Hoe beheert u uw wachtwoorden?

Vorige week overleed mijn vader. Afgezien van dat het een erg emotionele gebeurtenis is, levert het ook aan de praktische kant wat uitdagingen op. Mijn vader was namelijk best actief in de ICT, regelde alles online, had accounts hier en daar én was bovendien erg voorzichtig. Een wachtwoord als ‘hallo01’ gebruikte hij dus niet, dit waren altijd combinaties van hoofdletters, kleine letters, cijfers en leestekens in een reeks waar alleen hij de logica van in kon zien.

Gelukkig waren we voorbereid op zijn vertrek en vroeg ik hem een aantal dagen daarvoor of hij ergens een lijst had met zijn wachtwoorden. Een volmondig ‘nee’ verwachtend, stond ik versteld toen er nog geen minuut later een volwaardig Excel bestand op het scherm stond, vol met tientallen gebruikersnamen, wachtwoorden, klantnummers, inlog-pagina’s en opmerkingen. En alhoewel er wel herkenbare tekens terug te vinden waren, was geen wachtwoord was hetzelfde.

Dit zette mij aan het denken. Hoe ga ik zelf eigenlijk met wachtwoorden om? Zijn ze wel veilig genoeg? Verschillend? Weet ik ze nog wel allemaal? En als er wat met me gebeurt, kan iemand dan mijn zaken afhandelen? Het is misschien een luguber idee, maar de realiteit is op zo’n moment confronterend.

Het wachtwoord zelf

Vaak moet een wachtwoord voldoen aan een aantal eisen. Ook als dit niet vereist is, doet u er goed aan deze toch als richtlijnen te gebruiken.

– Minimaal aantal karaktersEen sterk wachtwoord bestaat uit minimaal 8 karakters, en zo mogelijk nog meer. Hoe langer het is, des te moeilijker het te raden of hacken valt.

– Type karaktersEr zijn verschillende types karakters mogelijk om een wachtwoord te maken. Denk hierbij aan hoofdletters, kleine letters, cijfers en ‘vreemde’ symbolen (lees- en schrijftekens, valuta-symbolen en zo verder). Een sterk wachtwoord bestaat uit een combinatie van deze types en bevat dus van alles wat. Helaas zijn niet alle programma’s of websites uitgerust om de ‘vreemde’ tekens te herkennen, wat het dan weer een stukje lastiger maakt.

– BetekenisEen wachtwoord mag eigenlijk niets betekenen. Gebruik sowieso niet uw gebruikersnaam als wachtwoord en probeer ook persoonlijke gegevens zoals postcode, geboortedatum of namen te vermijden. Als u dat wel wilt doen (die zijn immers het gemakkelijkste te onthouden), verander er dan het één en ander aan.

Dit veranderen kan heel simpel, maar kunt u ook zo moeilijk maken als dat u zelf wilt. Neem als voorbeeld uw postcode 1234AB en huisnummer 78. 1234AB78 kan, maar is voor de hand liggend. 78AB1234 is dan al anders en beter, evenals 87BA3412. 4A7132B8 kan dan natuurlijk ook. Het volledige verband is dan foetsie, maar dit betekent tegelijkertijd ook dat u uw geheugensteuntje kwijt bent.

Een andere vaak gebruikte methode is het afkorten van een herkenbare zin door bijvoorbeeld de eerste letter van ieder woord te pakken. Stel dat u voor uw account bij Flexwebhosting een nieuw wachtwoord wilt instellen. Om maar eens iets simpels te noemen: “Ik ben lid van Flexwebhosting sinds 2012” zou u kunnen vertalen naar “IbLvFwH!s12”. Als u dit principe bij iedere organisatie toepast, heeft u daar ook nog eens een gemakkelijk herkenningspunt aan.

Het onthouden van uw wachtwoorden

Eigenlijk zou u bij ieder account waar u een wachtwoord en gebruikersnaam voor heeft, een uniek wachtwoord moeten gebruiken. Eigenlijk wel ja… Maar ja, ik moet zelf ook eerlijk bekennen dat ik me daar zelf ook niet aan houd. Overal en nergens word je tegenwoordig om een wachtwoord gevraagd, dus voor mij houdt het ook een keer op. Ik heb een aantal verschillende basissen, en varieer daar op.

