Password Managers: de oplossing voor zwakke wachtwoorden

Password Managers: de oplossing voor zwakke wachtwoorden

online

Op 12 januari was het groots nieuws: RTL Nieuws-redacteuren hackten social media accounts van politici. Nou ja, hacken is misschien een groot woord. De redacteuren hebben de inloggegevens die eerder zijn gestolen bij de grote hacks van bijvoorbeeld LinkedIn, Dropbox en Adobe. Die zijn nu gemakkelijk te vinden en te achterhalen. ze werden ingevoerd bij verschillende andere sociale media-platformen. Bij meerdere Nederlandse politici was het prijs. Niet alleen omdat deze politici klaarblijkelijk voor meerdere accounts exact dezelfde inloggegevens gebruiken. Maar ook nog eens hadden zij deze gegevens, zelfs na de dringende waarschuwingen van LinkedIn na zijn hack in 2012, en opnieuw in mei 2016, nooit aangepast. Wat kunnen we hier nu precies uit afleiden?

Niets veranderd bij wachtwoorden

Nou, eigenlijk dat de situatie van wachtwoordgebruik sinds 1998 niet echt is veranderd. Ondanks de inmiddels miljoenen adviezen en waarschuwingen die zijn verspreid. Mensen gebruiken nog steeds zwakke wachtwoorden. Wachtwoorden die gemakkelijk door een pc te kraken zijn. Deze wachtwoorden gebruiken zij bovendien voor meerdere online accounts. En ze wijzigen de wachtwoorden nagenoeg nooit, zelfs niet nadat een service waarvoor deze wachtwoorden gebruikt zijn, blijkt te zijn gehackt.

Het geval van de politici drukt ons met ons neus op de feiten. Zelfs hoogopgeleide mensen, die de vele waarschuwingen toch moeten hebben kunnen begrijpen, houden er het slechtst denkbare wachtwoordbeleid op na. Dat zij daarin niet alleen staan moge duidelijk zijn. Een paar dagen na het nieuws over de gehackte politici werd het nieuws bekend dat in 2016 het populairste wachtwoord nog altijd het zeer eenvoudig te raden of te kraken ‘123456’ is (een interessant overzicht van de tijd die nodig is om zwakke wachtwoorden te kraken, vind je hier).

Begrijpelijk

Dat dit het geval is, is niet onbegrijpelijk. Al jarenlang vragen wij (security-experts) gebruikers om lange wachtwoorden te verzinnen, het liefst met gebruik van zowel hoofdletters als kleine letters en speciale tekens. En dan voor elk online account een andere. Oftewel: moeilijk om te verzinnen, onmogelijk om te onthouden. Wiskundige berekeningen laten zien dat de lengte van een wachtwoord overigens belangrijker is dan het gebruik van speciale tekens. Hoewel dat wachtwoorden (of liever: wachtzinnen) makkelijker maakt om te onthouden, is dat een schrale troost als je er – zoals de gemiddelde internetter in 2016 – tientallen moet onthouden.

Veel mensen maken om die reden een lijstje aan met alle inloggegevens die zij hebben. Vaak gebeurt dat in een simpel Word-bestand. Dat is ten zeerste af te raden. Bijna alle malware scant documenten op de pc die zij net hebben weten te infecteren op interessante gegevens, en inloggegevens zijn dan absoluut niet veilig. En denk aan het risico van ransomware: als je document met al je wachtwoorden wordt versleuteld, kun je helemaal nergens meer bij.

Een iets beter idee is het bijhouden van een fysiek lijstje. Maar hier zitten ook grote nadelen en gevaren aan. Het meest voor de hand liggende is een inbreker, die de lijst naast de computer aantreft en die dus niet alleen je huis, maar ook je bankrekening met behulp van online bankieren kan plunderen of je identiteit kan stelen. Maar ook als het lijstje niet te dicht bij de pc, bijvoorbeeld in een kluis wordt opgeslagen zijn er bezwaren. Telkens als je ergens wilt inloggen, moet het papier tevoorschijn gehaald worden en – erg belangrijk- na gebruik weer netjes worden opgeborgen. Wanneer je ergens wilt inloggen terwijl je niet thuis bent, ben je zelfs volkomen verloren.

Digitale kluis

Een praktischere oplossing is een Password Manager. Dat is een programma dat sterke wachtwoorden voor je accounts kan verzinnen. De inloggegevens worden sterk versleuteld in een digitale kluis bewaard. Die kluis kan zich in de cloud bevinden (bijvoorbeeld LastPass). Voordeel hiervan is, dat je de inloggegevens altijd en overal kunt oproepen. Nadeel is dat je volkomen afhankelijk bent van de betrouwbaarheid van de service. Die is eigenlijk een soort zwarte doos. Zo heeft LastPass in het verleden al een last gehad van een ernstig beveiligingslek (Heartbleed).

Er zijn ook Password Managers die de kluis met wachtwoorden opslaan op je eigen pc, zoals de Password Manager die onderdeel is van het beveiligingspakket Total Security van G DATA. Het voordeel hiervan is dat de gegevens lokaal opgeslagen staan en daarmee veel minder makkelijk zijn aan te vallen. De kluis is ook niet zomaar zichtbaar voor malware, en door de sterke AES-versleuteling is kraken uitgesloten. De wachtwoordkluis is alleen wel gebonden aan je eigen pc, dus even inloggen op de pc van een vriend is niet zomaar mogelijk.

Voor alle Password Managers geldt overigens wel één groot nadeel. Je moet er een heel lang en sterk wachtwoord voor verzinnen, dat je absoluut nooit mag vergeten….

Dirk Cools, Country Manager G DATA Benelux

GEEN REACTIES

LAAT EEN REACTIE ACHTER