Je weet het eigenlijk best wel: de beste manier van omgaan met wachtwoorden bestaat uit drie pijlers:
- Unieke wachtwoorden voor alle verschillende accounts & devices en hierbij:
- Lange wachtwoorden gebruiken;
- Moeilijk te raden wachtwoorden gebruiken.
Maar dat is best veel werk. En wat is het risico precies? Als je voor die losse webshopjes, waar je zo en nu iets koopt en betaalt via iDeal, steeds hetzelfde wachtwoord gebruikt? Wat kan er dan eigenlijk misgaan?
Als mens zijn we zeer slecht in het inschatten van daadwerkelijke risico's . Dat helpt ons ook met functioneren : als je echt wist, echt voelde, hoe groot de kans is dat je bij een ernstig ongeluk betrokken raakt iedere keer dat je in je auto stapte - deed je het waarschijnlijk niet. Zo ook bij security incidenten: hoeveel mensen ken je die daadwerkelijk te maken hebben gehad met identiteitsfraude of ransomware? Misschien wel iemand, maar grote kans ook van niet. Dus tja, hoe groot is die kans? En hoe groot is die impact dan eigenlijk? Kortom, aan de ene kant schat je het risico behorend bij slecht(er) wachtwoordmanagement als niet zo groot in. En anderzijds lijkt de effort die je erin zou moeten stoppen ook behoorlijk groot. De echte "why", de motivatie voor deze gedragsverandering is nog niet helder. En dan doen we het gewoon niet.
Vandaag is wereldwachtwoordendag en wordt er net als ieder jaar aandacht gevraagd voor goed wachtwoordbeleid. Als we met z'n allen namelijk goed wachtwoordmanagement zouden toepassen, zou er al zeer veel cyber crime voorkomen kunnen worden en zou de wereld weer een stukje veiliger worden. In dit blog bespreek ik een aantal strategieën of keuzes die mensen kunnen maken voor wachtwoordmanagement. Van "overal 123456" gebruiken tot een wachtwoordmanager gebruiken en alles wat daartussen zit. Een soort oplopende schaal van veilig wachtwoordbeleid, met bijbehorende risico's en scenario's per aanpak. Zodat je weer wat beter geïnformeerd bent over de "why" van goed wachtwoordmanagement en je je daardoor hopelijk meer motivatie hebt om eraan mee te doen. En ook de mensen in je omgeving hierbij te helpen!
Note: de scores in dit blog zijn puur een indicatie om de methodes te vergelijken.
1. Overal hetzelfde, makkelijk te raden wachtwoord gebruiken
Securityniveau: 0/10
Gebruiksgemak: 10/10
Deze strategie is voor mensen die ab-so-luut niet willen nadenken over security. Bijna vergelijkbaar met complotdenkers: onzin, mijn gegevens interesseert niemand en ik heb niks te verliezen. Het is allemaal bangmakerij! Makkelijk, en deze mensen ervaren waarschijnlijk ook nul stress over wachtwoorden of security. Ignorance is bliss! Maar wat zijn de risico's hierbij?
- Hackers/kwaadwillende gebruiken tools die het heel makkelijk maken om veel accounts achter elkaar te checken of ze een van de meest gebruikte wachtwoorden (zoals Welkom01, 123456, Zomer2021) hebben.
- Datasets zijn openbaar gemaakt en of te koop met gebruikersnaam, wachtwoorden en welke omgeving ze bij horen. Ook hier kunnen met geautomatiseerde acties hackers toegang proberen te checken op die accounts én die combinaties ook bij andere omgevingen te vragen. Dus staat er nu een keer ergens de combi "securityisonzin@wappiemail.com" met als wachtwoord 123456, dan kunnen ze die bij je email, social media, cloudopslag, etc. allemaal toepassen.
Beide acties zijn bulkacties en niet op een persoon gericht: met toegang tot deze accounts kunnen zij namens jou phishing mails, ransomware/virussen sturen, en rondneuzen tussen je spullen of er iets bruikbaars staat (foto's, financiële documenten, identiteitsgegevens). Met nog meer gegevens kan er namens jou bestellingen worden gedaan en elders bezorgd worden, creditcardfraude gepleegd worden, etc.