Zo vertelde me laatst iemand een gemakkelijk trucje. Deze persoon had één vaste combinatie van tekens, wat uw geboortedatum, postcode, initialen, familie-letters of wat dan ook zou kunnen zijn. Voor het gemak nemen we 1 januari 1970 (een bekende datum ( http://en.wikipedia.org/wiki/Unix_time) in de programmeer-wereld): 01011970. Vervolgens kunt u daar mee variëren door er iets tussen te zetten. Voor een account bij de ING-bank, gebruikt u 0101ING!1970, voor de Consumentenbond 0101Consu?1970, bij Flexwebhosting 0101Flex@1970, etc. Hierdoor hoeft u eigenlijk maar één wachtwoord te onthouden en moet u weten waar u in aan het loggen bent. Vaak hebben bedrijven wel een leesteken in het logo of slogan staan, deze zou u dus ook nog kunnen gebruiken om het moeilijker te maken.

Soms hoeft u wachtwoorden helemaal niet te onthouden. Uw browser biedt u vaak genoeg aan om een wachtwoord voor u op te slaan, zodat u enkel uw gebruikersnaam hoeft te selecteren en de browser doet de rest. Of u maakt gebruik van een zogenaamde ‘Keyring’ (vaak bij Apple of Linux-varianten standaard aanwezig), welke met één hoofd-wachtwoord een soort kluis kan openen. Dit is, naast erg gemakkelijk, tevens ook lastig: u bent altijd gebonden aan één PC of browser.

Daarnaast zijn er ook nog on- en offline dienstverleners zoals LastPass welke uw wachtwoorden overal beschikbaar maken en u tevens kunnen voorzien van sterke wachtwoorden om te gebruiken. Een dienst als LastPass is op zo’n beetje ieder apparaat beschikbaar. Of het nu uw PC of laptop, telefoon of tablet is, het werkt overal. Daarbij is het ook nog online beschikbaar, dus waar u een browser heeft, heeft u al uw wachtwoorden. Door de software te integreren in uw browser, kunt u gemakkelijk op iedere website inloggen waar u uw wachtwoord door LastPass laat beheren. Ideaal!

Hier zitten echter twee grote nadelen aan. Doordat u uw wachtwoorden niet zelf meer beheert, weet u ze ook niet meer. U heeft dus geen flauw idee wat u waarvoor gebruikt en MOET altijd via LastPass of uw standaard browser inloggen. Anders blijft u aan het wachtwoorden opvragen. Het tweede nadeel zit hem in de dienst welke uw wachtwoorden beheert: krijgt iemand daar toegang tot, heeft die AL uw gegevens. Of andersom, bent u uw wachtwoord van LastPass kwijt of crasht uw PC, bent u ALLES kwijt.

Wachtwoorden opnieuw opvragen

Waar men een account aan kan maken, kan meestal ook het wachtwoord opnieuw opgevraagd worden. Dit gebeurt op verschillende manieren. Soms hoeft u alleen uw e-mailadres op te geven. Bij andere accounts geeft u uw gebruikersnaam, zoekt het systeem welk e-mailadres u gebruikt heeft en stuurt daar een nieuw wachtwoord naar. Andere, wat meer beveiligde systemen, vragen een  extra rondje verificatie of sturen een unieke code naar uw mobiele telefoon. Hoe het ook toegepast wordt, er kan altijd wel een oplossing gevonden worden.

In sommige gevallen is het echter wel heel makkelijk. U geeft uw e-mailadres op en u krijgt uw huidige wachtwoord toegestuurd (in de ergste gevallen zelfs op het scherm te zien). Gelukkig komt het nog maar zelden voor, maar in zo’n geval ben ik acuut weg bij deze organisatie. De reden hier achter is heel simpel: veiligheid.

