Wachtwoorden: hoe ga je er goed mee om?

Weet jij wat een goed wachtwoord is? En wat je beter wel en niet kunt doen als je een wachtwoord instelt? Lees deze tien aandachtspunten bij het goed omgaan met je wachtwoorden.

Deze tekst komt van Michiel Wilhelm / PrivacyAnders.

Hoe ga je er goed mee om?

Een wachtwoord is het vertrouwelijke slot op de toegang tot je beveiligde digitale omgeving.

Het is belangrijk dat je bewust met wachtwoorden omgaat. Dat kost tijd en moeite. Maar weet dat je op die manier bijdraagt aan een veilige digitale werkomgeving. En dat je de kans op datalekken, waaronder hacks, voor jezelf en je werkgever verkleint.

In deze nieuwsbrief vind je een zo compleet mogelijk overzicht van de kenmerken van goed wachtwoordbeheer. Hopelijk helpt het je bij het goed omgaan met je wachtwoorden.

Maar allereerst, wat kan er nou eigenlijk misgaan?

Een wachtwoord voorkomt dat kwaadwillenden toegang krijgen tot een digitale omgeving. Zodra ze toegang hebben kan er veel misgaan.

• Ingrijpend kan zijn dat persoonsgegevens van klanten of medewerkers in handen van onbevoegden vallen. Denk daarbij aan contactgegevens, of gegevens over financiën, gezondheid, etniciteit, godsdienst of geaardheid. Met grote persoonlijke gevolgen voor betrokkenen en imagoschade voor de organisatie waar het datalek plaatsvindt.
• Ook kunnen derden, lees hackers, een account overnemen en in naam van een werkgever, medewerker of privépersoon transacties doen, mails versturen, soms zelfs overeenkomsten afsluiten.

En hoe kan het dan misgaan?

• Het kan misgaan doordat een wachtwoord bekend is geworden via een datalek, als zich malware op een systeem bevindt, door een phishing-aanval of via het meekijken door onbevoegden als je gebruikmaakt van een openbaar Wi‑Fi-net­werk.
• Wachtwoorden kunnen ook in verkeerde handen terechtkomen via een brute force-aanval waarbij een hacker automatisch en met hoge snelheid combinaties letters, cijfers en speciale tekens voor een wachtwoord invult.

Aandachtspunten

Hieronder vind je een tien aandachtspunten bij het goed omgaan met je wachtwoorden.

1. Een wachtwoord is persoonlijk, niet gedeeld
   Een wachtwoord is persoonsgebonden en wordt door één persoon gebruikt. Niet door een groep personen.
   Er is maar één uitzondering. Als een applicatie door meerdere collega’s tegelijk wordt gebruikt achter een balie, kan het omwille van de werkbaarheid nodig zijn een gedeeld wachtwoord te gebruiken. Maar dan moet het per plek uniek zijn. En niet op meerdere werkplekken en vestigingen hetzelfde omdat dit de kans op een beveiligingsincident sterk vergroot.
   
   
2. Houd je wachtwoord voor jezelf
   Je wachtwoord is je persoonlijke toegangscode tot een beveiligde omgeving waar alleen jij toegang toe hebt. En waar alleen jij verantwoordelijk voor bent. Je wachtwoord sta je niet af. Zelfs niet aan naaste collega’s. Breng een ander ook niet in verlegenheid door ernaar te vragen.
   
   
3. Een langer wachtwoord is beter
   Er is maar één factor die bepalend is voor de sterkte van je wachtwoord: de lengte. Zie ter verduidelijk het onderstaande filmpje. Idealiter is een wachtwoord 15 tekens lang. Houd bij voorkeur 10 à 11 tekens aan, 8 is de ondergrens.
   
   
4. Tip: gebruik wachtzinnen
   Wachtzinnen zijn gemakkelijker te onthouden dan wachtwoorden, en omdat ze langer zijn ook sterker en dus moeilijker te kraken.
   
