paswoorden

paswoorden? weeral?

We horen het je al denken…nog een post over paswoorden? Wel ja, blijkt dat dit nog altijd nodig is. We blijven met z’n allen vrij slordig omgaan met onze paswoorden.

We beschouwen paswoorden een beetje als een noodzakelijk kwaad, terwijl ze net onze meest persoonlijke gegevens beschermen tegen nieuwsgierige blikken en malafide praktijken.

  • ‘Maar dat wordt zo ingewikkeld?’
  • ‘Ik kan ze toch niet allemaal onthouden?’
  • ‘Bij mij zullen ze toch niets vinden’

Allemaal redenen waarom we niet altijd goed nadenken vooraleer we onze paswoorden kiezen. Met de gekende gevolgen van dien, jaarlijks pronken dezelfde slechte paswoorden in het lijstje ‘slechtste paswoorden van [vul jaar in]’. We zijn behoorlijk hardleers.

Een goed en sterk paswoord kiezen hoeft nochtans niet zo ingewikkeld te zijn. Toegegeven, je vindt heel uiteenlopende adviezen die ervoor zorgen dat een paswoord soms zo complex is, dat je het amper kan onthouden. Maar een goed paswoord is zowel sterk als (relatief) makkelijk te onthouden.

van ingewikkeld…

De richtlijnen over sterke paswoorden zijn aan verandering onderhevig. Een tijd geleden bestond de consensus dat een sterk paswoord kleine letters, hoofdletters, cijfers en symbolen moest bevatten. Natuurlijk liefst minstens 12 tekens.

Deze raad zorgde voor soms vrij complexe paswoorden en verwarring alom. Maar, zoals je ziet in de cartoon hierboven, is de mate van ‘entropie’ daarin vrij klein. ‘Entropie’ is eigenlijk een term uit de thermodynamica en is een maat voor wanorde in een systeem.

Voor ons brein is het niet evident om helemaal willekeurige tekens te genereren, ‘helemaal at random’ is niet zo ons ding. We leggen er altijd wel één of andere betekenis in en variëren dan op hetzelfde thema. Dat maakt dat dergelijke paswoorden makkelijk te kraken zijn. (niet alleen door andere mensen maar door programma’s die daar speciaal voor ontwikkeld worden).

…naar simpel

Het meest actuele advies is om een paswoordzin aan te maken. Een zin die bestaat uit de combinatie van woorden die ogenschijnlijk niets met elkaar te maken hebben, met al of niet tekens of hoofdletters erin.

Dus weg met die vervelende combinaties met % ! ¨[ $ maar simpelweg een paar woorden op een rij. Volgens de laatste adviezen minimum vier, als het even kan mogen het er ook zes zijn. Je paswoordzin telt minimum 8 tekens, maar is bij voorkeur langer. (jammer genoeg is niet elke toepassing even up to date met de nieuwste evoluties. Sommige toepassingen beperken het tekengebruik tot 8 letters, dat is niet de meest veilige optie)

Let wel: ook hier moet je zorgen voor zoveel mogelijk entropie, willekeur dus. ‘knooppuntonlineaanspreekpunt’ is dus niet het sterkste paswoord. Qua lengte en ‘speciaal woord’ is het zeker wel ok. Maar het is nooit een slimme zet om je eigen (organsiatie)naam in je paswoord op te nemen. Daar is niets willekeurig meer aan. Nul punten voor entropie.

Het betekenisloze ‘theeveterbloembakoktrooitip’ is al veel beter. Een goed paswoord is zo betekenisloos mogelijk. ‘Hard to guess, easy to remember’

Misschien blijf je toch zweren bij de letters, cijfers en tekencombinaties, daar is niets mis mee. Zorg er dan wel voor dat je paswoord lang genoeg en voldoende willekeurig is. Gebruik geen herkenbare cijfer- of letterreeksen. Vermijd zeker de klassieke vervangingen zoals een ‘o’ (letter) in een woord vervangen door een ‘0’ (nul), een ‘A’ door een ‘4’, plaats je hoofdletters en tekens ergens middenin en niet vooraan,…maak het zo onvoorspelbaar mogelijk.

comic van xkcd

in 2 stappen

Voor een heel aantal toepassingen (microsoft, google, apple,…), kan je gebruik maken van tweestapsverificatie of -authentificatie. Je bewijst dus in twee stappen dat je wel zegt wie je beweert te zijn.