Wanneer u een account aanmaakt, geeft u daar ook een wachtwoord bij op. De gebruikersnaam en het wachtwoord is een unieke combinatie, waarmee alleen u in kunt loggen. Deze gegevens worden daarbij opgeslagen in een database. Maar, voordat dit gebeurt, moet het wachtwoord eerst versleuteld worden. Een goed versleuteld wachtwoord kan niet ontsleuteld worden. Het wordt op een dusdanige manier aangepakt, dat er niks meer van over blijft waaraan het oorspronkelijke wachtwoord herkend wordt. Tijdens het inloggen wordt dan ook niet gekeken of het door u ingetypte wachtwoord in de database voorkomt, maar of de versleutelde vorm er in staat.

Het probleem is dat als u uw wachtwoord opnieuw opvraagt en u krijgt het oorspronkelijke wachtwoord terug, betekent dat dat uw wachtwoord niet versleuteld is opgeslagen! Of, in sommige gevallen, dat de sleutel om de ontsleutelde variant te verkrijgen, bekend is. Dit wil zeggen dat iedereen met toegang tot de database, precies kan zien welk wachtwoord u gebruikt. En omdat een gebruikersnaam meestal een e-mailadres mag zijn, en mensen doorgaans dezelfde wachtwoorden gebruiken voor accounts bij verschillende bedrijven… U ziet de bui al hangen. Heel onveilig dus. Tip: direct inloggen en uw wachtwoord veranderen in een wachtwoord dat u voor niets anders gebruikt. En daarna een boos mailtje sturen naar de webmaster dat hij veiliger met uw gegevens om moet gaan.

Opslaan en delen

Terug naar het begin. Bewaart u een lijst met wachtwoorden? Doet u dit online of offline? Door de beschikbare lijst die mijn vader aan wist te leveren, ben ik daar eens over gaan denken. Alles werkt tegenwoordig met een online account en een wachtwoord. Het DigiD is daar het belangrijkste voorbeeld van, maar vergeet ook bijvoorbeeld internetbankieren, accounts bij uw zorgverzekering of zorgverlener, persoonlijke e-mailaccounts enzovoorts niet. Stel dat er iets gebeurt, kunnen mijn dierbaren dan mijn zaken netjes afronden?

Het antwoord is simpel: nee. Mijn wachtwoorden zijn te willekeurig en tevens te persoonlijk. Zo maakt de toegangscode van het magazijn van mijn werkgever 14 jaar geleden ook nog altijd deel uit van mijn arsenaal aan basissen. Die weet niemand meer, behalve ik dus. Ga ik hier verandering in brengen? Ja. Mijn wachtwoorden worden er niet makkelijker op, maar ik zal in ieder geval zorgen dat er íemand in ieder geval weet waar ze gevonden kunnen worden. Zou u dat ook moeten doen? Dat weet ik niet.

Vaak genoeg krijgen wij de vraag of we een nieuw wachtwoord van een e-mailaccount, hostingpakket of klantenaccount kunnen verstrekken. Nee, niet naar het bij ons bekende e-mailadres, want dit is van mijn overleden familielid/werknemer/lid-van-vereniging/overige. Op zo’n moment staan we dus voor een probleem. Wij kunnen namelijk niet zomaar wachtwoorden gaan versturen naar willekeurige e-mailadressen, omdat er telefonisch iemand mededeelt dat onze klant is overleden. Dan moet er met aktes van overlijden worden rondgestrooid en dat willen we eigenlijk op allerhande manieren trachten te voorkomen. De situatie is vaak al moeilijk genoeg voor de nabestaanden. In zo’n geval zou een lijst met wachtwoorden toch wel heel makkelijk zijn. Zo niet van alle accounts, dan in ieder geval dat van zijn of haar e-mailadres(sen). Nieuwe wachtwoorden van andere accounts kunnen dan verstuurd en ontvangen worden.

Ga ik een lijst aanleggen van al mijn accounts en gebruikte wachtwoorden? Nee, dat gaat me een stap te ver. En daarbij moet ik die dan iedere keer aanpassen als ik een nieuw account aanmaak of een wachtwoord wijzig. Maar ik zorg er wel voor dat mijn meest dierbare en vertrouwde naaste het wachtwoord van mijn e-mailaccount heeft, zodat ze in ieder geval mijn zaken af kan ronden.