Hét techvoornemen van 2016: eindelijk een veilig wachtwoord

Hét techvoornemen voor 2016: je wachtwoorden op orde krijgen. Want hoe meer we online regelen, des te kwetsbaarder we zijn voor hacks.

Illustratie: Kristiaan der Nederlanden

Tuurlijk, je weet het best: het is verstandig om regelmatig je wachtwoorden te veranderen. En je weet ook dat welkom01 niet het beste wachtwoord is. Maar complexe wachtwoorden verzinnen en die regelmatig veranderen is zo’n gedoe. Dus blijf je voor iedere website hetzelfde, gemakkelijk te onthouden wachtwoord gebruiken.

Toch is dat écht dom. Hoe meer we online regelen – van een nieuw paar schoenen tot de belastingaangifte – des te meer schade hacks kunnen aanrichten. Een doordacht wachtwoordenbeleid zou daarom zo maar eens het beste voornemen voor 2016 kunnen zijn.

Het lekken van een e-mailadres en een wachtwoord van een relatief onbenullige site wordt gevaarlijk wanneer datzelfde wachtwoord ook voor andere sites wordt gebruikt. Zo leidde een hack van webwinkel baby-dump.nl in 2012 tot een KPN-lek. De getroffen KPN-gebruikers bleken voor de webwinkel voor babyspullen hetzelfde wachtwoord te hebben gebruikt als die van hun KPN-webmail. KPN keerde de gedupeerden in totaal een ton uit.

Ook in 2015 ging het een aantal keer goed mis. Grote hacks waren onder meer die van de Canadese vreemdgangerswebsite Ashley Madison, het Chinese speelgoedconcern VTech en de Amerikaanse overheidsinstantie OPM (Office of Personnel Management).

Hoe groot de precieze schade is bij deze hacks – los van een fikse ruzie thuis – is nog niet bekend. Herbert Bos, hoogleraar systeem- en netwerkbeveiliging aan de Vrije Universiteit, wijst erop dat de hacks ook in de toekomst nog gevolgen kunnen hebben: „Honderden miljoenen persoonsgegevens liggen op straat, waarmee iedereen aan de haal kan. Of dat nu om identiteitsdiefstal door cybercriminelen, het chanteren van mensen in sleutelposities of het veroorzaken van nieuwe hacks gaat.”

In 2016 kunnen we meer hacks verwachten, zegt Michel van Eeten, hoogleraar internetveiligheid aan de TU Delft. „In principe is alles mogelijk, zelfs een lek in ons eigen DigiD. Het is maar net wie daar op een zeker moment in geïnteresseerd is.”

Zowel Bos als Van Eeten benadrukken dat hier een grote verantwoordelijkheid voor bedrijven ligt. Bos: „Met name banken zijn al goed in het automatisch detecteren van misbruik. Wanneer iemand ongebruikelijke bedragen vanaf onbekende plekken opneemt bijvoorbeeld.”

Toch is er ook genoeg dat je zelf kunt doen om je online veiligheid te vergroten. Bos: „Het ergste is het gebruiken van een wachtwoord als ‘123456’, gevolgd door het gebruiken van één wachtwoord voor verschillende websites.”

Blijft de vraag hoe je al die wachtwoorden in hemelsnaam onthoudt. Van Eeten heeft een simpele strategie: „Voor diensten die er écht toe doen verzin ik een ijzersterk, uniek wachtwoord. Mijn DigiD, bankrekening en e-mailadres bijvoorbeeld. Voor alle andere sites gebruik ik hetzelfde simpele wachtwoord.” Een beetje smokkelen mag kortom best.

Een andere goede methode is het gebruiken van een password manager: een programma dat voor iedere site of dienst een ander willekeurig wachtwoord genereert. Al zitten daar ook een aantal haken en ogen aan.