Sterke wachtwoorden
Een van de grote voordelen van wachtwoordendiensten zoals 1Password is dat ze je wachtwoorden veilig bewaren. Daardoor kun jij lange en unieke wachtwoorden gebruiken, die voor elke app en dienst verschillend zijn. Zonder dat je ze allemaal hoeft te onthouden. Het enige wat jij hoeft te doen is een goed master password bedenken: één lang en moeilijk te raden wachtwoord, at de sleutel vormt tot al je andere wachtwoorden. Alleen met het master password krijg je toegang tot je wachtwoordenkluis. Maar hoe pak je dat aan en wat is een goed master password?
- Wat is een master password?
- Willekeurig master password bedenken
- Wachtwoordeisen
- Passphrases
- Zelf bedenken
- Wachtwoordhint
- Opschrijven of niet?
- Bij overlijden
Update 4 januari 2024: Na de zoveelste datalek heeft LastPass gebruikers gevraagd om een nieuw master password in te stellen om hun account beter te beschermen. Dit nieuwe wachtwoord moet minstens 12 tekens lang zijn, terwijl het hoofdwachtwoord voorheen maar 8 tekens lang hoefde te zijn. Het Amerikaanse National Institute of Standards and Technology (NIST) zegt dat wachtwoorden van 8 tekens lang genoeg zijn, maar LastPass kiest voor een langere reeks van 12 tekens. Het wachtwoord moet ook ten minste één speciaal teken, een cijfer en een hoofdletter bevatten. LastPass gaat de databases controleren om er zeker van te zijn dat het nieuwe wachtwoord niet eerder is gebruikt of uitgelekt.
Wat is een master password?
Een master password is het wachtwoord waarmee je de toegang tot een wachtwoordendienst afschermt. Je hoeft dan maar één wachtwoord te onthouden. Met dit wachtwoord krijg je toegang tot alle vertrouwelijke info die je in apps zoals 1Password bewaart.
Het aantal sterke wachtwoorden dat je menselijke brein kan onthouden is beperkt. Het is daardoor onmogelijk om voor elke app die je gebruikt een uniek wachtwoord in te stellen, dat gemakkelijk te onthouden is en aan alle eisen voldoet, zoals minimaal één cijfer en speciaal karakter.
Hetzelfde wachtwoord meermaals gebruiken voor meerdere diensten is niet verstandig. Als er bij de ene dienst een lek optreedt, ligt je wachtwoord van alle andere diensten ook meteen op straat. Hackers maken hier vaak gebruik van: als er bijvoorbeeld een datalek bij Linkedin is, veranderen mensen hun wachtwoord. Maar ze vergeten vaak dat ze hetzelfde wachtwoord ook bij Facebook en allerlei andere diensten hebben gebruikt.
Daarom zijn wachtwoordenapps zo ideaal: je hoeft maar één wachtwoord te onthouden, namelijk je master password. Bij iCloud Sleutelhanger is de toegangscode van je iPhone tevens je master password. Je krijgt ook toegang met Face ID of Touch ID, maar als dit niet goed werkt heb je altijd nog je toegangscode om je wachtwoorden te kunnen raadplegen. Veel wachtwoordenapps van derden werken ook met Face ID of Touch ID, maar ook daar kun je altijd terugvallen op het master password. Kortom, het master password is erg belangrijk.
De tips in dit artikel kun je ook gebruiken als je een complexe toegangscode voor je iPhone wilt instellen. Dat is veiliger dan een gewone iPhone-pincode van 4 cijfers.
- Heel korte wachtwoorden
- Letter- en cijferreeksen (QWERTY, 1234)
- Persoonlijke informatie, zoals geboortedata en namen van huisdieren of kinderen
- Steeds hetzelfde wachtwoord hergebruiken voor meerdere diensten
- Gangbare woorden uit het woordenboek gebruiken
Willekeurig master password is niet 100% willekeurig
Een master password is zó belangrijk, dat je deze zorgvuldig moet kiezen. Hij moet gemakkelijk te onthouden zijn, maar ook een bepaalde mate van willekeur (oftewel randomness) bevatten. En dat is lastig, want als je mensen vraagt om zomaar een rijtje woorden op te noemen, dan zullen er relatief veel zelfstandige naamwoorden bij zitten, zoals ‘hond’, ‘bloem’ en ‘paard’. Vaak hebben die woorden ook nog een positieve insteek: het zijn dingen waar iedereen blij van wordt. Minder gangbare woorden en vervoegingen zoals ‘meewarig’, ‘hetze’ en ‘geflipt’ blijken mensen minder vaak te kiezen.
Een wachtwoordenapp kan je helpen om een volstrekt willekeurig wachtwoord te genereren. Je kan dit dus ook gebruiken om een master password te kiezen. Het probleem is alleen dat dergelijke wachtwoorden vaak moeilijk te onthouden zijn, terwijl dat juist wel de bedoeling is.
