Vaarwel paswoorden! Zo werk je veilig je wachtwoordfrustraties weg

“Pfff, weeral aanmelden … Wat was dat stom paswoord nu ook alweer?”

Als deze zucht je bekend in de oren klinkt, dan hebben we een handige oplossing:

Met de hulp van een paswoordmanager kan je al je wachtwoorden veilig bijhouden en op de meeste websites ook wel automatisch voor jou laten invullen. Dat scheelt niet alleen een hoop tijd en gevloek, het helpt je ook om meer gedaan te krijgen in minder tijd! In dit artikel leggen we je stap-voor-stap uit wat je daarvoor moet doen.

Wereld vol wachtwoorden

Gebruikersnamen en paswoorden zijn alomtegenwoordig. Iedereen heeft er wel een paar dozijn tot zelfs enkele honderden. De Belg is daarbij best wel ongerust over online gevaren, maar gedraagt zich er helemaal niet naar … We hergebruiken onze wachtwoorden op meerdere websites en bewaren ze soms nog het liefst op sticky notes: “Onderzoek toont aan: Belg heeft maar één paswoord (en het hangt aan zijn computer).”

Misschien laat u uw gebruikersnamen en wachtwoorden al bewaren door uw browser? Dat is al beter dan op post-its, maar toch een opmerking daarbij. Vindt u het eigenlijk wel oké dat u die – soms best wel vertrouwelijke – info ‘cadeau’ geeft aan een of andere Amerikaanse techgigant?

Ook handig voor Spaarvarkens!

Ook op websites die met meerdere accounts werken, zoals Spaarvarkens.be, is een paswoordmanager echt wel handig! Spaarvarkens.be maakt gebruik van 2 accounts. Eentje voor deze gratis website waar u dit artikel op aan het lezen bent en een ander voor de community. Als ik mij eerst op de website van Spaarvarkens.be wil aanmelden om artikels te lezen en erna mij op de Spaarvarkenscommunity van de beleggingsclub wil aanmelden, dan kost me dat slechts enkele muisklikken :)

Tips

Dat kan u makkelijk doen door hier te klikken. Als u al aangemeld bent, zal je je wel eerst even moeten afmelden.

1. Klik hier om naar de community te gaan.

2. Vul je e-mailadres in en klik op “Volgende stap”.

3. Klik op “Wachtwoord vergeten”.

4. Controleer je e-mailadres en klik op “Reset aanvragen”.

In het ideale geval is een wachtwoord onmogelijk te raden door iemand anders, maar makkelijk door jezelf te onthouden en in te typen. Namen van kinderen, huisdieren en de naam van jezelf of je partner zijn uit den boze. Idem voor website- en bedrijfsnamen. Ook met objecten in je directe omgeving let je maar beter op (bv. bureau12 of paperClip9). Courante woorden, al dan niet met eenvoudige cijfers erna zijn niet sterk. Hopelijk heeft niemand van jullie dus spaarvarkens123 als wachtwoord op deze site.

Een wachtwoord mag dus niet relatief eenvoudig te raden of te kraken zijn. Ook de lengte van het wachtwoord speelt daarbij een rol. Des te langer, des te moeilijker het wachtwoord te kraken valt. Maar een wachtwoord hoeft nu ook weer geen 30 tekens lang te zijn. Dat heeft geen enkele zin. De complexiteit van een wachtwoord neemt snel toe als je ook gebruik maakt van zowel hoofd- en kleine letters, cijfers en symbolen. Een lang wachtwoord is dus niet in alle gevallen noodzakelijk moeilijk te raden, denk maar aan wachtwoorden als IkWilNaarHuis, paswoord123456, mijnhondheetmax, azerty123 of zelfs 5478614587. Ook een ogenschijnlijk moeilijk wachtwoord als )0Y0uL1k€)0g5 (lees als DoYouLikeDogs) is door een hacker snel gevonden.

Hergebruik ook nooit hetzelfde paswoord voor meerdere websites! Niet overtuigd? Check dit lijstje van datalekken maar eens. Gelukkig maakt een wachtwoordmanager het je hierbij heel makkelijk: genereer bij iedere registratie op een website telkens een nieuw, willekeurig wachtwoord van 16 tekens: bv. !7^#MM8*hL88qC7a.

