Eerder schreef ik enkele artikelen over veiligheid en wachtwoorden. Voortschrijdend inzicht heeft mij ertoe gebracht om mijn mening over het bedenken en opslaan van wachtwoorden  te herzien. Mijn streven is om de lezer ervan te doordringen dat het noodzakelijk is verschillende wachtwoorden te hebben voor alle webwinkels, forums, en zaken waarvoor je een gebruikersnaam en wachtwoord moet invullen. Eén wachtwoord voor alles is natuurlijk het meest simpel om te onthouden. Zouden wij in een ideale wereld leven (Als iedereen nou eens was zoals wij moesten wezen - lied van Daniël Lohues), dan was een wachtwoord en een slot op de deur al helemaal niet meer nodig. Helaas, een ideale wereld bestaat niet! Websites zijn nogal eens lek en ook veiligheidssystemen zijn niet altijd even goed (Zie de recente ervaringen bij Heartbleed. Om te voorkomen dat je hele hebben en houden openligt nadat iemand je wachtwoord heeft gepikt, is het gewenst om voor elke website en voor elk ander te beveiligen gegeven een ander wachtwoord te hebben. Liefst ook een andere gebruikersnaam.

Tevens hoop ik dat na het lezen van dit artikel je instaat bent om te bepalen welke risico’s je loopt en hoe die zijn te voorkomen. Maar zie het bovenal als een handreiking om al die verschillende wachtwoorden daadwerkelijk te onthouden. En mocht je willen weten hoe veilig jouw wachtwoorden zijn? Kijk dan op deze website.

1    WAAROM ANDERS

Na de onthullingen van WikiLeaks en de berichtgeving in de pers over de handelwijze van inlichtingendiensten, zijn wachtwoordprogramma’s zoals PINs en KeePass niet meer veilig. Ook zijn hackers er steeds meer op uit om ons ongemerkt gegevens te ontfutselen. Zelfs de camera in onze laptop moet afgeplakt worden om misbruik te voorkomen. Dus wie zegt mij dat er niet een slim programmaatje op mijn pc draait dat toetsaanslagen, muisbewegingen en schermafdrukken doorstuurt naar zijn baas. Die baas, de internetcrimineel of overheidsinstantie, weet dan ook het hoofdwachtwoord van KeePass of PINs, de locatie van het wachtwoordbestand en kan het bestand wellicht zo naar zich toehalen.

Het lijkt er zelfs op dat het versleutelprogramma Truecrypt is gestopt onder druk van inlichtingendiensten. De waarheid daaromtrent zal nooit publiekelijk bekend worden vrees ik. Waarschijnlijk werden de makers gedwongen om een achterdeurtje in te bouwen. En de enige manier om dat te voorkomen is te stoppen met de ondersteuning van het programma. Inmiddels is eer een alternatief in de vorm van VeraCrypt, dat ook TrueCrypt containers kan lezen en de kwetsbaarheden van TrueCrypt verhelpt. Lees daarvoor het nieuws op security.nl

Al met al ontwikkelingen die mij genoodzaakt hebben om al mijn wachtwoorden (500+) geleidelijk te wijzigen en op te slaan in mijn hoofd. De belangrijkste zijn inmiddels gewijzigd. Wachtwoorden die gewijzigd zijn hebben nu in KeePass een aanduiding op basis waarvan ik weet of ze zijn omgezet. De minder belangrijke zet ik om op het moment dat ik ze gebruik. Dat is vroeg genoeg!

Uitgangspunten:

1. 1. Vertrouw op je hoofd
   2. Gebruik drie willekeurige tekenreeksen voor verschillende veiligheidsniveaus
   3. Vul deze aan met significante tekens die het te beveiligen gegeven identificeert.

Natuurlijk zijn niet alle gegevens die beveiligd zijn met een wachtwoord echt belangrijk. Wat is er erg aan dat iemand je wachtwoord van dekrant.nl of een webwinkel zonder krediet kraakt. Wat wel belangrijk is, dat wanneer iemand één wachtwoord van je kent, niet al je wachtwoorden bekend zijn. Ook is het belangrijk dat wanneer iemand tien wachtwoorden van je heeft dat dan niet direct het gebruikte systeem doorzien wordt.
Heel belangrijk zijn de wachtwoorden die je mail, je DigiD, je bankzaken etc. beveiligen. Eigenlijk is je mail het meest belangrijk. Komen daar niet immers al de antwoorden op wachtwoordverzoeken en herstelpogingen binnen? Ik onderscheid drie categorieën van gegevens die je wenst te beschermen met een wachtwoord:

1. 1. Onbelangrijke gegevens
      Data die je letterlijk gestolen kunnen worden, kun je gewoon met een zwak wachtwoord beveiligen. Dus de naam van je partner, autokenteken, geboortedatum of een combi daarvan.
   2. Minder belangrijke gegevens of niet betrouwbare partner
      Kies hiervoor een algoritme van minimaal zes tekens aangevuld met minimaal twee afgeleide gegevens. Met een onbetrouwbare partner bedoel ik een site of instantie waarvan je niet weet of die veilig met je gegevens omgaat.
   3. Écht belangrijke gegevens
      Daarmee bedoel ik gegevens die niet in andere handen mogen vallen omdat je ze niet bekend mogen worden en/of gegevens waarbij verlies een groot (financiëel) risico met zich mee brengt.
      Daarvoor is een tekenreeks van ten minste 12 tekens noodzakelijk. Maak bijv. een algoritme van 10 tekens en vul dat aan met drie of vier afgeleide gegevens.
       