   
5. Gebruik voor elk account een uniek wachtwoord
   Gebruik dus niet hetzelfde wachtwoord voor verschillende accountants. Want een hacker die zo’n wachtwoord kraakt kan bij meerdere van je (online-)accounts inloggen. Ook, gebruik geen variaties op eenzelfde thema want dat maakt wachtwoorden voorspelbaar. En, natuurlijk, houd de digitale werelden van werk en privé gescheiden.
   
   
6. Gebruik een password-manager (wachtwoord-manager)
   Een password-manager is een softwareapplicatie die je helpt bij het genereren en onthouden van wachtwoorden. Je hoeft bij gebruik ervan enkel een master-password te onthouden. Je wachtwoorden worden versleuteld op basis van dit master-password in de cloud bewaard. En al klinkt dit eng, het is veel veiliger dan de huis-tuin-en-keuken manieren voor onthouden die veelal worden gebruikt.
   
   Kijk wel uit met browser-gebaseerde wachtwoordbeheerders, zoals Google Password Manager. Daarbij is de beveiliging gekoppeld aan die van je computer, tablet of telefoon. Iedereen die toegang krijgt tot dat device krijgt relatief eenvoudig toegang tot je wachtwoorden.
   
   
7. Hackers denken graag met je mee
   ‘Password’ was een wat onnozel wachtwoord moest Barack Obama ooit toegeven. Admin1234, 123456 en 111111 worden nog steeds gebruikt. Een kwart van de 30 meest gebruikte wachtwoorden bestaat uit een toetsenbordpatroon (‘qwerty’, ‘q2w3e4r’ en ‘zaq12wsx’). Ook hackers kennen deze manieren om wachtwoorden te bedenken.
   
   
8. Is het vaak veranderen van wachtwoorden wel nodig?
   Goede vraag. Het eerlijke antwoord: niet persé. Houd 1x per half jaar (optimaal) of 1 x per jaar (minimaal) aan. Onderzoek wijst uit dat vaker wijzigen van wachtwoorden door slordigheid onveiligheid in de hand werkt.
   
   Stelregel is verder het onmiddellijk veranderen van een wachtwoord als je vermoedt dat je wachtwoord bekend is geworden bij een derde.
   
   Op de websites haveibeenpwned.com en scatteredsecrets.com kun je controleren of je inloggegevens betrokken zijn geweest bij grote bekende datalekken.
   
   
9. Maak gebruik van 2-factorauthenticatie (2FA)
   Bij het gebruik van 2FA wordt aan het invullen van gebruikersnaam en wachtwoord een tweede verificatiestap toegevoegd. Bijvoorbeeld een code via een authenticator-app (bij voorkeur) of een sms-code op een vertrouwd toestel.
   
   Nadeel van 2FA is dat het inlogproces wordt verlengd. Evengoed is de stelregel: gebruik voor digitale omgevingen met gevoelige informatie en/of persoonsgegevens altijd en consequent 2FA.
   
   
10. Openbare computers en netwerken
    En last but not least, wees heel voorzichtig met het invoeren van wachtwoorden op openbare computers of bij gebruik van open wifi-netwerken. Er kan zonder dat je het vermoedt met je meegekeken worden.

Meer informatie

Voor meer informatie over dit artikel of overige vragen, mail naar de privacy servicedesk.

Dit artikel is bedoeld voor Privacy Coördinatoren van openbare bibliotheken in Noord- en Zuid-Holland.

De informatie verstrekt door de Privacy Servicedesk is informatief bedoeld. Hoewel ze met zorg is samengesteld, kunnen fouten niet geheel worden uitgesloten. De informatie bevat geen juridisch advies. Probiblio aanvaardt derhalve geen enkele aansprakelijkheid voor handelen door uzelf of door derden op basis van de informatie in dit bericht. Voorts zijn de Algemene Leveringsvoorwaarden van Probiblio van toepassing op de Privacy Servicedesk.

September 2022