Zondagmiddag: aan de slag met mijn online wachtwoorden en accounts

23/02/2020

Het optimaliseren van mijn online wachtwoorden en accounts, dit stond al ruime tijd op mijn “to do”-lijst. Niet omdat ik nog niks georganiseerd had, maar omdat ik wist dat nog niet alles voldoende goed was:

  • Ik had nog enkele (oude, weinig gebruikte) accounts waarbij ik hetzelfde wachtwoord gebruikte;
  • Dit wachtwoord kwam voor in gehackte databases;
  • Dit wachtwoord was te kraken in 42 minuten met een brute force attack;
  • Ik had nog niet voor alle mogelijke accounts 2-factor-authenticatie (2-FA) ingesteld;
  • Ik wilde voor al mijn privé accounts niet alleen een uniek wachtwoord, maar ook voor ieder account een unieke gebruikersnaam middels een <catch-all> optie.

Dus, op deze regenachtige zondagmiddag dacht ik: aan de slag! In deze blog lees je mijn stappen, handige tips en achtergrondinformatie.

Mijn account komt voor in gehackte databases

Heb jij enig idee of je accounts voorkomen in gehackte databases? Enkele van mijn e-mailadressen staan hier dus in. Je kunt je e-mailadres o.a. controleren via: haveibeenpwned.com. haveibeenpowned-screenshotOp zich is het geen probleem als je hierin staat, zolang je niet hetzelfde wachtwoord gebruikt voor verschillende accounts, je 2-FA hebt ingesteld én je je wachtwoord wijzigt zodra de gelekte databases publiekelijk worden gemaakt. Op haveibeenpwned.com kun je een notificatie instellen zodra je e-mailadres voorkomt in een gehackte database, erg handig.

Mijn wachtwoord: in 42 minuten gekraakt

Indien je account voorkomt in een gehackte database betekent het nog niet dat je account howsecureismypassword-screenshotook direct kwetsbaar is. Soms zijn de buitgemaakte wachtwoorden encrypted gehashed, waardoor ze eerst nog gekraakt moeten worden. Dit wordt o.a. gedaan door brute force. Hoe sterker je wachtwoord hoe langer het duurt – verderop lees je wat een sterk wachtwoord is. Op howsecureismypassword.net kun je testen hoe lang jouw wachtwoord het volhoudt. Ik had nog enkele wachtwoorden die binnen 42 minuten gekraakt waren: Oeps.. En als je dan voor alles hetzelfde wachtwoord hebt 😐

Ik gebruik voor alles hetzelfde wachtwoord.

Op bijna ieder verjaardagsfeestje, familiedag of bedrijfsuitje is er wel iemand die zegt: “ik gebruik voor alles hetzelfde wachtwoord”, meestal met de toevoeging: “ik heb toch niks te verbergen”. Een leuke discussie wat mij betreft. Ik voel me vrijwel altijd geroepen om het gesprek aan te gaan en deze persoon van gedachten te laten veranderen. In het kort zou mijn antwoord zoiets zijn als: “Waarschijnlijk staan jouw gegevens al ergens publiekelijk online. Er zijn op dit moment ruim 12 miljard accounts publiekelijk gemaakt middels gehackte databases. Wacht.. ik zoek jouw gegevens wel even op via dehashed.com. Daarnaast bepaal jij niet of je iets te verbergen hebt, dat wordt bepaalt door degene die jouw mogelijk kwaad wil doen, door je af te persen of je accounts te misbruiken”. Meestal raad ik de volgende boeken aan om te lezen: Je hebt wél iets te verbergen – Maurits Martijn & Dimitri Tokmetzis en Komt een vrouw bij de h@cker – Maria Genova.

Een sterk wachtwoord en een Password manager

Een sterk wachtwoord (hier schreven we al eerder over) is vooral lang en bestaat uit kleine letters, hoofdletters, symbolen en cijfers. Waarom? Dat is vrij eenvoudig: indien je alleen kleine letters gebruikt zijn er voor ieder teken dat je gebruikt 26 mogelijkheden. Als je hoofdletters toevoegt dan zijn het 26 x 26 mogelijkheden. Zodra je cijfers toevoegt dan wordt het 26 x 26 x 10. En zodra je symbolen toevoegt dan wordt het 26 x 26 x 10 x heel veel voor ieder teken dat je toevoegt. Een wachtwoord met 30 tekens (kleine letters, hoofdletters, 2 symbolen en 2 cijfers) kost 1 duodecillion jaar om te kraken, dit is een 1 met 39 nullen (1.000.000.000.000.000.000.000.000.000.000.000.000.000 jaar). En dan wordt hij ook niet zomaar geraden door Victor Mids doormiddel van social engineering:

Oké, leuk. Maar hoe moet ik die lange unieke wachtwoorden allemaal onthouden? Mijn advies: neem een keer op een regenachtige zondagmiddag de tijd om 1password-screenshoteen Password Manager goed in te stellen. Ik maak sinds 2014 gebruik van 1Password. Sindsdien heb ik ongeveer 700 (inlog)gegevens opgeslagen: nooit meer het gedoe met ‘wachtwoord vergeten’, heerlijk!

Het handige van 1Password is Watchtower. Watchtower heeft ervoor gezorgd dat ik vandaag dacht: aan de slag met mijn online wachtwoorden en accounts (zie screenshot). Watchtower laat namelijk zien waar je kwetsbaar bent: komt je account voor in een gehackte database, heb je kwetsbare, hergebruikte of zwakke wachtwoorden, maak je gebruik van onbeveiligde websites (niet https bij de inlog) en bij welke accounts kun je nog 2-FA instellen.

Voor ieder account een unieke gebruikersnaam/e-mail

De laatste actie van mijn lijstje: ik heb al enige tijd als missie om minder afhankelijk te zijn van Google, Google is enorm handig, maar het hele idee dat Google bij alles dat ik doe meekijkt vind ik niet prettig (naast dat er veel andere redenen zijn, maar dat is voor een andere blog): log voor de grap eens in op Google Dashboard en ontdek wat Google allemaal van je registreert.

Ik ben overgestapt van mail van Google (@gmail.com) naar een mailbox met een eigen domeinnaam. Om een goede overstap te maken ben ik langs al mijn accounts gegaan, deze staan in 1Password, en heb ik in al mijn accounts mijn Gmail gewijzigd in mijn eigen e-mailaccount. Mijn eigen e-mailaccount heb ik ingesteld met een <catch-all>@mijndomeinnaam, zodat alles dat voor het @ staat binnenkomt in dezelfde mailbox. Met dit handigheidje en de administratie die ik van ieder account bijhoud in 1Password kon ik voor al mijn accounts een ander e-mailadres gebruiken; bijv. voor Netflix: netflix@mijndomeinnaam en voor Spotify: spotify@mijndomeinnaam. Hierdoor heb ik bij al mijn accounts een uniek e-mailadres én een uniek wachtwoord: nog een beetje veiliger voor het geval mijn gegevens voorkomen in een gehackte database.

AVAQ ondersteunt vanuit haar Family Security Office vermogende en welgestelde families en particulieren bij het inrichten van digitale veiligheid. Neem voor meer informatie contact met ons op.

Actueel

Meer avaq actueel

24 november: Nationale Check Je wachtwoorden Dag

24/11/2021

24 november is sinds enige tijd uitgeroepen tot Nationale Check Je Wachtwoorden Dag: een dag […]

Lees meer

Identiteitsfraude: wat is het en hoe voorkom je het?

16/08/2021

Fraude, een term die je waarschijnlijk vaak en in veel verschillende soorten voorbij hoort komen. […]

Lees meer