Wat is een veilig wachtwoord?
Ik val maar gelijk met de deur in huis: we zijn als mensen verschrikkelijk slecht in het kiezen van sterke wachtwoorden. Het grote probleem is namelijk dat we een wachtwoord moeten onthouden. Normaal gesproken meten we hoe âsterkâ een wachtwoord is door het aantal mogelijke tekens in een wachtwoord tot de macht van je wachtwoordlengte te doen.
Onze definitie van een veilig wachtwoord: elk wachtwoord dat bestaat uit zoân 12 tekens en minimaal Ă©Ă©n hoofdletter, Ă©Ă©n kleine letter, Ă©Ă©n cijfer en Ă©Ă©n leesteken.
Neem als voorbeeld een pincode. Deze bestaat uit 4 cijfers van 10 mogelijke tekens: 10⎠= 10000 verschillende pincodes. Dit is ook wel logisch als je bedenkt dat alle geldige pincodes van 0000 tot 9999 lopen.
Dus⊠bij een wachtwoord met hoofdletters, kleine letters, cijfers en leestekens heb je ongeveer 100 opties per teken. Een wachtwoord van 9 tekens heeft dan al 100âč= 1.000.000.000.000.000.000 opties, oftewel Ă©Ă©n triljoen mogelijkheden.
Is een wachtwoord hacken makkelijk?
Hoe snel een hacker een wachtwoord kan raden hangt een beetje af het systeem dat aangevallen wordt, maar het kan tussen de 100 gokjes tot 50 miljard gokjes per seconde zijn. Zeker in dat laatste geval betekent dit dat je binnen een dag het wachtwoord gekraakt hebt. Echter, voeg je twee tekens toe, dan word die enkele dag ineens 27 jaar! Elk wachtwoord dat dus bestaat uit zoân 12 tekens en minimaal Ă©Ă©n hoofdletter, Ă©Ă©n kleine letter, Ă©Ă©n cijfer en Ă©Ă©n leesteken bestaat is dus best wel veilig! Dit zie je dan ook erg vaak als âeisâ bij het maken van een wachtwoord voor een website.
Hetzelfde wachtwoord gebruiken
Onthoud even het volgende wachtwoord dat aan die eisen voldoet: l)4~s;.Yld_u. En dan ook voor elke website even een unieke. Want als dat slimme koffiezetapparaat je wachtwoord onveilig opslaat en het gehacked wordt, dan logt een cybercrimineel met diezelfde gegevens zo in op je email.
Zoveel unieke wachtwoorden onthouden kunnen we eigenlijk niet, sterker nog we gaan vaak âslimmeâ trucjes gebruiken om dan wel aan de eisen te voldoen: âGroningen1234!â is bijvoorbeeld een wachtwoord wat voldoet aan de eisen, maar totaal onveilig is.
Hackers weten namelijk ook echt wel dat wij dit soort dingen verzinnen. Daarom zullen ze niet alle mogelijke wachtwoorden testen, maar pakken ze een lijst met de 10.000 meest gebruikte woorden van het internet, maken ze van de eerste letter een hoofdletter en zetten ze er 0-4 willekeurige cijfers en een leesteken achter. Als we dat even uitrekenen komen we op 3 miljard mogelijkheden. Een 3 met 9 nullen in plaats van de 1 met 28 nullen die het zou moeten zijn! Dan zit je zomaar naar slechts een paar uurtjes kraaktijd te kijken. Oeps!
Zo kun je je online accounts beveiligen
We zijn dus slecht in wachtwoorden verzinnen en onthouden. Zeker als we wachtwoorden niet mogen hergebruiken. Maar hoe dan verder? De oplossing ligt in drie stappen, die je het beste zoveel mogelijk kan toepassen.