Als alternatief voor ononthoudbare wachtwoorden kan je ook woorden uit meerdere talen samen met cijfers/tekens telkens met elkaar afwisselen. Stel dat u van elpee’s houdt, dan is bv. Lantaarnpaal3313Pappagalli45Cover helemaal niet verkeerd en voor u makkelijk te onthouden. Neem daarbij minstens drie woorden. Want bij slechts twee, zoals voet8bal12 bent u er mogelijk snel aan voor de moeite. Mnemonics of ezelsbruggetjes zijn ook een alternatief, als ze maar lang genoeg zijn: nhsgiedwvvgjfzzajeab (na het sporten ga ik eerst douchen want van voetballen ga je flink zweten, zeker als je een aanvaller bent). Dergelijke wachtwoorden kan u ook gebruiken als het hoofdwachtwoord van een paswoordmanager, het enige wachtwoord dat je dan nog maar te onthouden hebt.

Laat ik één van de methodes eens toelichten. Hackers, script kiddies en internetcriminelen kunnen ook computerprogramma’s inzetten om wachtwoorden te raden.

Doorgaans werken die programma’s op een combinatie van brute rekenkracht (de zgn. brute force attacks, waarbij worden zoveel mogelijk combinaties achter elkaar eens worden geprobeerd) en (meertalige) woordenlijsten. Die lijsten worden bovendien nog eens aangevuld met miljoenen veelvoorkomende combinaties en wachtwoorden die door datalekken publiek werden.

Een omvangrijke lijst van e-mailadressen wordt ingeladen in het programma en vervolgens laten ze hun computers continue (weken tot maandenlang) wachtwoorden raden op een waslijst van websites. Het programma leert ondertussen hoeveel pogingen het mag wagen op een specifieke website vooraleer die website de verbinding voor een tijdje zal blokkeren. Ook die tijd, die vaak oplopend is, wordt geleerd door het programma om het raden te optimaliseren. Op sommige websites mag je bv. maar 3 pogingen doen en als daarbij het juiste wachtwoord niet wordt ingevoerd, word je 10 minuten geblokkeerd. Dat wordt dan bv. een uur als je na de tiende minuut opnieuw 3 keer mist.

Je kan je voorstellen dat er op deze manier af en toe wel eens iets gevonden wordt.

Veilig ben je als je wachtwoord uit 12 of meer willekeurige karakters bestaat en je daarbij gebruik maakt van zowel hoofd- en kleine letters, cijfers en symbolen als #,&,[,€,$,%,>. Zulke wachtwoorden zijn wel een hele opgave om te onthouden en ook lastig om in te typen. Gelukkig kan een paswoordmanager dergelijke wachtwoorden in een oogwenk voor je genereren, ze meteen bewaren en je nadien helpen met ze automatisch in te voeren. En omdat het voor een paswoordmanager helemaal niet uitmaakt of je nu 12 of 16 willekeurige karakters neemt als standaardlengte, kan je met een lengte van 16 echt wel gerust zijn dat het nooit geraden zal worden. Op de tabel hieronder zie je dat hackers daar best wel eventjes zoet mee zijn (1 biljoen jaar).

Een recent voorbeeld van hoe vertrouwen in techgiganten vervelend kan mislopen, is het relatief recente datalek bij Facebook (FB) waardoor heel wat mensen, ook in Vlaanderen, sinds april ongewenste smsjes krijgen. Ongeacht of de privacyinstelling voor uw gsm-nummer publiek of privaat stond, zo lijkt het. Die smsjes komen dan zogezegd van de Vlaamse Overheid, BPost, DHL, BNP, CardStop, Rode Kruis en noem maar op. Ze hebben allen maar één doel en dat is uw bankrekening zo snel mogelijk proberen leeg te zuigen (tot ze op uw daglimiet botsen, wat vaak toch nog 25.000 euro is). De criminelen achter deze valse smsjes trachten u te verleiden om op een link te klikken of door u een onzuivere app te laten installeren. Dus bedankt Facebook! Een dikke merci … Meermaals bewees het concern in het verleden dat het maar moeilijk veilig kan omgaan met uw gegevens en ogenschijnlijk lak heeft aan uw privacy: het Cambridge Analytica-datalek van 2018 (87 miljoen gebruikers).