 Het algoritme (systeem op basis waarvan je het wachtwoord samenstelt) moet je natuurlijk zelf bedenken. Ik zal hier wat voorbeelden geven. Gebruik die alleen om je fantasie te prikkelen. Niet om daadwerkelijk mee aan de gang te gaan. Bedenk of maak een tekenreeks bestaande uit minimaal één hoofdletter, één cijfer, en één speciaal teken. Nu voldoe je aan de meeste eisen die webbeheerders voor hun sites bedacht hebben. Kies een speciaal teken waarvoor je de shift niet hoeft in te drukken. Waarom de shift niet indrukken? Omdat je daarvoor in de plaats ook een teken kunt indrukken. En zoals eerder gezegd, is de lengte van je wachtwoord belangrijker dan de gebruikte tekenset. Dus liever: A1s-s\ dan A1_| voor beide reeksen heb je evenveel toetsen ingedrukt.

De algoritmes mogen niet:

• • Voorkomen in een wachtwoord ‘woordenboek’.
    Wachtwoord woordenboeken zijn verzamelingen van wachtwoorden die al eens gehackt zijn. En natuurlijk mag je tekenreeks ook niet voorkomen in welk ander boek dan ook.
  • Door social engineering herleid kunnen worden.
    Dus geen geboortedata, huisnummers, initialen, kentekens etc.
    (Lieg de waarheid!)
  • Opgeslagen zijn op je computer, tablet of smartphone.

Rammel gewoon wat op je toetsenbord en je hebt een willekeurige tekenreeks of gebruik de wachtwoordgenerator van KeePass/LastPass (alleen kleine letters). Voeg daar dan een hoofdletter, een cijfer en een speciaal teken aan toe. Dat mogen er natuurlijk ook meerdere zijn. En alleen een hoofdletter aan het begin van je wachtwoord is m.i. niet zinvol. Voor de rest van het artikel gebruiken we als voorbeeld de reeks:

l8Qjvp-wrb

Nu heb je de reeks en rest ons nog het creëren van invoegplekken. Voor dit artikel voegen we wat toe op de plekken +3 en -2. Dus op positie drie vanaf het begin van de tekenreeks voegen we wat in en vanaf de laatste positie tellen we twee terug. Wanneer we de invoegplekken representeren door punten, dan ziet de uiteindelijke reeks er zo uit:

l8Q..jvp-w..rb

Dit is het voorbeeld voor dit artikel. In plaats van twee plekken, kun je ook drie of meer invoegplekken definiëren. Eén invoegplek lijkt mij te weinig.

Hoe kun je zo iets ingewikkelds dan onthouden? Simpel, schrijf het voorlopig op. Geef ook een briefje aan iemand die je vertrouwd zodat ook je huisgenoten het kunnen achterhalen wanneer je er niet meer bij kunt, door welke reden dan ook. Om iets blijvend te onthouden moet je het vaak gebruiken. Het simpelst is om de tekenreeks te gaan gebruiken als schermwachtwoord. Stel het interval in op vijf minuten en wanneer je de computer dan vijf minuten niet hebt gebruikt moet je het weer intikken. Ik kan je garanderen dat je het wachtwoord dan binnen een week van buiten kent en nimmer meer vergeet.

Lukt het je echt niet, dan zou je ook een standaard zin kunnen gebruiken en daar de eerste of tweede letter van kunnen gebruiken. Iets als ‘Ik ben lid van CompUsers in de Bilt’. Dat wordt dan: iblvcidb voeg nu een cijfer en speciaal teken toe en promoveer één van de letters tot hoofdletter, dan zou het dit: i5blvci;dB kunnen worden.

Nu heb je het lange algoritme voor de belangrijke gegevens. Nu nog een kort algoritme. Daarvoor kun je een nieuwe reeks maken of een verkleining van de lange reeks. We kiezen hier iblvc met 2 invulvelden maken we daarvan:

i3.blvC.

Je ziet dat ik hier maar één invoegpositie gebruik. Dus deze hoeven niet opgevuld te worden tot meer posities zoals bij het belangrijke wachtwoord wel het geval is.