In drie stappen naar een veilig wachtwoord:
- Een wachtwoordkluis
- Tweestapsverificatie
- Single Sign On
1. Een wachtwoordkluis
Een wachtwoordkluis, ook wel âPassword Managerâ genoemd, is een stukje software dat al je wachtwoorden op Ă©Ă©n plek opslaat, beveiligd met Ă©Ă©n hoofdwachtwoord. Het voordeel is dat je dus voor elk account een wachtwoord van 64 willekeurige tekens kan opslaan in de wachtwoordkluis. Wachtwoordkluizen kunnen zoân wachtwoord voor je genereren en ook automatisch invullen op websites. Vaak hebben ze ook een app voor als je op je telefoon wilt inloggen en synchroniseert dat allemaal met elkaar. Je hoeft alleen nog maar Ă©Ă©n hoofdwachtwoord te onthouden; hoe je die het beste kan kiezen vertel ik hieronder.
2. Tweestaps Verificatie
Inloggen met gebruikersnaam en wachtwoord noemen we Ă©Ă©nstaps verificatie (of Ă©Ă©n factor authenticatie). Je logt namelijk in met iets wat alleen jij weet. Bij tweestaps verificatie log je in met iets wat alleen jij weet Ă©n iets wat alleen jij hebt. Bijvoorbeeld met je telefoon of een speciale USB stick (security key).
De meest gebruikte tweestaps verificatie is een TOTP (Time-based One-time Password), zoals Google Authenticator. Je telefoon genereert dan elke 30 seconden een code van zes cijfers die je moet invullen nadat je je wachtwoord hebt opgegeven. Sommige apps sturen je ook wel een pushmelding waar je op kan klikken als je probeert in te loggen. Hiermee wordt je wachtwoordsterkte eigenlijk minder relevant, want zonder je telefoon kan je toch niet inloggen. Het helpt ook tegen iemand die je sterke wachtwoord afkijkt of erachter komt door bijvoorbeeld phishing.
Nog beter dan TOTP zijn security keys zoals de Yubikey. Security keys zijn kleine USB sticks met een knopje erop dat begint te knipperen als je probeert in te loggen. Druk je erop, dan ben je ingelogd. Dit systeem gebruikt onderliggend een heel sterk authenticatiesysteem dat werkt tegen phishing.
3. Single Sign On
Weet je wat beter is dan een sterk wachtwoord? Geen wachtwoord. Single Sign On heb je waarschijnlijk al wel eerder gezien in de vorm van âInloggen met Googleâ of âInloggen met Facebookâ. Als je een platform gebruikt waar al je medewerkers een account hebben, zoals bijvoorbeeld Google Apps of Office 365, dan kan je het inloggen via daar laten verlopen.
Zo hoef je dus voor je CRM geen aparte accounts met wachtwoorden aan te maken, maar stuurt het CRM je naar Google met de vraag aan Google: âWie is dit?â. Google laat jou inloggen waar nodig, en stuurt je met een getekend briefje terug naar het CRM: âDit is die-en-die, dat heb ik gechecked!â. De technische termen hiervoor zijn OAuth 2.0, OpenID Connect en SAML. Het enige wat dan belangrijk is is dat je het Google Apps account met een sterk wachtwoord (en tweestapsverificatie!) beveiligd.
Extra voordeel van Single Sign On: je beheert accounts op Ă©Ă©n plek. Dus als een medewerker vertrekt bij je bedrijf zet je ook heel gemakkelijk door zijn Google account uit te zetten alle andere accounts uit. Veel beveiligingslekken komen door oude vergeten accounts of âinsidersâ, en Single Sign On helpt daar tegen! Helaas zit bij veel diensten Single Sign On in het âPremiumâ pakket en is het niet altijd even makkelijk in te stellen.
Een sterk wachtwoord verzinnen
Soms ontkom je niet aan het maken van een wachtwoord. Bijvoorbeeld voor je Single Sign On account of voor je wachtwoordkluis. Als wij Ă©Ă©n veiligheidsterm zouden mogen veranderen aan het internet dan is het wel het veranderen van wachtwoord naar âwachtzinâ.
Onze tip: verander je wachtwoord naar een âwachtzinâ.
Een wachtwoord impliceert namelijk dat het Ă©Ă©n woord moet zijn en dat is onzin. Wat heel goed werkt is 6 tot 8 willekeurige woorden achter elkaar plakken. Pak een woordenboek, en kies daar willekeurig 6 tot 8 woorden uit.