2. Hetzelfde wachtwoord gebruiken voor "onbelangrijke" accounts/sites, unieke en sterke wachtwoorden gebruiken voor belangrijke zaken
Securityniveau: 5/10
Gebruiksgemak: 8/10
We moeten wel heel vaak nieuwe wachtwoorden en accounts aanmaken. Vaak kom je ergens en denk je "had ik hier ooit een account aangemaakt?" Hoe makkelijk is het dan dat je als vuistregel hanteert: voor dit soort "klein grut" gebruik ik hetzelfde, makkelijke wachtwoord? Kun je het altijd checken en hoef je weinig te onthouden. Als een webshop mijn naam, emailadres, wachtwoord en adres heeft, en geen betaalgegevens omdat ik via iDeal betaal - wat maakt het dan uit als een hacker toegang krijgt?
In principe is dit een mooie risk-based aanpak: je herkent dat je je belangrijke gegevens zoals die in je emailaccount en cloudomgeving goed moet beschermen, en dat je daarvoor unieke, moeilijk te raden en lange wachtwoorden moet gebruiken. En voor de andere accounts zie je weinig risico en dus geen reden voor het "extra werk" van goede wachtwoorden.
Wat zijn er dan de concrete risico's hier?
- Hackers zouden vanuit jouw account bij een webshop iets op basis van Afterpay kunnen bestellen en elders laten bezorgen.
- Jouw risico is afhankelijk van je eigen inschatting van wat "klein grut" is. Gebruik je het makkelijke wachtwoord ook bijvoorbeeld voor de game accounts van je kinderen? Of voor een grappige nieuwe social media platform waar je alleen even rond wil kijken? Of als je "even snel" iets wil regelen voor je verzekeringen? Als je altijd de escape hebt van hetzelfde wachtwoord, zou het beste kunnen dat je dit toch een keer bij een account met groter risico en impact gebruikt, of ooit gebruikt hebt (en nu niet meer aan denkt).
3. Wachtwoordenboekje fysiek
Securityniveau: 8/10*
Gemaksniveau: 5/10
Wat zou er beter zijn in de strijd tegen online criminelen dan een fysiek wachtwoordenboekje? Ha! Take that cyber bullies, I use a little something I call pen and paper! Lekker beetje rebels, beetje anti-IT. Wanneer je deze aanpak kiest en op een veilige manier gebruikt, is het in principe een hele veilige strategie. De enige manier dat iemand het kan bemachtigen is als ze in je huis inbreken en besluiten alle boekjes in huis te checken of het een wachtwoordenboekje is. Een opportunistische inbreker zal dat niet zo gauw doen (ieder zijn specialiteit), dus dan moet het echt iemand zijn die het op je gemunt heeft.
Wat ik bedoel met een veilige manier gebruiken - en waarom ik het securityniveau van deze aanpak een 8 geef (eigenlijk ergens tussen de 5 en 9) is dat je dan wel nog steeds voor alle accounts lange, moeilijk te raden en unieke wachtwoorden bedenkt en opschrijft. *Als je dat niet doet, is de score uiteraard lager. En je moet dat boekje niet laat slingeren, of mee naar buiten nemen. Vandaar ook dat de rating voor gemak een stuk lager is: het bedenken en opschrijven van zulke wachtwoorden is best bewerkelijk, en wanneer je veel on the go wachtwoorden nodig hebt moet je of het risico nemen het boekje altijd bij je te hebben óf je kan het gewoon niet raadplegen buitenshuis.
Concrete risico's:
- Verlies van het boekje buitenshuis: dan ben je al je wachtwoorden kwijt (!), en zou iemand ze in principe ook kunnen gebruiken om toegang te krijgen tot al je accounts.
- Je vindt het toch te veel werk om wachtwoorden te bedenken en op te schrijven en kiest vaak toch voor makkelijkere wachtwoorden die je kan onthouden.