Je zult dus zelf een goed master password moeten bedenken. Eén van de beste oplossingen daarvoor is een zogenaamde passphrase, waar we verderop meer over vertellen.
Traditionele wachtwoordeisen: geen garantie voor succes
Als je bij een online dienst een nieuw wachtwoord moet verzinnen, dan krijg je vaak een waslijst aan richtlijnen voorgeschoteld. Zoals deze:
- Gebruik een combinatie van hoofdletters en kleine letters.
- Gebruik minimaal één cijfer en speciaal karakter.
- Gebruik minimaal 8 karakters.
- Gebruik geen bestaande woorden.
- Gebruik geen persoonlijke info.
Zo’n wachtwoord kun je gemakkelijk aanmaken met een wachtwoordgenerator, waarbij je precies kunt aangeven aan welke eisen het wachtwoord moet voldoen.
Maar voor een master password zijn dergelijke richtlijnen niet geschikt. Een wachtwoord zoals ‘Passw0rd123!’ voldoet aan alle eisen, maar is in feite een variant op de aloude favoriet ‘Password123’. Varianten hierop zijn al jarenlang te vinden in lijsten met meest gelekte wachtwoorden.
Een kwaadwillende die het slim aanpakt, zal eerst beginnen met een lijst met veelgebruikte wachtwoorden en daar staat ‘Password123’ met al z’n varianten prominent in.
Waarom een passphrase slimmer is
Een passphrase is een collectie van ogenschijnlijk willekeurige woorden en karakters die achter elkaar staan. Zo’n zin is meestal tussen de 20 en 30 karakters lang en bestaat uit woorden en karakters die voor jou een zinvolle betekenis hebben. Daardoor is een passphrase gemakkelijk te onthouden, terwijl het voor een computer relatief veel tijd kost om de code te kraken.
LassPass geeft bijvoorbeeld deze suggesties:
- mydogfido’sbirthdayisnovember19
- yellowcatbaseball…newyork
- myvacation2paris-wasincredible
- soexcitedtoStartCollege!thisfall
Het gaat om heel simpele zinnen die je aan elkaar plakt. Een dergelijk wachtwoord voldoet niet altijd aan de traditionele eisen die we hierboven hebben genoemd. Sommige bevatten namelijk geen hoofdletters en er staat persoonlijke informatie in. Ook zijn er bestaande woorden in verwerkt.
Maar door ze op deze manier samen te voegen ontstaat een behoorlijk lang wachtwoord, dat door een computer moeilijk te raden is. Door wat symbolen, getallen en hoofdletters toe te voegen maak je het nog sterker. Het lijkt misschien erg lang om zo’n wachtwoordzin in te tikken, maar omdat het een betekenisvolle zin is kun je het veel sneller intikken dan een willekeurige reeks w4chtw00rdgr4pj3s.
Waarom niet meteen twee trucs combineren? Daarbij komt wat psychologie om de hoek kijken. Omdat je je master password meermaals per dag invoert, is het een ideaal middel om een boodschap in te prenten in je onderbewuste, als een soort mantra. Gebruik dan passphrases zoals: ‘Ikwilinoktober10kgafvallen!’, ‘Met30minutenmediteren/dagwordikrustiger’ of ‘Mijnhuismoet€3tonopbrengen’.
Zelf een master password bedenken
De crux bij het bedenken van een sterke passphrase is dat het woorden zijn die jij gemakkelijk kunt onthouden en die alleen voor jou betekenis hebben. Kies dus geen beroemde zinnen uit films, de literatuur of songteksten. Ook citaten van beroemde mensen zijn ongeschikt, want die zijn wijdverbreid bekend.
De beste passphrases bevatten ook wat hoofdletters, leestekens en getallen. Maar dat hoeft niet per se: als je de zin maar lang genoeg maakt, wordt het steeds lastiger om te raden. Een heel lange zin met één of twee getallen kan daarom veiliger zijn dan een kort wachtwoord met heel veel rare tekens.
Wachtwoordhints: niet te makkelijk maken
Het is belangrijk om je master password goed te onthouden. Raak je het kwijt, dan kun je geen toegang meer krijgen tot je collectie wachtwoorden en dat kan rampzalig zijn. Je kunt in apps zoals 1Password een hint invoeren, maar dat hoeft niet. Het is veiliger als je het niet doet, want je geeft een mogelijke inbreker wel een extra stukje informatie.
Wil je toch een hint instellen, kies dan iets wat cryptisch genoeg is zodat een buitenstaander het niet kan raden terwijl je zelf voldoende eruit af kan leiden om het wachtwoord te herinneren. Denk hierom:
- Kies niet iets dat anderen gemakkelijk kunnen achterhalen. Vul als hint niet “Naam van mijn kat” in, want via sociale netwerken is een dergelijke naam vaak gemakkelijk terug te vinden.