Wat vullen we daar in? Tja, dat laat ik over aan je eigen fantasie. Wat associeer je met hetgeen waarvoor je het wachtwoord in moet vullen? Wat voor de één associatie a is kan voor de ander associatie b zijn. Je kunt diverse kenmerken van een organisatie associëren. Die kenmerken moet je eigenlijk zelf verzinnen. Wat ik zo kan bedenken zijn:

• • Naam van de site/organisatie.
    Je zou bij tweakers.net kunnen denken aan de letters: tn
    Voor hcc.nl: hcc of hn
    Voor de belastingdienst: db of bd of dbd
  • Lengte van de naam + of – een waarde.
    Stel je neemt lengte -4 dan wordt de waarde voor:
    - hcc.nl -1 of 2 (.nl meetellen)
    - de belastingdienst 11 of 13 (het lidwoord meetellen)
  • Vestigingsplaats van de organisatie
    Doe daar iets mee. Lengte, afkorting of postcode, kengetal
  • Vestigingsland - Landcode, lengte.
  • Nummers behorende bij een bedrijf. Elk in Nederland gevestigd bedrijf moet kvk.nr. en btw.nr. vermelden. Ook daar zijn afgeleiden van te gebruiken in je wachtwoord.

Stel we gebruiken de domeinnaam van de website van de organisatie inclusief het toplevel (.nl/.eu/.com). Voor invulplek 1 nemen we de significante tekens, en voor invulplek 2 lengte -8.

Voorbeelden waarbij je ook de keuze tussen wel/niet belangrijk en of betrouwbaar ziet:

• • Gemeente Amsterdam (www.amsterdam.nl)   i3adblvC-4
  • HCC (www.hcc.nl)                        i3hcblvC-2
  • Seniorweb (www.seniorweb.nl)            i3swblvC10
  • HCCnet (webmail.hccnet.nl)              l8Qhnjvp-w01rb
  • Paypal (www.paypal.com)                 l8Qppjvp-w02rb ⁽⁵⁾
  • DigiD (www.digid.nl)                    l8Qddjvp-w00rb ⁽⁵⁾
  • Wehkamp (www.wehkamp.nl)                i3wkblvC2
  • Nu.nl (www.nu.nl)                       fikkie123
  • Google mail (www.gmail.com)             l8Qgmjvp-w01rb ⁽⁵⁾
  • Bitly.com (www.bitly.nl)                fikkie123

Denk je, dat kan ik echt niet onthouden, koop dan een alfabetisch opschrijfboekje of eventueel een ouderwets telefoonboekje. Schrijf daar dan de wachtwoorden in. Of schrijf alleen de stamreeks op in een al aanwezig telefoonboekje. De in 3. gebruikte stamreeks zou je kunnen noteren als:
l8Qjvp-wrb+3-2

Je kunt je wachtwoorden ook tegen diefstal beveiligen door er letters aan toe te voegen die je nooit maar dan ook nooit voor een wachtwoord zult gebruiken. Stel dat woord is stam, dan kunnen de hier gebruikte stamreeksen opgeschreven worden als:

I8Qjvp-wrb -> msIt8aaQjvp-wtrb
iblvcidb   -> stiabmlvtcidb

En… wordt dit boekje gestolen? Dan weet je in tegenstelling tot een document of database op je computer of tablet, dat het gestolen is! Alleen zal de dief niets met je wachtwoorden kunnen. Natuurlijk kun je de weglaat methode ook in KeePass toepassen. 

Nog enkele algemene tips die van belang zijn in het omgaan met wachtwoorden.

• • • Lieg de waarheid
      Vaak worden ter controle vragen gesteld die gebruikt worden bij wachtwoordherstel. Geef daar antwoorden die niet door social engineering achterhaald kunnen worden. Is de meisjesnaam van je moeder Janssen, geef dan als antwoord: J-ansen of Janssenw. Is de naam van je favoriete huisdier: Fikkie, antwoord dan F-ikkie of Fikkiew. Verzin maar wat!
    • Twee-factor-authenticatie
      Steeds meer diensten, zoals gmail, outlook, apple, dropbox, paypal en DigiD bieden verificatie in twee stappen aan, afgekort: 2FA. Daarmee wordt bedoelt dat je naast het wachtwoord ook een sms met een code krijgt. Dit heet toegang op basis van kennis (wachtwoord) en bezit (telefoon). Dit is een van de meest veilige toegangsmethoden. Wordt die aangeboden voor een categorie drie gegeven (zie hdst. 2.), gebruik die dan!
      Inmiddels zijn er ook apps zoals Goole Authenticator en Authy die codes voor 2FA genereren. Een goed verhaal over 2FA vind je hier bij pixelprivacy.com in het Engels.
    • Tekens niet aanvaard?
      Het kan voorkomen dat een belangrijke website het teken dat je hebt verzonnen niet accepteert. Bekende te vermijden tekens zijn: @, |, &, < en >. Mocht er desondanks één of meer van je tekens niet worden aanvaard, vervang die dan door een alternatief dat je kunt onthouden. In plaats van het @, gewoon de a, een puntje of laat het weg.
       

Ook als PDF te downloaden.