4. Wachtwoordenboekje digitaal (bijvoorbeeld in Excel of Word document)
Securityniveau: 7/10*
Gemaksniveau: 7/10
In principe kun je deze aanpak bijna vergelijken met een passwordmanager. Ook hier gaat het er wel om dat je het veilig aanpakt. *Dus nog steeds unieke, lange en moeilijk te raden wachtwoorden gebruiken. Anders is je security score zeker geen 7! En goed nadenken over je back-up en locatie van het bestand. Net als bij een fysiek wachtwoordenboekje zou je een echte gemotiveerde hacker moeten vinden die inbreekt op je device - en dan zou je in principe net zozeer de sjaak zijn wanneer je een passwordmanager gebruikt.
Maar wanneer je on the go weer je wachtwoorden nodig zou hebben, moet je ze dus in de cloud hebben opgeslagen en moet die omgeving ook goed beveiligd zijn. Plus, een extra backup zou ook handig zijn.
Concrete risico's:
- Niet goed beveiligde of afwezige backup waardoor je de wachtwoorden kunt kwijtraken of gestolen kunnen worden
- Indien je toch te maken krijgt met een ransomware aanval of virus op je device waar je je bestand bewaart, ben je je wachtwoorden kwijt en zou jouw document ook gelekt kunnen worden.
5. Wachtwoordenformule gebruiken
Securityniveau: 7/10*
Gemaksniveau: 7/10*
Er zijn verschillende methoden om je eigen wachtwoordformule op te stellen. Het belangrijkste is hierbij wel dat jouw gekozen formule niet al ergens online staat (dus als je zoekt naar wachtwoordformule, dat je klakkeloos de voorbeelden overneemt) én dat er niet alsnog makkelijk te raden of herkennen woorden in ontstaan. De score is daarom afhankelijk van de complexiteit van de formule die je maakt. *Hoe moeilijker, complexer en persoonlijker de formule hoe beter de security natuurlijk - echter daarmee wordt het gemaksniveau wel steeds lager. Met een wachtwoordformule kies je een basisformule en pas je deze aan per account op basis van bijvoorbeeld de naam of een andere eigenschap van dat account. In principe lost deze methode de volgende problemen op voor mensen:
- Je maakt de wachtwoorden makkelijk te onthouden voor jezelf, maar niet voor anderen te raden;
- Je hebt een manier om zelf unieke en lange wachtwoorden te genereren.
- Je hoeft je wachtwoorden niet ergens op te schrijven of op te slaan en kan ze niet op die manier kwijtraken (alleen als je je geheugen kwijtraakt/je formule vergeet).
Concreet risico:
- Je gekozen formule is toch niet zo moeilijk te kraken als je denkt, waardoor je alsnog kwetsbaar bent;
6. Wachtwoordmanager gebruiken
Securityniveau: 10/10
Gemaksniveau: 9/10
Jaaaa daar is ie dan, de aanpak die we bij Computest iedereen aanraden: gebruik een passwordmanager! Een wachtwoordmanager helpt je niet alleen met het creëren, opslaan en veilig houden van al je unieke wachtwoorden. Het controleert ook of je ergens nog hergebruikte wachtwoorden hebt, kan je een melding geven als een bepaald account onderdeel is geweest van een datalek (zodat je weet dat je daar snel het wachtwoord moet aanpassen), je kan veilig wachtwoorden delen met mensen indien nodig (zoals op het werk in bepaalde teams) en je kan er ook two-factor authenticatie doorvoeren zodat je daarvoor niet gebruik hoeft te maken van sms'jes of mailtjes (die ook weer kwetsbaar kunnen zijn).
Het gemaksniveau is geen 10 omdat je er toch net even een handeling extra voor moet doen dan bij strategie 1, en er kunnen ook kosten aan verbonden zijn. Maar de winst zit wel in een veel hoger securityniveau voor de minimale hoeveelheid extra werk. Bijna geen omkijken meer naar. :-)