- Uiteraard zet je in de hint ook niet het letterlijke wachtwoord zelf, zoals ‘Mijnkat2024islief’.
- Geef in je hint aan om welk wachtwoord het gaat, zodat je de rest gemakkelijk weer kunt herinneren. Had je bijvoorbeeld ‘correcthorsebatterystaple’ gekozen, dan kan ‘paard’ een goede hint zijn omdat je dan meteen weet: “Oh ja, dat is die met het paard!”
Master password bewaren: opschrijven of niet?
Moet je je master password opschrijven op een papiertje? Daar wordt nogal verschillend over gedacht. Als jou iets overkomt, bijvoorbeeld een gebeurtenis waarbij geheugenverlies of coma optreedt, dan is het wel zo handig als je familieleden bij je wachtwoorden kunnen. Wil je zeker weten dat je master password altijd ergens terug te vinden is, dan kun je dit op een papiertje schrijven die je in een kluis of op een andere veilige locatie bewaart. Zo weet je zeker dat je het altijd terug kunt vinden, als het nodig mocht zijn.
Vooral bij oudere mensen die langzamerhand wat vergeetachtig worden kan het verstandig zijn om het wachtwoord toch ergens op te schrijven, bijvoorbeeld achterin een puzzelboekje of op een andere plek waar inbrekers niet snel zullen kijken. Je kunt ook een sticker met het wachtwoord onderop een veelgebruikt voorwerp plakken. Zorg er dan wel voor dat de sticker droog blijft en niet blootstaat aan direct zonlicht, waardoor de tekst onleesbaar kan raken. Uiteraard plak je het niet op waardevolle voorwerpen zoals een computerscherm of de antieke klok van oma, want die zouden bij een inbraak zomaar meegenomen kunnen worden.
Het opschrijven van je wachtwoord hoeft geen probleem te zijn als je er zorgvuldig mee omgaat. Hackers werken vaak op afstand en hebben geen toegang tot een schreven papiertje in huis. Behandel je master password zoals je ook met je paspoort en creditcards omgaat: niet laten rondslingeren en goed onthouden waar je ze hebt opgeborgen.
Een andere oplossing is om jouw master password op te slaan in de kluis van je partner of van een familielid dat je vertrouwt. Door elkaars master password uit te wisselen zijn beide wachtwoorden veilig. Maar let op: doe dit alleen met iemand die je blind vertrouwt. Raakt het contact uiteindelijk toch verbroken, dan moet je je master password wijzigen. Je kunt je master password ook bewaren bij een notaris, bijvoorbeeld in combinatie met je testament. Houd er dan wel rekening mee dat er steeds hoge kosten aan zitten als je dit wilt veranderen. Er zijn goedkopere methoden om je wachtwoord veilig te houden.
Bij overlijden
Je master password is zo belangrijk dat je je misschien afvraagt hoe je je kunt voorbereiden op situaties zoals overlijden of een ongeval waarbij je het bewustzijn of geheugen verliest. Hoe zorg je er dan voor dat familieleden jouw zaakjes kunnen regelen, terwijl je zelf niet daartoe in staat bent? Denk aan deze twee tips:
- Tip 1: Zet het master password in de wachtwoordenapp van je partner, of iemand uit je naaste omgeving. Bij voorkeur iemand die je vertrouwt en waarmee je niet vaak samen reist. Mocht je betrokken raken bij een auto-ongeluk, dan is het wel zo handig als jouw vertrouwenspersoon gewoon veilig thuis zit en alles op afstand voor je kan regelen. Hou er rekening mee dat veel toepassingen tegenwoordig tweestapsverificatie vereisen, dus het is handig als de vertrouwenspersoon ook toegang heeft tot jouw iPhone en jouw toegangscode weet.
- Tip 2: Sommige apps zoals SecureSafe (link) bieden een Data Inheritance-functie. Daarmee kun je zorgen dat familieleden of collega’s toegang hebben tot belangrijke info zoals wachtwoorden en pincodes. Je moet dit handmatig inschakelen en krijgt een melding als de vertrouwenspersoon toegang tot je info probeert te krijgen. Je merkt dus meteen als er misbruik van wordt gemaakt. In 1Password vind je hiervoor de functie Emergency Kit, die op een iets andere manier werkt.
Bekijk vooral ook onze tip over erfeniscontacten. Bij Apple kun je een contactpersoon kiezen die jouw account kan beheren na jouw overlijden.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
1Password
1Password is een van de bekendste wachtwoordenapps voor iPhone, iPad en Mac. De app wordt gemaakt door AgileBits en loopt vaak voorop met nieuwe functies. Met 1Password kun je wachtwoorden, creditcardnummers en andere vertrouwelijke informatie veilig opslaan. 1Password werkt ook samen met passkeys (toegangssleutels). Hieronder zie je onze belangrijkste artikelen over 1Password. Alternatieven zijn LastPass en Dashlane of natuurlijk Apple's eigen iCloud Sleutelhanger.