Een wachtwoordstrategie Liever niet hetzelfde wachtwoord voor je e-mail en je babydump account

An article, posted about 11 years ago filed in gebruiksvriendelijkheid, usability, internet, password, KPN, wachtwoord, babydump, onthouden, geheugen & username.

De laatste melding van een lekke mand bij telecombedrijf KPN bleek toch gebaseerd te zijn op een misverstand. Het lek kwam van een slecht beveiligde site voor babyspullen. Toch bracht het wel een ander probleem aan het licht. Mensen hergebruiken wachtwoorden. Niet zo vreemd natuurlijk, want hoe moet je die toch allemaal onthouden? Er zijn zoveel sites die om een wachtwoord vragen. Veel meer dan je, als gewoon mens kan onthouden.

Beveiligen is vaak een balans tussen gebruiksvriendelijkheid en veiligheid. Dus wat is wijs? Wat aanbevelingen: bedenk een wachtwoord voor onzin sites, gebruik verschillende wachtwoorden voor verschillende niveaus, verzin goede wachtwoorden, maak gebruik van wachtwoordbeheerders en gebruik waar mogelijk open authenticatie.

Bedenk een simpel wachtwoord voor onzin websites

Zoveel sites vragen je te registreren voor de meest onzinnige zaken. Wil je die websites hetzelfde wachtwoord geven dat je ook gebruikt voor jouw e-mail? Dacht het niet. Motieven om jou een account aan te laten maken zijn veelal commercieel van aard (kijk eens hoeveel geregistreerde gebruikers wij hebben) en niet in het belang van de gebruiker. Protesteer dus door een dergelijk formulier te vullen met onzin informatie en een gemakkelijk in te voeren wachtwoord dat je voor dergelijke sites lekker kunt hergebruiken. Natuurlijk ga je pas registreren nadat je hebt gekeken of er niet al een gebruikersnaam/wachtwoord combinatie staat op bugmenot.com

Gebruik verschillende wachtwoorden voor verschillende niveaus

Gezien bovenstaande paragraaf zou je minimaal twee, maar ik hanteer er zelf meer, niveaus aanbrengen in je ‘wachtwoordstrategie’. Zie het als een piramide. Bovenaan het allerbelangrijkste: overheidszaken en dergelijke. Vervolgens je primaire e-mailadres(sen). Daarna zaken waarom je geeft, maar waar het verliezen van controle minder erg is: sociale netwerken, secundiare e-mailadressen. Vervolgens webshops e.d., hier moet je vaak je adres kwijt, dus geen plek voor een onzin-wachtwoord, maar webshops willen in de eerste plaats verkopen, het belang van veiligheid staat op een lager pitje (voor een webshop waar je je creditcard informatie hebt achter gelaten is het echter wel weer verstandig om een ander wachtwoord te kiezen). En op het laagste niveau heb je dus in de vorige paragraaf behandelde onzin-wachtwoord.

Verzin goede wachtwoorden

Een goed wachtwoord is niet noodzakelijkerwijs een moeilijk te onthouden wachtwoord. Natuurlijk is het beste wachtwoord geheel willekeurig. Toch is niet onmogelijk om iets dat wél te onthouden is als wachtwoord te hebben dat nog steeds erg veilig is. Een redelijk bruikbare strategie is die gebaseerd op zinnen: ‘BultrugEnJong’, ‘JoostLeest1Boek’… een dergelijke oplossing is in ieder geval online met slechts veel moeite te kraken (zie voor meer achtergrond het gelinkte Baekdal.com artikel. Omdat het meerdere woorden bevat is het met een woordenlijstaanval een velen malen lastiger te kraken (overigens is een wachtwoord in het Nederlands nog beter dan het in Engels, want de kans dat iemand een woordenlijstaanval in het Nederlands uitvoert is een stuk kleiner).

Maak gebruik van wachtwoordbeheerders

Wachtwoorden ergens opslaan gaat in principe ten koste van de veiligheid. In de praktijk zorgen wachtwoordbeheertools (zoals deze in veel browsers al zitten) echter voor meer variatie in de wachtwoorden, zodat het uiteindelijk leidt tot betere wachtwoorden. Ben je echt bang dat jouw computer gehackt wordt? Zorg er voor dat je wachtwoordbestand versleuteld is opgeslagen, met behulp van een wachtwoord. Voor online opslaan, hoe goed met beveiligd dan ook, ben ik zelf wel enigszins huiverig voor, maar door een ontzettend sterk wachtwoord / key hiervoor te gebruiken kan het eigenlijk geen probleem opleveren. De methode die b.v. Firefox Sync afdwingt voldoet aan deze eis.

Gebruik open identificatie

Het wordt zelden ‘open identificatie’ genoemd, maar je hebt vast wel eens ‘OpenID login’ of ‘Log in met Twitter/Facebook/Google’ gezien[1]. Tenzij je anoniem wilt blijven en je hebt toch al een goed beveiligde Twitter, Facebook of Google account is het een goede manier om hiermee in te loggen. Eigenlijk zijn die open identificatie platformen een soort wachtwoordbeheerders die volledig online zijn. Open identificaties sites beheren echter geen wachtwoorden. De applicatie waarvoor je je moet identificeren en de partij waardoor je je laat identificeren (waarbij je wél wilt inloggen) wisselen onderling informatie uit over jouw identiteit; betrouwbaar genoeg om zeker te weten dat jij het (weer) bent. De website waarbij je je moet identificeren heeft echter geen idee van jouw wachtwoord. Wordt ook na het inloggen middels een derde partij nog om een wachtwoord gevraagd, gebruik dan een geheel willekeurig wachtwoord, dat een ander nooit kan raden en dat jij nooit gaat gebruiken omdat je net zo gemakkelijk met de OpenID/Auth-partij kunt inloggen. Denk wel aan wat mogelijk de zwakste schakel is. Vind je je Twitter account wachtwoord niet zo belangrijk, dan wil je je Twitter account ook niet gebruiken om in te loggen op je primaire e-mail account.

Conclusie

Het laatste wat je wilt is angst voor techniek. Maar net zoals je voor je werk een andere sleutel hebt als voor je huis, je fiets, en misschien de kluis die in je huis staat, is het verstandig om ook in de digitale wereld aparte sleutels te hanteren. Dat je alle deuren van je huis kunt openen met 1 sleutel is niet gek, het maakt immers niet uit. Maar om met diezelfde sleutel ook in je kluis te kunnen, terwijl je die sleutel ook nog wel eens geeft aan de buren, dat is misschien een minder slimme stap. Enige behoedzaamheid kan geen kwaad. Wees dus wijs, ontwikkel een wachtwoordstrategie.

[1] Strikt genomen is ‘Sign in’ met Twitter, Facebook of Google geen open identificatie maar veelal identificatie met authenticatie. Wel werkt het op OpenAuth-technologie (de manier waarop het werkt is een open standaard). Je geeft hiermee vaak ook applicaties het recht om berichten in je persoonlijke profiel te lezen e.d.

Op de hoogte blijven?

Maandelijks maak ik een selectie artikelen en zorg ik voor wat extra context bij de meer technische stukken. Schrijf je hieronder in:

Mailfrequentie = 1x per maand. Je privacy wordt serieus genomen: de mailinglijst bestaat alleen op onze servers.