Wist je dat het op 24 november Nationale Check Je Wachtwoorden Dag is? Waarschijnlijk niet. Daarom vraag ik graag even aandacht voor dit initiatief. Het slechte en onzorgvuldige gebruik van wachtwoorden is namelijk een van de grootste oorzaken van datalekken, zowel privé als in het bedrijfsleven. Wordt het niet eens tijd voor een slimmer systeem of een andere mindset?
Overal in ons leven en werk profiteren we van de vele mogelijkheden die het internet ons biedt. Het nadeel is dat al deze online diensten beveiligd worden met wachtwoorden. En dat is voor de gemiddelde persoon best lastig. Om die reden gebruiken veel mensen overal dezelfde, makkelijke wachtwoorden als 123456, password en qwerty. De creatieveling denkt misschien veilig te zijn door een combinatie te gebruiken van de naam van een geliefde en geboortedatum. Dat is echter een van de meest gebruikte tactieken, waar een hacker genadeloos doorheen prikt.
Binnen bedrijven kun je de beveiliging verbeteren met een streng wachtwoordbeleid, of door zelf sterke wachtwoorden aan de gebruikers uit te delen. Het risico is dan weer dat de gebruikers de wachtwoorden gaan opschrijven of opslaan in hun browser. Kan dat in 2016 niet anders en beter?
Security-awareness
Wachtwoord Bewust, dat de Nationale Check je Wachtwoorden Dag heeft bedacht, is een initiatief van Tweakers en het Openbaar Ministerie met partners Radar en DirectResearch. Deze website geeft diverse tips om betere wachtwoorden te bedenken, maar met name om bewuster met security om te gaan. Security-awareness is een mooie zakelijke term hiervoor. Volgens mij is dat het belangrijkste binnen elke organisatie. Medewerkers moeten worden gewezen op de risico’s en gevolgen, bijvoorbeeld van een datalek. Maar ook dat onveilig online gedrag thuis impact kan hebben op de organisatie. Denk aan het thuis raadplegen van mail en werkbestanden, of het beheren van zakelijke social media accounts. Op deze onbeheerde systemen zijn de risico’s aanzienlijk groter dan binnen de kantoormuren.
Maar hoe je het ook wendt of keert, uiteindelijk denk ik niet dat je binnen een organisatie zomaar het strengste beveiligingsbeleid kunt invoeren. Dat roept meestal heel veel weerstand op, zeker als het de werkzaamheden en het gebruiksgemak belemmert. Je zult daarom een goede balans moeten vinden tussen goede security en de gebruikerservaring.
Digitale sleutelbos
Gedurende ons online leven verzamelen we login-gegevens voor talloze websites en online diensten. Deze virtuele digitale sleutelbos groeit met de dag, maar vreemd genoeg gebruikt slechts 7 procent van de Nederlanders een password-manager om zijn wachtwoorden te beheren. 56 procent blijkt zelfs niet bekend te zijn met dit fenomeen. Over awareness gesproken…
In plaats daarvan gebruikt bijna twee op de drie Nederlanders overal hetzelfde wachtwoord. Of ze slaan al hun wachtwoorden op in de browser, die vervolgens vrij eenvoudig door malware ontvreemd kunnen worden. Met dat in het achterhoofd lijkt het me goed om hier een aantal goede wachtwoordtips te geven. Deel die ook vooral met vrienden, familie en collega’s, zodat zij hun online leven misschien weer iets kunnen verbeteren
Tip 1: Gebruik een wachtwoordzin
Veruit de beste tip is het gebruik van wachtwoordzinnen. Ofwel: een zin of een serie woorden die je makkelijk kunt onthouden, maar die natuurlijk niet voor de hand ligt. Voeg daar wat hoofdletters en leestekens aan toe, en je krijgt een zeer lang wachtwoord dat vrijwel onkraakbaar is voor password cracking-software.
Tip 2: Stel tweefactorauthenticatie in
Beveiliging met een login-naam en wachtwoord is éénfactorauthenticatie. De bescherming bestaat namelijk uit één geheim element: het wachtwoord. Met twee-factorauthenticatie voeg je daar nog een extra beveiliging aan toe in de vorm van een sms-code (zie de ING), een one-time-password generator (zie ABN AMRO E.dentifier, Google Authenticator), een smartcard of token. Op nieuwere smartphones is de vingerafdrukscanner ook vaak voor dit doel te gebruiken. Diensten als Facebook, Google, Twitter, Dropbox, Microsoft en Apple ondersteunen dit allemaal. Je kunt dit zelf instellen (klik maar op de url’s), dus wat houdt je tegen om daar gebruik van te maken? Je informatie is dan altijd veilig, zelfs als je wachtwoord is gestolen.
Tip 3: Gebruik een password manager
De laatste tip is het gebruik van een wachtwoordbeheerapplicatie. 1Password, Keepass en LastPass zijn populaire voorbeelden. Met zo’n programma kun je al je wachtwoorden veilig versleuteld bewaren, en je beschermt ze allemaal met één sterk wachtwoord of wachtwoordzin, eventueel aangevuld met tweede factor als een vingerafdruk of token. Vervolgens kun je de wachtwoorden in de browser of op de smartphone automatisch laten invullen en opslaan. Ook kan een password manager je helpen om sterke wachtwoorden te genereren, die je vervolgens niet meer hoeft te onthouden. Een win-win dus.
Denk vandaag dus eens goed na hoe je de beveiliging van je eigen data en die van je werkgever kunt verbeteren. Als we daar allemaal iets slimmer mee omgaan, wordt de online wereld misschien weer net iets veiliger.