• Diensten
    ▸
    • Family Security Office
      ▸
      • Home security check
      • Veiligheidscoördinator
      • Personal Trackers
      • Digitaal onderzoek gezin
      • Security Service Desk
  • Over ons
  • Actueel
  • Contact
Wij streven naar een wereld met een veilige werk- en woonomgeving voor ieder persoon. In deze wereld is AVAQ uw coördinator op het gebied van veiligheid en integriteit. Samen met u bouwen wij aan een veilige omgeving en daarmee uw vertrouwen in veiligheid. Een veilig gevoel tijdens wonen en werken is immers één van de basisbehoeften.

AVAQ

  • Diensten
    • Family Security Office
      • Home security check
      • Veiligheidscoördinator
      • Personal Trackers
      • Digitaal onderzoek gezin
      • Security Service Desk
  • Over ons
  • Actueel
  • Contact
Home  -  Actueel  -  Zondagmiddag: aan de slag met mijn online wachtwoorden en accounts

Zondagmiddag: aan de slag met mijn online wachtwoorden en accounts

Geschreven op 23 februari 2020

Het optimaliseren van mijn online wachtwoorden en accounts, dit stond al ruime tijd op mijn “to do”-lijst. Niet omdat ik nog niks georganiseerd had, maar omdat ik wist dat nog niet alles voldoende goed was:

  • Ik had nog enkele (oude, weinig gebruikte) accounts waarbij ik hetzelfde wachtwoord gebruikte;
  • Dit wachtwoord kwam voor in gehackte databases;
  • Dit wachtwoord was te kraken in 42 minuten met een brute force attack;
  • Ik had nog niet voor alle mogelijke accounts 2-factor-authenticatie (2-FA) ingesteld;
  • Ik wilde voor al mijn privé accounts niet alleen een uniek wachtwoord, maar ook voor ieder account een unieke gebruikersnaam middels een <catch-all> optie.

Dus, op deze regenachtige zondagmiddag dacht ik: aan de slag! In deze blog lees je mijn stappen, handige tips en achtergrondinformatie.

Mijn account komt voor in gehackte databases

Heb jij enig idee of je accounts voorkomen in een gehackte databases? Enkele van mijn e-mailadressen staan hier dus in. Je kunt je e-mailadres o.a. controleren via: haveibeenpwned.com. haveibeenpowned-screenshotOp zich is het geen probleem als je hierin staat, zolang je niet hetzelfde wachtwoord gebruikt voor verschillende accounts, je 2-FA hebt ingesteld én je je wachtwoord wijzigt zodra de gelekte databases publiekelijk worden gemaakt. Op haveibeenpwned.com kun je een notificatie instellen zodra je e-mailadres voorkomt in een gehackte database, erg handig.

Mijn wachtwoord: in 42 minuten gekraakt

Indien je account voorkomt in een gehackte database betekent het nog niet dat je account howsecureismypassword-screenshotook direct kwetsbaar is. Soms zijn de buitgemaakte wachtwoorden encrypted gehashed, waardoor ze eerst nog gekraakt moeten worden. Dit wordt o.a. gedaan door brute force. Hoe sterker je wachtwoord hoe langer het duurt – verderop lees je wat een sterk wachtwoord is. Op howsecureismypassword.net kun je testen hoe lang jouw wachtwoord het volhoudt. Ik had nog enkele wachtwoorden die binnen 42 minuten gekraakt waren: Oeps.. En als je dan voor alles hetzelfde wachtwoord hebt 😐

Ik gebruik voor alles hetzelfde wachtwoord.

Op bijna ieder verjaardagsfeestje, familiedag of bedrijfsuitje is er wel iemand die zegt: “ik gebruik voor alles hetzelfde wachtwoord”, meestal met de toevoeging: “ik heb toch niks te verbergen”. Een leuke discussie wat mij betreft. Ik voel me vrijwel altijd geroepen om het gesprek aan te gaan en deze persoon van gedachten te laten veranderen. In het kort zou mijn antwoord zoiets zijn als: “Waarschijnlijk staan jouw gegevens al ergens publiekelijk online. Er zijn op dit moment ruim 12 miljard accounts publiekelijk gemaakt middels gehackte databases. Wacht.. ik zoek jouw gegevens wel even op via dehashed.com. Daarnaast bepaal jij niet of je iets te verbergen hebt, dat wordt bepaalt door degene die jouw mogelijk kwaad wil doen, door je af te persen of je accounts te misbruiken”. Meestal raad ik de volgende boeken aan om te lezen: Je hebt wél iets te verbergen – Maurits Martijn & Dimitri Tokmetzis en Komt een vrouw bij de h@cker – Maria Genova.

