Branded Content
Branded Content XTR Branded Content is de commerciële content op nrc.nl. De inhoud valt buiten de redactionele verantwoordelijkheid van NRC Media.

Moet je nou wel of niet je wachtwoord veranderen?

Vrijdag 24 november was het Verander je Wachtwoord-dag. Ivo Noppen is ethisch hacker bij Deloitte. Van de goede soort dus: op uitnodiging probeert hij digitaal bij bedrijven in te breken om te controleren hoe goed hun beveiliging is. Moet je wel of niet je wachtwoord regelmatig veranderen? Ivo gaat hier in dit artikel op in.

Hoe belangrijk is een goed wachtwoord eigenlijk?

“De vraag moet eigenlijk zijn: hoe belangrijk is het gebruik van een wachtwoord en wat is een goed wachtwoord? Het gebruik van enkel en alleen een wachtwoord staat steeds meer ter discussie. Daarnaast moet je tegenwoordig voor iedere website of ieder systeem een account of inlog hebben. Dit helpt niet mee om afwisselende en goede wachtwoorden te bedenken en te gebruiken. Als ik bij een bedrijf eenmaal op het netwerk zit, kan ik meestal ook bij wachtwoorden van medewerkers. Die zijn dan weliswaar nog versleuteld, maar simpele, voor de hand liggende wachtwoorden, zijn razendsnel te kraken. We gebruiken daar een computer voor die maar iets geavanceerder is dan wat consumenten thuis hebben. Helemaal niet fancy dus. Daarmee zoeken we naar patronen, zoals een woord met hoofdletter in combinatie met een jaartal. Wachtwoorden als Winter2017, Vitesse01, het adres van een bedrijf: daar zijn we binnen 15 seconden achter. Dit is een van de manieren van het achterhalen van een wachtwoord. Een andere manier is bijvoorbeeld het bijhouden van toetsaanslagen op het toetsenbord. Het grote probleem is natuurlijk dat mensen hetzelfde wachtwoord op veel verschillende sites gebruiken. Dus hebben hackers je wachtwoord eenmaal gekraakt, dan kunnen ze overal en nergens bij jouw gegevens. Overal hetzelfde wachtwoord gebruiken is net alsof je zo’n ouderwets slot voor een poort op je voordeur hebt.”

Het grote probleem is dat mensen hetzelfde wachtwoord op veel verschillende sites gebruiken. Hebben hackers je wachtwoord eenmaal gekraakt, dan kunnen ze overal bij

Waarom bestaat er een Verander je Wachtwoord-dag?

“Goede vraag. Er is veel onderzoek gedaan naar het effect van het regelmatig veranderen van je wachtwoord. Hieruit blijkt dat het regelmatig veranderen van je wachtwoord niet altijd bijdraagt aan online veiligheid. Het veelvuldig moeten aanpassen hiervan zorgt voor weinig variatie en daarnaast voor minimale verschillen tussen het nieuwe en oude wachtwoord. Daarnaast blijkt dat de wachtwoorden die gestolen zijn, vaak direct ingezet worden. Hierdoor ben je altijd te laat. Wellicht heeft de Verander je Wachtwoord-dag wel zijn beste tijd gehad.”

Wat maakt een wachtwoord een goed wachtwoord?

