Is uw wachtwoord nog veilig? Een aantal tips om hackers te misleiden

Jan123 of Layla345: iedereen weet intussen dat zo’n wachtwoord tegenwoordig gemakkelijk gehackt kan worden. Gelukkig hebben de meeste mensen intussen begrepen dat een wachtwoord met uw naam of die van uw huisdier met een logische cijfercombinatie uit den boze is.

Dat komt omdat de meeste websites en apps ons aanraden om een complex, dus moeilijk te achterhalen, wachtwoord te kiezen. Bij het bepalen van het wachtwoord krijgt u de melding hoe sterk dat is. U zou dus logischerwijs het best kiezen voor een wachtwoord zoals dit: R&8à0”+.

Dat is veilig, maar zo’n wachtwoord is ook moeilijker te onthouden. En als u verschillende accounts hebt - een gemiddelde gebruiker heeft er tegenwoordig een tiental - is het bijna onmogelijk om ze allemaal te onthouden.

Karel Dekyvere heeft hier een oplossing voor. Dekyvere was vroeger een ethische hacker, maar is nu verantwoordelijk voor de informatiebeveiliging van Microsoft België. Veiligheid op het internet is zijn tweede natuur. "U kiest het best voor een goed, complex wachtwoord", adviseert hij.

"Om gemakkelijk wachtwoorden van verschillende accounts te onthouden, probeert u het best om elk account te linken aan iets. Voor uw Hotmail-account kan u een wachtwoord kiezen dat u bijvoorbeeld doet denken aan een plek waar u uw eerste mail hebt gestuurd. Voor uw  Facebook-account kan u bijvoorbeeld een woord kiezen dat u doet denken aan Facebook.” 

Daarnaast vindt Dekyvere het ook belangrijk dat we onze accounts in kaart brengen. Hij definieert drie soorten accounts: high impact-, middle impact- en low impact-accounts.

Een low impact-account is eentje dat u zelden gebruikt. Denk maar aan een website waar u ooit foto’s besteld heeft. Daarnaast is een high impact-account eentje met belangrijke informatie die u niet graag in handen van hackers ziet. Denk hierbij bijvoorbeeld aan een Twitter-account waarmee mensen dingen onder uw naam zouden kunnen sturen, of een e-mailadres met belangrijke mails.  

Door onderscheid te maken in accounts, houdt u het voor uzelf overzichtelijk. “Zo kan u bijvoorbeeld bij een low impact-account kiezen voor een wachtwoord dat niet al te complex is. Want als dat wordt gehackt, zijn de gevolgen niet zo erg. Erger wordt het als iemand in uw persoonlijke mails kan. Daarom kiest u voor uw e-mail beter een complex wachtwoord.”

Wat zeker uit den boze is, zijn varianten van bestaande wachtwoorden. Een voorbeeld: Jan123 wordt dan Jan123?. Voor de andere accounts voegen we daar een cijfer bij. Je krijgt dan Jan1234?, Jan12345?, enz.

Die eenvoudige patronen maken het voor hackers gemakkelijk om in te breken. Als ze één van uw wachtwoorden kennen, zullen ze namelijk gemakkelijk de andere kunnen raden. Dat is Jeroen Baert ook opgevallen.

Baert is als computerwetenschapper verbonden aan de KU Leuven. Hij doorzocht een online databank van 1,4 miljard gelekte mailadressen met bijbehorende wachtwoorden. U leest het goed: 1,4 miljard. De lijst is het resultaat van verschillende lekken uit de afgelopen 10 jaar.

Voor alle duidelijkheid: de doordeweekse surfer zal de databank niet snel vinden.  “Je moet wat computervaardigheden hebben om zo’n databank te doorzoeken. Maar ik maak me toch zorgen over de hoeveelheid aan informatie”, zegt Baert. In die databank hebben we ook e-mailadressen teruggevonden van een aantal VRT-collega’s. 

Jeroen Baert: “De meeste e-mails en wachtwoorden worden niet meer gebruikt, maar je kan er wel een patroon uit halen. Als je ziet dat iemand voor een bepaald account Olifant123 heeft, kan je snel raden dat het voor een ander account Olifant1234 zal zijn. Want zo zijn wij. Omdat we zoveel verschillende wachtwoorden moeten onthouden, gaan we variaties verzinnen.” 

Wie maakt nu zo’n lijst? Volgens Baert zitten hier hackers achter. En als je het bestand opent, krijg je ook instructies over hoe je die zelf kan aanvullen. De lijst groeit ook regelmatig. 

Miguel De Bruycker nuanceert: ”In de lijst zitten heel wat mailadressen die je niet meteen aan een bepaald account kan linken. Bovendien biedt de nieuwe wetgeving rond GDPR (General Data Protection Regulation of Algemene Verordering Gegevensbescherming) perspectieven.” De Bruycker is het hoofd van het Center for Cyber Security Belgium (CCB), de instantie die instaat voor de cyberveiligheid van ons land. 

De GDPR wordt vanaf 25 mei van kracht. “Deze vordering verplicht de bedrijven om de privégegevens van hun gebruikers beter te beschermen.” En wat met een hacker aan de andere kant van de wereld? “Ook voor hem zal het moeilijker zijn om in te breken”, aldus de Bruycker. 

Alle experts zijn het erover eens dat de gewone wachtwoorden hun tijd hebben gehad. Dekyvere: “Hier bij Microsoft zijn we verschillende biometrische toepassingen aan het testen. Zo kan u bijvoorbeeld nu al toestellen ontgrendelen aan de hand van gezichtsherkenning. Daar is het risico kleiner omdat hackers ook aan de haal moeten gaan met uw toestel om daar iets mee te doen.” 

Nog beter is de zogenoemde tweetraps­authenticatie. Die is veiliger omdat u twee parameters moet ingeven: een wachtwoord en een pincode. Een voorbeeld met een Google-account: als u inlogt op een laptop die niet van u is, krijgt u de melding dat u een pincode moet invoeren. Die pincode krijgt u op uw smartphone. Zo wordt uw account extra beveiligd. 

Als er iemand aan de andere kant van de wereld op uw account inlogt op een ander toestel, krijgt hij of zij de vraag om een pincode in te voeren.  Tegelijk krijgt u de melding dat iemand in uw account probeerde in te loggen. 

Dekyvere vindt de tweetrapsauthenticatie beter dan alleen een wachtwoord. Jeroen Baert treedt hem bij, maar hij vindt dat het heel belangrijk is dat iemand zijn primaire e-mailadres goed beveiligt. “Want als je daarover de controle kwijt bent, ben je ook alles kwijt. Want wat doe je als je je wachtwoord vergeten bent en je wordt gevraagd om het naar een e-mailadres te sturen?”

Naast de gezichtsherkenning worden meer en meer apps gekoppeld aan de vingerscanner op de smartphone. Zo kan u bijvoorbeeld in uw bank-app inloggen met de vingerscanner van uw smartphone. Ook dat is veiliger dan een wachtwoord, omdat de vingerafdruk uniek is. 

Om af te sluiten even dit. Een goed, complex wachtwoord is altijd aangeraden. Kies ook voor elk account een apart wachtwoord. En vergeet niet uw wachtwoord regelmatig te veranderen. U kan ook kiezen voor een langer wachtwoord, bijvoorbeeld een zin die voor buitenstaanders geen steek houdt. Iets zoals: ”De gele stoel staat op het wit tapijt.”

Op deze site kan u nagaan of er ooit gegevens van u zijn gelekt.