de gids tech

Zo ontsnapt u uit het wachtwoorddoolhof

Goede veiligheid op internet begint met goede wachtwoorden, maar u wordt gek van al die wachtwoorden die u moet onthouden. Meesterhacker Rickey Gevers geeft tips uit eigen keuken. Vergeet de verplichte ingewikkelde tekens en cijfers. 'Totale onzin.'

'Wat doen mensen namelijk? Ze veranderen de 'e' in een '3' of de 'i' in een 1. Hackers lachen daar om. Het is schijnveiligheid.' Beeld Han Hoogerbrugge

U gebruikt 123456 als wachtwoord, of uw geboortedatum. En, als u heel inventief bent, 'w31kom'. Of erger nog: u gebruikt hetzelfde wachtwoord voor meerdere sites en apps. Niets om u voor te schamen. U bent niet de enige die van simpel houdt: Facebookbaas Marc Zuckerberg gebruikte het nogal suboptimale wachtwoord Dadada voor verschillende social media-accounts, bleek vorig jaar nadat zijn accounts waren gehackt.

Als er iemand is die weet waaraan een goed wachtwoord moet voldoen, is het Rickey Gevers (31). Als puber weet hij al feilloos wachtwoorden te kraken, te beginnen met die van zijn vader. Niets is veilig voor hem. Hij belandt zelfs in de cel als de FBI hem in het vizier krijgt nadat hij een universiteitsnetwerk is binnengedrongen. De FBI tipte daarop de KLPD. Nu is hij beveiligingsexpert bij het Haagse ict-securitybedrijf Red Socks Security.

Het begint meestal met databases van wachtwoorden die ooit zijn gestolen. Die van LinkedIn is vermaard: tjokvol waardevol materiaal voor hackers. Belangstellenden konden de 117 miljoen wachtwoorden en mailadressen vorig jaar voor een paar bitcoin downloaden op het darkweb. 'Via het LinkedIn-wachtwoord kom je meestal zonder al te veel moeite in iemands mail omdat hiervoor een vergelijkbaar wachtwoord wordt gebruikt', weet Gevers. En ieders mail staat vol met weer andere wachtwoorden. Want zo gaat dat: mensen mailen aan zichzelf een wachtwoord. Gevers: 'En zo kom je van het een in het ander.'

Dit is meteen de belangrijkste tip: gebruik unieke wachtwoorden. Volgens Gevers stamt het systeem van gebruikersnaam en wachtwoord nog uit de oertijd van internet, toen mensen nog niet veel accounts hadden. Dat is nu geheel anders. Webwinkels, social media, reissites, nieuwssites, banken: voor alles is een inlog nodig. De consument wordt er gek van.

123456

123456 is het meest gebruikte wachtwoord volgens wachtwoordmanager Keeper.

Andere veel gebruikte wachtwoorden zijn:
qwerty
111111
1234567890
Password
123123

Het resultaat: eenvoudig te raden wachtwoorden. Gevers: 'Het is een illusie te denken dat mensen overal een uniek wachtwoord voor gebruiken. Dat doen ze gewoon niet.' Maar wat kan de consument dan wél doen? Eerst maar eens twee hardnekkige misverstanden uit de wereld helpen, die ook door systeembeheerders in stand worden gehouden. De eerste is de vaak opgelegde verplichting minstens één bijzonder teken, hoofdletters en cijfer te gebruiken. 'Totaal achterhaald', zegt Gevers. 'Wat doen mensen namelijk? Ze veranderen de 'e' in een '3' of de 'i' in een 1. Hackers lachen daar om. Het is schijnveiligheid.'

Misverstand 2: verander uw wachtwoord zo vaak mogelijk. De ict-afdelingen van bedrijven en banken stellen dit vaak verplicht. Gevers : 'Dit slaat echt nergens op. Alleen als er aanwijzingen zijn dat een wachtwoord niet meer veilig is, moet je het veranderen.' Het kan zelfs kwaad, want mensen worden murw van al die verplichte veranderingen. Dus wat doet de gemiddelde internetter? Hij maakt van welkom01 gewoon welkom02. Ook hier leidt het goedbedoelde advies aan de consument dus weer tot schijnveiligheid.

Beeld anp

Tips voor meer veiligheid

Maak het wachtwoord zo lang mogelijk
'Het enige wat telt is lengte', aldus Gevers. Moeilijk te onthouden? Hoeft echt niet. Gebruik gewoon een zin. De eerste regels van een liedje bijvoorbeeld. Een wachtwoord als 'hijstaatindesneeuwaandepoortvandestad' is bijzonder lastig te kraken. Het enige probleem is dat sommige sites bizar genoeg juist een limiet stellen aan het maximaal aantal tekens.

Gebruik een wachtwoordmanager
Lastig te onthouden? Overweeg dan een zogenoemde wachtwoordmanager die voor u al die verschillende wachtwoorden beheert of zelfs nieuwe genereert. Zorg er wel voor dat uw hoofdwachtwoord heel, heel veilig is (zie tip 1). Goede en betrouwbare wachtwoordmanagers zijn LastPass of Dashlane.

Extra controle naast wachtwoord
Gebruik waar het kan zogenoemde tweetrapsauthenticatie. U moet dan naast een wachtwoord nog een extra controlemiddel toevoegen dat naar uw mobiel wordt gestuurd, bijvoorbeeld een code. Veel banken gebruiken dit al langer, maar ook Apple, Google en andere bedrijven bieden deze extra veiligheid aan. Meer gedoe, maar een stuk veiliger.

Vingerafdrukherkenning en irisscan
Biometrische controle: de vingerafdruk en de irisscan. Moderne mobieltjes ondersteunen deze beveiligingsmethodes steeds vaker. Apps (bijvoorbeeld die van uw bank) kunnen dan geopend worden met uw unieke vingerafdruk. Wel zo veilig.

Veel verschillende wachtwoorden
Gebruik zo veel mogelijk unieke wachtwoorden voor alle sites en apps die u gebruikt. Zeker voor die sites waarvan u echt niet wilt dat onbevoegden er binnenkomen

Lees ook

'In één uur werd mijn gehele digitale leven vernietigd'
Bij internetbedrijf Yahoo zijn in 2013 meer dan een miljard accounts gehackt. Wat dat betekent voor gebruikers merkte Wired-journalist Mat Hohan toen zijn accounts in foute handen kwamen.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.