“Voorheen dachten we dat een goed en complex wachtwoord bestond uit minstens twaalf karakters – en een combinatie van karakterklassen zoals dat heet. Dus letters – hoofdletters en kleine letters – cijfers en symbolen, zoals een dollarteken of een hekje. Tegenwoordig blijkt dat niet zozeer de combinatie van karakterklassen, maar de lengte van een wachtwoord sterker is. Maak dan ook gebruik van zinnen. Bijvoorbeeld: Op maandag moet ik de container buiten zetten. Een computer moet al die karakters stuk voor stuk kraken en de volgorde moet ook nog kloppen. Dat is bijna niet te doen. Zeker niet als je ergens in die zin ook nog een aantal cijfers of symbolen zet.” De voorwaarde is natuurlijk wel dat voor elke site een totaal andere zin wordt gebruikt. Als je een vast patroon gebruikt – op maandag je container, op dinsdag moet je werken, op woensdag naar voetbaltraining enzovoort – dan zit daar toch wel een risico aan. Want hackers richten zich bij het kraken van wachtwoorden ook op patronen. Dus gebruik voor elk online account een ander lang, moeilijk te kraken wachtwoord. Maar hoef je dan het wachtwoord niet te wijzigen? Dit kan uiteraard altijd, maar zorg er dan voor dat je een totaal ander wachtwoord kiest dan voorheen. Wat beter zou helpen is wanneer diverse websites inlogs monitoren en melding doen van ongebruikelijke inlogs, zoals je dit vaker ziet bij social media-accounts.”

De meeste mensen hebben al snel zo’n veertig accounts. Hoe moeten ze al die wachtwoorden onthouden?

“Het is inderdaad vrijwel onmogelijk om dat uit je hoofd te doen. Een handig hulpmiddel is een password manager, oftewel een wachtwoordkluis. Dat is een programma met een versleutelde database van al jouw wachtwoorden. Om toegang te krijgen tot al die wachtwoorden, hoef je maar één hoofdwachtwoord te onthouden. Dit moet dan uiteraard wel een heel sterk wachtwoord zijn omdat dit wachtwoord toegang verschaft tot alle diensten. Veel van dat soort password managers genereren zelf wachtwoorden voor de sites die je gebruikt, zodat je overal een ander wachtwoord hebt. Ook kunnen ze een melding geven als je je wachtwoord al drie maanden niet hebt gewijzigd en als je wachtwoord is gehackt. Want dat kan natuurlijk toch gebeuren, maar dan hebben hackers toegang tot slechts één van je accounts. Er zijn voors en tegens voor het gebruik van een password manager.”

Kan ik nog meer doen om de veiligheid te vergroten?

“Een groot aantal sites biedt opties aan voor zogeheten two-factor authenticatie: 2FA. Met deze optie heb je naast je wachtwoord ook nog een aanvullende code nodig, bijvoorbeeld uit een SMS of een speciale app op je telefoon. Het voordeel hiervan is dat wanneer je wachtwoord onverhoopt in handen komt van een aanvaller, deze toch niet kan inloggen omdat hij daarvoor ook toegang tot bijvoorbeeld je telefoon nodig heeft. Daarmee maak je het een aanvaller behoorlijk veel lastiger. Daarnaast zijn er biometrische oplossingen, zoals inloggen met vingerafdruk of gezichtsherkenning. Ook hier zijn uiteraard voor- en tegenstanders van, want is dit wel veilig en kan er geen misbruik van worden gemaakt? Over het algemeen zien we dat het gebruikersgemak zwaarder opweegt dan de kleine kans dat er in theorie eventueel misbruik van gemaakt kan worden.”

Kun je zien of jouw wachtwoord inmiddels al op straat ligt?

“Er zijn inderdaad sites waar je op basis van je e-mailadres kunt zien of jouw account betrokken is geweest bij een recente datalek. Je kunt hiervoor de site haveibeenpwned.com gebruiken. Check echter nooit op basis van jouw wachtwoord of jouw gegevens op straat liggen. Je hebt namelijk geen idee wat er met al die wachtwoorden gebeurt. Hackers kunnen die informatie verzamelen en daar patronen uit herleiden of gebruiken om op je accounts proberen in te breken. Je geeft hen dus informatie over het wachtwoordpatroon dat jij gebruikt. Je geeft hen bij wijze van spreken de sleutel van je voordeur.”

Ivo Noppen is junior manager Risk Services bij Deloitte. Wil je met hem van gedachten wisselen? Neem dan contact met hem op.