Die twee stappen zijn je paswoord en een code die je ontvangt op je gsm-nummer of op een alternatief mailadres. Die code moet je eerst invoeren voordat je effectief  toegang krijgt. Dus zelfs als je paswoord zou gecompromitteerd zijn, dan vormt de code een tweede barrière waardoor hackers niet zomaar toegang kunnen krijgen tot je gegevens.

geheugensteuntje

Sommige toepassingen geven je de mogelijkheid een ‘geheugensteuntje’ in te geven. Als je moeilijkheden hebt om je je paswoord te herinneren, dan kan je jezelf een tip geven of een vraag beantwoorden waarvan je zelf vooraf het antwoord hebt ingegeven. Het spreekt voor zich dat je er ook hier voor zorgt dat dit antwoord of dit geheugensteuntje alles behalve voor de hand liggend is. Niet raadbaar door mensen, zo weinig mogelijk kraakbaar door machines. Als dit geheugensteuntje al te makkelijk te raden is, dan kan je even goed paswoord ‘123456’ gebruiken. (al jaren in de top 10 van slechtste paswoorden).

Het meest recente advies van de National Institute of Standards and Technology (VS, juni 2017) luidt zelfs dat je deze geheugensteuntjes en vragen beter gewoonweg niet gebruikt.

en natuurlijk…

…zorg je ervoor dat je voor elke verschillende toepassing een ander paswoord hebt. En elk van die paswoorden is onvoorspelbaar anders, dus geen variaties op hetzelfde thema. Dat maakt al je paswoorden veel te kwetsbaar.

De tip die vroeger gegeven werd om regelmatig (om de paar maanden) van paswoord te veranderen, is ondertussen ook achterhaald. Eens je een stevig paswoord hebt,  je surft niet op twijfelachtige sites en er is geen melding van één of andere hack op een platform, dan kan je gerust langer met hetzelfde paswoord doen. Als je dan toch van paswoord verandert, zorg ervoor dat je kiest voor iets radicaal anders, bijvoorbeeld niet zomaar een cijfer veranderen en de rest gelijk laten. Ook hier is entropie de gouden regel.

Maar al die paswoorden voor verschillende toepassingen, dat vraagt natuurlijk veel van onze geheugenruimte. Ook daar bestaat een (paswoordbeveiligde 🙂 ) oplossing voor.

al je paswoorden in de kluis

De moderne mens logt dagelijks op verschillende platformen in: je persoonlijke e-mail, je werk e-mail, social media accounts,…Veel paswoorden om te onthouden. Een handige manier om al deze paswoorden bij te houden is een ‘paswoordkluis’. Dat is een toepassing die online of offline kan zijn waarin al je paswoorden gecentraliseerd worden bijgehouden waardoor je met gemak automatisch kan inloggen op al die toepassingen. Die paswoordkluizen kunnen zelf ook sterke wachtwoorden generen voor de platformen waar je op zit. De meest gekende online variant is Lastpass.

Je ziet de bui al hangen, om toegang te krijgen tot je paswoordkluis moet je…een paswoord ingeven. En je begrijpt natuurlijk onmiddellijk dat dit ijzer- en ijzersterk moet zijn.

terug naar de blogpagina

toch prijs?

Het loont de moeite om af en toe eens te checken of je verschillende accounts nog veilig zijn, of de combinatie van je e-mail en paswoord nog niet gekraakt geweest is. Ook daarvoor bestaat een handige website: op ‘have I been pwned* kan je je e-mailadres ingeven en checken of dat nog onaangetast is. Stel dat het resultaat negatief is, dan verander je, overal waar je dat mailadres als inlog gebruikt, het paswoord van de bijhorende toepassing.

*  pwned’ staat eigenlijk voor ‘owned’, met andere woorden ‘is het internet mij de baas?’

2017-09-06T18:24:54+00:00 11 september 2017|Categories: Geen categorie|Tags: , |