Nu is een goed moment om je wachtwoord te veranderen
Stop met lezen en ga eerst je belangrijkste wachtwoorden veranderen. Klaar? Oké. De afgelopen week is nogmaals duidelijk geworden waarom een goed wachtwoordbeheer zo belangrijk is.
Woensdag bleek dat het grootste hack aller tijden, de inbraak bij Yahoo in 2013, nog eens drie keer groter was dan gedacht. In plaats van 1 miljard gekaapte accounts, werden alle op dat moment geregistreerde accounts gecompromitteerd, 3 miljard in totaal.
Vlak voor het weekend verschenen 9,3 miljoen e-mailadressen online die werden buitgemaakt tijdens een hack bij Bit.ly in mei 2014, samen met nog eens 5,2 miljoen accounts die in februari 2014 bij Kickstarter werden buitgemaakt. Tijdens het weekend raakte ten slotte bekend dat zo’n 17,5 miljoen accounts van Disqus werden gestolen in 2012.
De gelekte accountgegevens van Bit.ly, Kickstarter en Disqus werden toegevoegd aan de database van Have I Been Pwned. Die website wordt uitgebaat door security-expert Troy Hunt en verzamelt data uit allerlei hacks. De gegevens worden doorzoekbaar gemaakt, zodat je kan controleren of jouw gegevens gelekt zijn.
Je wordt gehackt
Op moment van schrijven bevat Have I Been Pwned gegevens van 4.778.372.805 gecompromitteerde accounts, verspreid over 240 gekraakte websites. Geef zeker eens je veelgebruikte gebruikersnamen en e-mailadressen in op de website. Fingers crossed dat de website groen kleurt, maar de kans is klein.
Probeer eens na te gaan hoeveel online accounts je eigenlijk al hebt aangemaakt in al die jaren dat je op het internet vertoeft. Je komt snel aan een getal hoger dan tien en dan vergeet je er vast nog een paar. Wanneer je altijd hetzelfde wachtwoord gebruikt, is je volledige online identiteit maar zo veilig als de slechtst beveiligde website waar je een account op hebt.
Dit alles maar om te benadrukken hoe belangrijk het is om (1) sterke wachtwoorden te kiezen en (2) voor elke website een ander wachtwoord in te stellen. Maar hoe doe je dat? Hoe meer accounts, hoe sneller je geneigd bent om eenvoudig te onthouden wachtwoorden te kiezen of een wachtwoord meermaals te hergebruiken.
Sterk wachtwoord
Een sterk wachtwoord is een wachtwoord dat moeilijk door een computer kan worden geraden. Dat betekent niet noodzakelijk hetzelfde als een wachtwoord dat een mens moeilijk kan raden (of onthouden), zoals de populaire webcomic xkcd in 2011 al visualiseerde:
Het voorbeeld in de comic, ‘Tr0ub4dor&3’, lijkt een wachtwoord volgens de regels van de kunst. Het is langer dan acht tekens en bevat een combinatie van grote en kleine letters, cijfers en symbolen. Een computer heeft evenwel weinig werk aan het kraken van een wachtwoord dat is gebaseerd op een normaal woord, aangevuld of aangepast met enkele cijfers en symbolen.
Het is veel veiliger om een langer wachtwoord te gebruiken (minimaal 12 tekens) en daar de nodige willekeur in te steken. Het voorbeeld dat xkcd gebruikt, ‘correcthorsebatterystaple’, is een combinatie van vier willekeurige woorden die je via een eigen ezelsbruggetje toch makkelijk kan onthouden. Gooi daar desnoods zelf nog wat cijfers en symbolen tussen – om te voldoen aan de wachtwoordeisen van heel wat websites – en je hebt een veel beter wachtwoord.
Wachtwoordkluis
Eén sterk wachtwoord onthouden zal nog wel lukken, twee of drie misschien ook. Wanneer je al je online accounts van een veilig en uniek wachtwoord voorziet, wordt het wel erg moeilijk om dat zelf allemaal te onthouden. Een wachtwoordbeheerder zoals LastPass of 1Password is dan de perfecte oplossing.
Deze applicaties bewaren al je wachtwoorden in een digitale kluis die beschermd is met één hoofdwachtwoord. Dat hoofdwachtwoord is het enige dat je nog moet kennen. Zorg dus dat het sterk is, maar dat je het ook kan onthouden. Al je andere wachtwoorden hoef je niet te onthouden en kan je dus erg ingewikkeld maken, of door de wachtwoordbeheerder laten genereren. Elk account kan zo met een sterk wachtwoord worden beschermd.
Tweestapsverificatie
Ten slotte nog een laatste tip. Steeds meer online diensten geven je de mogelijkheid tweestapsverificatie te activeren. Doe dat altijd.
Naast je wachtwoord wordt dan ook nog een tweede manier om je te identificeren gevraagd, bijvoorbeeld via een tijdelijke code die naar je telefoon wordt gestuurd. Zelfs wanneer een hacker je gebruikersnaam en wachtwoord kent, kan hij nog altijd niet in je account zonder de extra verificatie.