Gisteren was er iets mis met de wachtwoordprocedure van XS4ALL. Klanten die hun wachtwoord wilden veranderen, kregen een foutmelding: het door u gekozen wachtwoord is al in gebruik (user: nielsh). Een 1-aprilgrap natuurlijk, we zouden nooit echt loginnamen en wachtwoorden bekendmaken. Maar veel klanten waren toch nieuwsgierig en probeerden even in te loggen. Gelijk hebben ze, als hackers hadden wij natuurlijk precies hetzelfde gedaan!

Het was een 1-aprilgrap, maar wel over een serieus onderwerp. Want wachtwoorden spelen een belangrijke rol in het dagelijks leven. De meeste mensen hebben tientallen, soms wel honderden accounts met wachtwoorden. Voor e-mailadressen, webwinkels , abonnementen, internetbankieren, enzovoorts. Al die wachtwoorden geven toegang tot (persoonlijke) informatie en diensten, dus het is belangrijk dat ze veilig zijn. Een goed, veilig wachtwoord is niet te kort, bestaat uit hoofdletters en kleine letters, cijfers en leestekens.

Omdat vrijwel niemand honderd van dat soort veilige wachtwoorden kan onthouden, is de verleiding groot om dan maar één wachtwoord voor al die verschillende accounts te gebruiken. Dat is niet verstandig. Beter is het om een password manager te gebruiken. Dat is een programmaatje waarin u al uw wachtwoorden opslaat, beveiligd met één hoofdwachtwoord. Zodat u alleen dat hoofdwachtwoord hoeft te onthouden. Veel password managers kunt u behalve op uw computer ook op uw smartphone gebruiken, zodat u uw wachtwoorden altijd bij de hand hebt.

Kijk voor meer informatie over wachtwoorden en internetveiligheid op de XS4ALL checklist voor veilig internetten.

Deel dit:

Reacties

  1. çhat says:

    Een soort van ‘sleutelbos’ dus eigenlijk

  2. Ab says:

    Al die hoofdbrekens om wachtwoorden en pincodes te onthouden maken het leven er niet gemakkelijker op dus ik heb inderdaad en paar “hoofd”wachtwoorden, en ben me er bewust van dat dat risicovol is. Onlangs heb ik avast!Easypass in gebruik genomen waarmee je direkt kan inloggen op allerlei sites, waardoor het gebruik van moeilijke wachtwoorden weer makkelijk wordt. Kost een tientje. Zie http://files.avast.com/files/documentation/user-guide-easypass.pdf

    • Cor says:

      @Ab

      Alleen jammer dat het alleen maar voor Windows systemen gemaakt is, en dan nog… wat als je elders op deze aardkloot in wil loggen op die belangrijke site?

  3. Paulh says:

    Deze strip legt ht probleem kort en goed uit:
    https://xkcd.com/936/

  4. Karel says:

    “Vreemde” wachtwoorden (W@chtw00rden) beschermen je tegen een “dictionary attack”. Alleen, als je om die reden eisen gaat stellen aan de wachtwoorden, zoals minimaal een hoofdletter, leesteken, cijfer, dan verklein je het aantal mogelijke wachtwoorden, wat de brute-force kraker (begin bij a, ga door tot zzzzzz…) weer in de kaart speelt.

    Het hangt er ook vanaf hoe vaak iemand de gelegenheid krijgt om het te proberen. Bij de inlogprocedure op ‘t werk word je na vijf vergissingen uit het netwerk gekieperd, en moet je met een rood hoofd naar de Systeembeer. Dus wat dat betreft, hoef je niet bang te zijn voor brute-force of dictionary attacks.

    De situatie is anders als je een bestand met een wachtwoord hebt versleuteld. Als iemand dat in handen krijgt, kunnen ze het zo vaak en zo snel proberen als hun hardware het toestaat. Het enige dat daar tegen helpt is lange wachtwoorden.

    Een zorgwekkende toestand is dat een hoop veiligheidsregels worden overgenomen zonder dat er verder over wordt nagedacht. Erger nog: een hoop veiligheidsmaatregelen hebben geen, weinig of een ongewenst effect op de beveiliging.

    Een heleboel ondernemingen zijn er hardhandig achter gekomen (hallo Sony!) dat je niet een veilig systeem krijgt door hokjes aan te vinken. Je krijgt een veilig systeem door geen domme dingen te doen.

  5. Ronald says:

    Ik pak deze er nog maar even bij: Youtube Video – Hoe kraakt iemand een wachtwoord?

    Diversiteit in karakters is slechts een druppel op een gloeiende plaat en geeft een moeilijker te onthouden wachtwoord waardoor men het gaat noteren (ook weer een veiligheidsrisico).
    Een lange zin als wachtwoord daarentegen is weldegelijk een heel stuk veiliger, en daarbij hoeven er niet eens vreemde tekens in te zitten (al kan je bijvoorbeeld een , en . in de zin zetten).

  6. Robert says:

    Heeft XS4ALL een aanbeveling voor een goede Password Manager?

  7. Joris says:

    Er zijn passwordmanagers die je op een usb-stick kan meenemen. Een soort van ‘sleutelbos’ dus eigenlijk. Die hebben niet het bezwaar dat Cor noemt.

    • Cor says:

      @Joris,

      Inderdaad al weer een stuk beter, probleem met die sleutelbos is weer dat je ‘m wel eens vergeet of verliest. En USB sticks zijn niet de meest betrouwbare media, en wat als je op een plek werkt die (uit welgemeende en niet eens zo paranoide oogpunten) geen USB poorten hebben?

  8. Cor says:

    @Angela

    Leuk, maar ga jij die 64 of 63 random ASCII characters onthouden, en dat voor elke website apart?

    Cor

  9. Angela says:

    Kijk ook eens op https://www.grc.com/passwords.htm voor gedachten over paswoorden.

  10. Cor says:

    Alles leuk en aardig om een password manager aan te raden, maar dat heeft een groot nadeel: dat werkt alleen maar goed als je dat alleen vanaf een vast PC of laptop gebruikt. Als je de sites vanaf wisselende PCs gaat benaderen (internet cafe’s, kantoor, etc.) dan houdt het snel op.

    Ik zou bijvoorbeeld nooit de password manager op een voor mij onbekende PC willen gebruiken.

    Alternatief is natuurlijk een web-based password manager; maar ik vertrouw eigenlijk geen van de web-based password managers. Wie garandeert mij dat deze niet toch stiekum mijn wachtwoorden leest? Wie garandert mij dat mijn passwords niet worden verkocht? Wie garandeert mij dat die service volgende week nog bestaat?

    Eigenlijk vind ik het vreemd dat XS4All hier niet een service voor biedt… Als ISP zou XS4All hier toch een rol in kunnen spelen.

    • ReemZ says:

      Zou u een password dat u anders in een password manager zou opslaan wél op een voor u onbekende PC willen gebruiken? Beter lijkt me om echt belangrijke zaken (serieuze email, internetbankieren) alleen thuis te doen, op uw eigen computer(s).
      Wat betreft web-based password managers: goed punt.