Een sterk wachtwoord en een Password manager

Een sterk wachtwoord (hier schreven we al eerder over) is vooral lang en bestaat uit kleine letters, hoofdletters, symbolen en cijfers. Waarom? Dat is vrij eenvoudig: indien je alleen kleine letters gebruikt zijn er voor ieder teken dat je gebruikt 26 mogelijkheden. Als je hoofdletters toevoegt dan zijn het 26 x 26 mogelijkheden. Zodra je cijfers toevoegt dan wordt het 26 x 26 x 10. En zodra je symbolen toevoegt dan wordt het 26 x 26 x 10 x heel veel voor ieder teken dat je toevoegt. Een wachtwoord met 30 tekens (kleine letters, hoofdletters, 2 symbolen en 2 cijfers) kost 1 duodecillion jaar om te kraken, dit is een 1 met 39 nullen (1.000.000.000.000.000.000.000.000.000.000.000.000.000 jaar). En dan wordt hij ook niet zomaar geraden door Victor Mids doormiddel van social engineering:

Oké, leuk. Maar hoe moet ik die lange unieke wachtwoorden allemaal onthouden? Mijn advies: neem een keer op een regenachtige zondagmiddag de tijd om 1password-screenshoteen Password Manager goed in te stellen. Ik maak sinds 2014 gebruik van 1Password. Sindsdien heb ik ongeveer 700 (inlog)gegevens opgeslagen: nooit meer het gedoe met ‘wachtwoord vergeten’, heerlijk!

Het handige van 1Password is Watchtower. Watchtower heeft ervoor gezorgd dat ik vandaag dacht: aan de slag met mijn online wachtwoorden en accounts (zie screenshot). Watchtower laat namelijk zien waar je kwetsbaar bent: komt je account voor in een gehackte database, heb je kwetsbare, hergebruikte of zwakke wachtwoorden, maak je gebruik van onbeveiligde websites (niet https bij de inlog) en bij welke accounts kun je nog 2-FA instellen.

Voor ieder account een unieke gebruikersnaam/e-mail

De laatste actie van mijn lijstje: ik heb al enige tijd als missie om minder afhankelijk te zijn van Google, Google is enorm handig, maar het hele idee dat Google bij alles dat ik doe meekijkt vind ik niet prettig (naast dat er veel andere redenen zijn, maar dat is voor een andere blog): log voor de grap eens in op Google Dashboard en ontdek wat Google allemaal van je registreert.

Ik ben overgestapt van mail van Google (@gmail.com) naar een mailbox met een eigen domeinnaam. Om een goede overstap te maken ben ik langs al mijn accounts gegaan, deze staan in 1Password, en heb ik in al mijn accounts mijn Gmail gewijzigd in mijn eigen e-mailaccount. Mijn eigen e-mailaccount heb ik ingesteld met een <catch-all>@mijndomeinnaam, zodat alles dat voor het @ staat binnenkomt in dezelfde mailbox. Met dit handigheidje en de administratie die ik van ieder account bijhoud in 1Password kon ik voor al mijn accounts een ander e-mailadres gebruiken; bijv. voor Netflix: netflix@mijndomeinnaam en voor Spotify: spotify@mijndomeinnaam. Hierdoor heb ik bij al mijn accounts een uniek e-mailadres én een uniek wachtwoord: nog een beetje veiliger voor het geval mijn gegevens voorkomen in een gehackte database.

AVAQ ondersteunt vanuit haar Family Security Office vermogende en welgestelde families en particulieren bij het inrichten van digitale veiligheid. Neem voor meer informatie contact met ons op.

Over de auteur:
Geschreven door: Daniël de Jong

Daniël is adviseur op het gebied van risicomanagement, gespecialiseerd in safety- & securitymanagement en met vergaande kennis over privacy en integriteit. Met zijn creativiteit en gestructureerde aanpak brengt hij veiligheidsvraagstukken tot een goed einde.
Gerelateerde berichten:
Het verhoogde risico door bekendheid en online zichtbaarheid
Wat is er over jou te vinden op het internet?
Het nut van een webcam cover
Onderzoek: mensen wijzigen zelden hun wachtwoorden na een datalek
Vrijheid anno 2020: koesteren en beschermen
Digitale Veiligheid, Persoonlijke veiligheid,

AVAQ België

Augustijnslei 291
2930 Brasschaat (Antwerpen)
België
HRA 354658
Tel. +32 329 72867

  • Persoonlijke veiligheid
    • Home security check
    • Veiligheidscoördinator
    • Personal Trackers
    • Digitaal onderzoek gezin
    • Security Service Desk

Overige links

  • Disclaimer
  • Privacyreglement