Bijvoorbeeld: schurk deskundig teckel bureau traject doorzetten. Bij 250.000 woorden in het woordenboek en 6 woorden is het aantal keuzes dan 2,4 met 32 nullen.
Dit is héél sterk! En binnen no time onthoud je het beeld van een slimme teckel met een masker die achter zijn bureau dat traject doorzet ;) Vind je dat nog steeds erg lastig? Dan kan je ook gewoon een hele lange zin kiezen, zolang het maar niet makkelijk te raden is.
âGreatwaves levert geweldig wifi aan bedrijvenâ is niet zo handig (dat is namelijk algemeen bekend!), âOm kwart over 4 komt de bus naar de maan aanvliegen met een robot chauffeurâ is alweer een stuk beter!
Waarom een veilig wachtwoord voor je wifi-netwerk?
Je wifi heeft vaak Ă©Ă©n wachtwoord dat je met iedereen deelt. Ook dit wachtwoord kunnen hackers proberen te kraken, maar daarvoor moeten ze wel in de buurt van je netwerk zijn geweest.
Als het ze lukt, dan hebben ze toegang tot je bedrijfsnetwerk wat natuurlijk een groot probleem is. Hackers kunnen dan bijvoorbeeld proberen op je computers en servers in te breken, maar bijvoorbeeld ook op je VoIP telefoons en printers! Daarnaast kunnen ze allemaal narigheid op het internet uithalen met het IP adres dat terug traceert naar jullie bedrijf. Het is dus belangrijk om een sterk wifi wachtwoord te kiezen! Of eigenlijk zoals we hierboven al zeiden een sterke wifi âwachtzinâ.
Wifi wachtwoord delen
Het nadeel aan wifi wachtwoorden is dat je ze moet delen met je medewerkers, maar bijvoorbeeld vaak ook met anderen buiten je bedrijf! Denk bijvoorbeeld aan een sales medewerker van een ander bedrijf die een presentatie komt geven. âWat is het wifi wachtwoord? Ik moet de presentatie nog even uit mijn mail halen hoor!â.
Je weet niet hoe dat andere bedrijf met zijn IT beveiliging omgaat en waar die laptop geweest is, dus wil je hem ook niet op je bedrijfsnetwerk hebben. Maar ook de privé telefoons van medewerkers hoeven niet op je bedrijfsnetwerk.
Gastnetwerk opzetten
Je kan heel geheimzinnig doen over het wifi wachtwoord, maar uiteindelijk lekt zoân wachtwoord uit. Wij zien vaak dat er dan ineens een âwildgroeiâ aan telefoons op een netwerk is. Wat beter is is om gewoon een gastnetwerk op te zetten voor âonvertrouwdeâ apparaten.
Veiligheid voorop: zet een gastnetwerk op voor âonvertrouwdeâ apparaten.
Dan hebben ze wel internet, maar kunnen ze niet bij gevoelige zaken. Ook dit netwerk heeft een sterk wachtwoord nodig tegen het afluisteren, maar dat kan je gewoon delen.
Wifi wachtwoord veranderen met WPA2 Enterprise
Een ander probleem is dat het veranderen van een wifi wachtwoord veel overlast geeft. Alles moet dan het nieuwe wachtwoord krijgen en dat is een hoop gedoe. Niemand heeft plezier in het intypen van wachtwoorden op het toetsenbord van printers.
Gelukkig is er WPA2 Enterprise. Dat klinkt heel duur maar het is eigenlijk een soort van Single Sign On voor wifi. Je logt dan gewoon met je eigen bedrijfsaccount en wachtwoord in op de wifi. Gaat er iemand weg? Dan zet je het account van diegene uit en klaar! Geen toegang meer tot de wifi en geen gepruts met een nieuw wachtwoord in de slimme thermostaat :)
Ben je benieuwd naar de mogelijkheden om je wifi netwerk dat extra beveilingszetje te geven? Voel je dan âWelkom01â om contact met ons op te nemen!
