28 april 2020

Wachtwoorden zónder gedoe, het kan!

Als ik het thema wachtwoorden aanboor tijdens bijeenkomsten, webinars of security audits beginnen vaak de ogen te rollen. Veel mensen vinden “al die wachtwoorden” namelijk maar onhandig en veel gedoe. Vanuit het perspectief van een computergebruiker is dat ook wel te begrijpen: “Het ding” (de computer) moet het vooral doen en liefst zonder al te veel ongemakken.
Wachtwoorden

Makkelijk onthouden is makkelijk kraken!

Vanuit het perspectief van computerbeveiliging is het echter een terugkerend onderwerp waarvoor we aandacht moeten blijven vragen. Waarom dat zo is? Voor de meeste mensen is een computer namelijk vooral een functioneel gebruikersvoorwerp, waarbij de beveiliging ervan vaak iets abstracts is. (Tot het een keer helemaal mis gaat, maar dat even terzijde). Wat ik als ethical hacker vaak doe als ik uitleg geef hierover, is de vergelijking maken met de fysieke wereld. Dat maakt het een en ander stukken duidelijker. Dus, laat ik dat nu ook meteen doen voor wat betreft wachtwoorden. Het gezegde luidt: ‘’Als u uw wachtwoord makkelijk kunt onthouden, dan kan een hacker hem makkelijk kraken.’’

Hoe gaat dat vergelijk op met de fysieke wereld? U kent waarschijnlijk allemaal wel van die standaard kastsleutels die bij elke bouwmarkt te koop zijn. Met sleutel 52 opent u alle sloten die met datzelfde nummer overeenkomen. Voor het afsluiten van een eenvoudige kast zonder waardevolle spullen is dat prima. Zou u ook hiermee uw voordeur van uw huis “beveiligen”? ik hoop van niet… Van die sleutels zijn er namelijk zoveel in omloop dat het heel makkelijk gokken is tot je de juiste sleutel hebt. Als het slot zelf ook nog van lage kwaliteit is, volstaat een ferme trap om het slot eraf te krijgen zonder überhaupt een sleutel nodig te hebben. Digitaal werkt dat precies zo. Afhankelijk van de gekozen aanvalsmethode vaak zelfs in minuten tot een uur. Vooral bij wachtwoorden als Erik123, Welkom01, Qwerty456 etc. Geloof mij of niet, die wachtwoorden komen nog heel veel voor.

Een wachtwoordkluis is een goede oplossing

Om ervoor te zorgen dat mensen sterke wachtwoorden gebruiken, deze wachtwoorden niet voor meerdere diensten hergebruiken maar ook niet hoeven te onthouden moeten we op zoek naar een hulpmiddel. Dat vinden we in de vorm van een wachtwoordkluis. Zo’n kluis of manager heeft een paar belangrijke voordelen:

  • Door een stevig master-password te kiezen worden alle wachtwoorden voor u opgeslagen in een kluis.
  • Wachtwoorden worden voor u onthouden en ingevuld op de plekken waar u dat wenst.
  • De wachtwoorden zijn van een dusdanige lengte en complexiteit dat deze bijna niet te kraken zijn met de huidige stand van de techniek.

Voor de basisfunctionaliteit zijn veel wachtwoordmanagers gratis in gebruik. Kortom: eigenlijk is er geen reden om geen wachtwoordmanager te gebruiken. Bovendien is het ook veel veiliger dan de standaardfunctie voor het opslaan van wachtwoorden in de browser. Wilt u het helemaal goed en veilig doen? Maak dan zoveel mogelijk gebruik van tweefactor authenticatie. U heeft dan naast een gebruikersnaam en wachtwoord ook een extra code nodig die u krijgt via een app op uw smartphone. Mocht uw wachtwoord dan toch uitlekken, dan is het voor een hacker veel moeilijker (zo niet onmogelijk) om misbruik te maken van uw inlog gegevens.

Een tool die zowel als authenticator en wachtwoordkluis werkt is LastPass, maar er zijn nog legio andere tools zoals Google Authenticator, Dashlane, Keepass etc. die min of meer hetzelfde doen. Een gratis en opensource oplossing is Bitwarden. Je kunt allerlei reviews vinden op internet die je helpen een goede keuze te maken. Vaak heb je wel te maken met betaalde media (en dus gevoelig voor advertentie-inkomsten) maar als je er 2-3 bekijkt zul je zien dat de scores niet zo ver uit elkaar liggen. Maak dan de keuze op basis van de functionaliteiten die jijzelf het belangrijkste vindt.

Erik van der Heijden

Ethical Hacker.
Sequrence Beheer B.V.

Neem vrijblijvend contact met ons op

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.