Het blijft altijd even schrikken. Er zijn 6,5 miljoen passwords van LinkedIn ontvreemd en zelfs ik ben zo stom geweest een password voor dit social network te gebruiken dat ik ook ergens anders voor gebruik. Dom, dom, nooit doen. Maar ieder voordeel heeft zijn nadeel en het is een goede aanleiding om uit de doeken te doen waarom je verschillende passwords moet hanteren, hoe je een veilig password kunt construeren en welke foefjes er bestaan passwords te onthouden.
Gebruik verschillende wachwoorden
Nog niet zo heel lang geleden kwam in het nieuws dat de passwords van KPN klanten waren gehackt. Feitelijk waren passwords van de Babydump op het internet te vinden van gebruikers die hetzelfde password hanteerden voor hun mail als voor de Babydump. Het bedrijf had de wachtwoorden onversleuteld opgeslagen. Dat wil zeggen dat de hacker, eenmaal binnengedrongen in het systeem, de lijst kon ophalen en openbaar maken. Weliswaar is het niet netjes om vertrouwelijke gegevens onversleuteld te bewaren, maar het gebeurt wel. Als consument kun je er daarom niet blindelings van uitgaan dat je gegevens technisch correct worden opgeslagen. De hoofdregel luidt daarom ‘Gebruik hetzelfde password nooit meerdere malen’.
Versleuteld
De situatie bij LinkedIn is een tikkeltje anders. Hier zijn de wachtwoorden wèl versleuteld. Wat betekent dat en hoe gaat dat in zijn werk? Stel, je password is “HUIS”. Dit woord wordt in een getal omgezet. Dat kun je je voorstellen door de positie van de letter in het alfabet te nemen en de uitkomst te sommeren: H = 8, U = 18, I = 9, S = 20. het totaal is vervolgens 8 + 18 + 9 + 20 = 55 (de echte berekening is gelukkig een stuk ingewikkelder). Volgens dit voorbeeld zou HUIS hetzelfde opleveren als IHUS en zou je met meerdere wachtwoorden kunnen inloggen, hetgeen niet het geval is. Klop je bij de server met je password aan, dan word je binnengelaten als de uitkomst 55 is.
Veillig wachtwoord
De hacker kent in dit geval niet je wachtwoord, maar de rekenformule en de uitkomst. Door vervolgens een woordenlijst te nemen en te kijken welk woord de juiste uitkomst geeft, kan hij of zij je wachtwoord reconstrueren. Dit is heel simpel uitgelegd, maar je snapt al hoe je een veilig wachtwoord kunt aanmaken. Door in plaats van “HUIS” “HUIS,,,,” te gebruiken, heb je én een makkelijk te onthouden wachtwoord én een wachtwoord dat lastig te kraken is, immers “HUIS,,,,” zul je niet zo snel op een woordenlijst vinden. Bovendien, hoe meer soorten tekens, hoe onuitputtelijker het aantal mogelijkheden Regel twee luidt dan ook ‘Gebruik bij het maken van wachtwoorden een mengeling van hoofd- en kleine letters, cijfers en leestekens, maak je wachtwoord niet te kort (7+ tekens)’. Wil je meer weten over het effect van de lengte van een password, lees het arikel van Erwin Griekspoor hier.
Wachtwoorden onthouden
We weten nu hoe we veilige wachtwoorden aanmaken die door computers lastig te berekenen zijn. Blijft de vraag hoe we die lange lijst aan wachtwoorden gaan onthouden. De meest eenvoudige manier is ze op te schrijven. Dat is op zich een nieuw risico. Immers, dit lijstje moet niet in verkeerde handen vallen. We moeten ervoor zorgen dat ofwel het lijstje wachtwoorden goed is beschermd ofwel is versleuteld.
Password management systeem
Ik maak hiervoor gebruik van een password management systeem (een overzicht van password management systemen staat hier). Voor dit systeem heb ik een hoofdwachtwoord dat niemand kent en dat ik nooit ergens anders voor gebruik. Het systeem slaat mijn wachtwoorden alleen versleuteld op in de cloud. Zonder mijn hoofdwachtwoord, dat ik altijd zelf moet onthouden, kunnen ze niet worden vrijgegeven. Worden ze ooit gehackt, dan bezit de hacker een brei aan tekens die nooit tot mijn passwords terug te herleiden zijn. Extra voordeel is dat het systeem automatisch formulieren op het internet kan invullen en ik dus niet telkens al die verschillende wachtwoorden in hoef te tikken. En als je creativiteit wat betreft het bedenken van wachtwoorden op is, kan het systeem veilige wachtwoorden voor je generen.
Houd je alles liever in eigen beheer, dan is een redelijk alternatief het opslaan van al je wachtwoorden in een tekst document. Zorg er dan wel voor, dat je dit document met een wachtwoord beveiligt, dat je nergens anders gebruikt en dat je alleen zelf kent.