geleden. Als we iets langer teruggaan, heeft dezelfde smartphone 120.000.000 keer (!) de kracht om de computer die in 1969 de Apollo 11 op de maan zette.
Snellere computers zijn plezant en hebben onze maatschappij veranderd. Maar ze hebben helaas ook een nadeeltje…. de brute rekenkracht die we tot onze beschikking hebben, geldt ook voor het schorriemorrie van de mensheid. Via deze brute rekenkracht, komt het “kraken” van wachtwoorden binnen handbereik voor de huis, tuin- en keukencrimineel. Als het dan nog eens georganiseerd wordt, dan is het hek volledig van de dam.
Ik geef een voorbeeldje.
Paul is flink, en heeft een paswoord op zijn mailbox staan. Maar Paul wil geen lange wachtwoorden onthouden, dus Paul maakt het zich graag gemakkelijk. Paul ging voor Minou18 als wachtwoord. Minou is zijn huiskat, die sinds 2018 zijn appartement onveilig maakt. Slecht nieuws voor Paul, want met de huidige computerrekenkracht is dit in een wip gekraakt. Iemand een gokje hoelang het duurt om het paswoord “Minou18″ te kragen?………………….. juist…. 0,23 seconden.
Wachtwoorden kraken betekent dat er honderden keren per seconde allerlei combinaties geprobeerd worden, meestal gebaseerd op bestaande woorden en namen. Geloof het of niet, maar je kan zulke lijsten op internet aankopen voor een paar honderd dollar. In die lijsten zal “Minou” dus zeker voorkomen. Programma’s die criminelen gebruiken, zullen elk woord aflopen van de lijst en een aantal combinaties proberen. “Minou001, Minou002, Minou003, Minou!, Minou15“…. ze gaan allemaal geprobeerd worden en dit aan een razend snel tempo. Totdat er één correct is waarmee de hacker kan aanloggen. Op dat moment is Paul zijn mailbox gekraakt. Het eerste wat de hacker zal doen is het paswoord van Paul veranderen in een zelf gekozen paswoord. Vanaf dan kan Paul zelf niet meer in zijn mailbox en begint de miserie.
Zoals ik al zei, een wachtwoord is even waardeloos als geen wachtwoord, want als een hacker het op jouw mailbox gemunt heeft, dan is hij in 0,23 seconden binnen.
Uiteraard zijn er nog talloze andere verdedegingsmiddelen om de brute kracht aanvallen (of in het Engels: Brute Force attack) tegen te houden. De internetdiensten proberen het crapuul uiteraard zo moeilijk mogelijk te maken om binnen te breken. De bekendste verdediging is een account tijdelijk uitschakelen nadat je bijvoorbeeld 3 keer het verkeerde wachtwoord hebt ingegeven. Je hebt het waarschijnlijk al gemerkt dat als je wat nonchalant 3 keer verkeerd typt of gewoon jouw wachtwoord vergeten bent, dan kan je 5 of 10 minuten niet aanloggen. De bedoeling is niet om jou te pesten (dat doen wij wel bij Geekdonkey…), maar om te beletten dat die wachtwoordkrakers duizenden en duizenden combinaties kunnen proberen in korte tijd. Als ze om de 3 foutieve paswoorden vijf minuten moeten wachten, dan worden de 0.23 seconden ineens jaren.
Je staat er dus niet alleen voor, maar het is een kat- en muisspel. Ga er dus vanuit dat een sterk wachtwoord hebben, sowieso meer dan een goed idee is!
Wat is dan een sterk wachtwoord?
In prinipe het omgekeerde van een zwak wachtwoord. (“bedankt Cherloc Holmes!”)
dus een sterk wachtwoord bestaat uit:
- niet gebaseerd om een bestaand woord of naam
- minstens 8 tekens (grote en kleine cijfers, letters en leestekens)
- minstens 1 of 2 leestekens
Een voorbeeld van een sterk wachtwoord is: Kp0;rstAQ
Het is geen gebrabbel van een dronkaard, maar een bijna onkraakbaar wachtwoord. De 0,23 seconden van Minou18 worden ineens maanden of zelfs jaren, wat het economisch niet meer interessant maakt voor een hacker om jouw wachtwoord te proberen kraken. (met economisch bedoel ik: het zal te lang duren en teveel energie kosten) Uiteraard: hoe langer hoe beter (“that’s what she said…”). Langere wachtwoorden zullen nog veel moeilijker te berekenen of kraken zijn dan korte wachtwoorden. Algemeen genomen is een paswoord van 8 tot 10 tekens genoeg. Let wel, dit geldt voor anno 2023 wanneer ik dit artikel schrijf. Gezien computers altijd maar sneller en sneller worden, zou het wel eens kunnen zijn dat we binnen een aantal jaren dit moeten bijstellen.
Een goede techniek om een paswoord te kiezen: gebruik een “zin” of “gezegde” als basis.
Bijvoorbeeld
je neemt de gezegde: “De ochtendstond heeft goud in de mond!”. Als we deze zin nemen en wat aanpassen, geraken we snel aan een nieuw sterk wachtwoord.
We nemen bijvoorbeeld de eerste letter van elk woord en plakken alles aan elkaar. We krijgen dan:
Dohgidm!
Op zich al niet slecht. we kunnen dan kiezen om de letter o te veranderen in een 0 en de letter i in een 1. We komen uit op: D0hg1dm!
Een sterk wachtwoord is geboren. Alle regels zijn goed, zolang je ze maar onthoudt!
Maar nu komt Minou op de koord:
HOE IN GODSNAAM ONTHOUD IK ZO’N PASWOORD?!
Alsof “Minou18” of “Kevin001” nog niet moeilijk genoeg waren om te onthouden… Maar deze hoop letters en cijfers wat op Klingon trekt uit Star Trek, dat onthoudt toch geen mens?!
Inderdaad. En het paswoord neerschrijven op een post-it of in een boekje is zoals gezegd ook een slecht idee. Niet alleen kan je het verliezen, de poetsvrouw heeft ook ineens inzicht in jouw digitaal privé-leven als ze jouw bureau aan het kuisen is. Sommige websites vragen ook dat je om de paar weken of maanden jouw paswoord verandert. Dit om ervoor te zorgen ALS iemand inderdaad zonder jouw medeweten, jouw wachtwoord te pakken heeft gekregen, dat die na een tijd er niet meer in kan.
DE OPLOSSING!
WACHTWOORDMANAGERS!
Het geheim is simpel: een wachtwoordmanager!
Een wachtwoord (of paswoord) manager is een zwaar beveiligde plaats (lees: programma) waar je al jouw paswoorden opstaat. Het is dus net alsof je de wachtwoorden noteert in het fameus boekje, alleen heeft de kuisvrouw er geen toegang toe. Niemand heeft er toegang toe, behalve jij. Want een wachtwoordmanager is beveiligd… met een wachtwoord! AAARCH! Dus we gooien er nog een wachtwoord bovenop om te onthouden? wel nee…. want het verschil is dat het wachtwoord van jouw wachtwoordmanager het ENIGSTE en laatste wachtwoord is dat je zal moeten onthouden. Zie het als een digitale kluis, waar al jouw geheimen inzitten en waar je alleen aankunt met een wachtwoord.
Het is natuurlijk een goed idee dat je dit één wachtwoord van de wachtwoordmanager dan onthoudt… anders geraak letterlijk je aan geen enkel wachtwoord meer aan!
Gebruik dus zeker een zin of gezegde als basis, want je kan je niet veroorloven om dit paswoord te vergeten. En opschrijven in het kuisvrouwboekje is zeker een slecht idee.
Het goede eraan is: letterlijk AL je andere wachtwoorden zitten veilig in de wachtwoordmanager en die hoef je niet meer te onthouden. Straffer nog: je moet ze zelfs niet meer intypen, want het wachtwoordmanager-programma doet dit voor jou! Ik ken letterlijk slechts 1 wachtwoord van buiten. Al de rest van mijn wachtwoorden zit veilig opgeborgen in mijn wachtwoordmanager.
in de volgende nieuwsbrief gaan we verder in op de wachtwoordmanager. Ik leg je uit hoe je eraan geraakt, hoe je van start gaat en wat de talloze mogelijkheden zijn.
Ah en trouwens.. de meeste wachtwoordmanagers zijn gratis! (Er bestaan betalende versies met meer mogelijkheden, maar die heb je niet nodig)
Nog enkele tips:
- Hergebruik geen paswoorden. Zorg ervoor dat elke website waar je een wachtwoord moet voor kiezen, telkens uniek is. Op die manier vermijd je dat als er TOCH iemand jouw paswoord te weten komt, dat dit crapuul toegang heeft tot al jouw accounts of websites waar je kan aanloggen
- Alles begint met een goed wachtwoord, maar wachtwoorden op zicht zijn niet het meest veilige. Er bestaan betere manier om te bewijzen dat jij het bent. Of beter manieren om in combinatie met jouw wachtwoord een betere beveiliging te voorzien. Dit is voer voor een volgende nieuwsbrief
- Een wachtwoord “kraken” zoals hier beschreven is helaas slechts één manier om digitaal in te breken. In een volgende nieuwsbrief gaan we verder in op Fishing, Social Engineering, en andere technieken die hackers gebruiken om aan jouw paswoord te geraken.