Op de website BenIkErbij kan u trouwens checken of u 1 van de – maar liefst – 533 miljoen gelukkigen bent van het ‘cadeautje’ van Facebook. In Vlaanderen zijn drie miljoen gebruikers van het socialemediaplatform geïmpacteerd. Helaas diende minder dan 0,04% van hen klacht in tegen Facebook, zo blijkt uit dit artikel van eind juli. Het zou me dan ook niet verbazen dat een statistiek zoals deze de rechtbank haalt bij de argumentatie van de verdedigende partij. Iets in de aard van “99,96 % heeft er objectief gezien geen problemen mee?” Wie dat wil, kan overigens hier klacht indienen: https://www.gegevensbeschermingsautoriteit.be/burger/acties/klacht-indienen.

Kortom, het zou gewoon beter zijn als u uw gegevens stilaan zelf terug in handen krijgt. Met een paswoordmanager maakt u hierbij al een grote stap. Bijt even door en doe het gewoon vandaag nog! Zoek al je wachtwoorden bij elkaar en verstop ze in een paswoordmanager. Maar mocht deze stap voor u toch nog te groot zijn, volg dan op zijn minst de tip “Hoe ziet een goed wachtwoord er uit”

Wie een e-mailadres heeft bij Gmail kan ook plusjes gebruiken bij het registreren op een website. Dat plusje mag je dan laten volgen door eender welk woord. Bijvoorbeeld [email protected] of [email protected].

Buiten de herkenbaarheid die dat geeft voor jezelf, helpt het ook om spam tegen te gaan. Stel dat ik mij registreer op een onbetrouwbare website die het snode plan heeft om de aan hen toevertrouwde e-mailadressen door te verkopen, dan ontdek ik dat snel en filter ik [email protected] wel snel even weg.

Niet alle websites laten het gebruik van plusjes toe, maar de meesten wel. Gebruik dus een plusje als het kan!

[/fusion_toggle]

[fusion_toggle title=”Werkt u op kantoor in een team?” open=”no” class=”” id=””]

Dan komen bij jullie vast ook deze vragen regelmatig terug:

Wat was het paswoord weer voor … ?
Hoe kan ik inloggen op … ?
Waar vind ik de applicatie voor … ?
Bij wie moet ik weer zijn voor … ?

Met Bitwarden voor teams ($3/maand per gebruiker) of met LastPass ($3,90/maand per gebruiker) verdwijnt ook die productivitykiller. Je kan er buiten een persoonlijke wachtwoordenkluis ook een gedeelde kluis voor collega’s mee maken en beheren.

Uiteraard kan je ook groepen maken voor bepaalde collega’s en/of afdelingen, want niet iedereen moet ook alle gedeelde wachtwoorden kunnen zien. Dus als jullie op kantoor nog met “den paswoordenexcel” werken, dan kan die ook stilaan verdwijnen. Je collega’s of leidinggevende van het nut hiervan overtuigen zou niet al te moeilijk mogen zijn.

Met een wachtwoordmanager beheer je al je wachtwoorden met een enkel hoofdwachtwoord. Daarmee creëer je inderdaad het gevaar dat als iemand dan toch jouw hoofdpaswoord kan achterhalen (of als heel de winkel gehackt wordt), dat die persoon dan al jouw wachtwoorden daarna maar gewoon voor het oprapen heeft.

Die kans lijkt me echter heel erg klein. Tenzij je een zwak hoofdwachtwoord hebt natuurlijk.

Maar goed, onbestaand is dat risico niet. Gebruik dan een ‘opzoutcode’ (vrije vertaling van de informaticaterm ‘salting’) als je hierin graag wilt overdrijven. Niemand houdt je tegen om al je wachtwoorden in een paswoordmanager te plaatsen en er telkens je eigen toets aan te geven bij het automatisch invullen ervan. Zo kan je bv. op het einde zelf nog een extra teken plaatsen of na bv. karakter 7 jouw onraadbare opzoutcode toevoegen.

Stel dat jij de nucleaire codes van de VS beheert en dat jouw bewaard wachtwoord in de paswoordmanager deze is: !E8&%zc%GH3ouqaH. Wel dan zou je er dit van kunnen maken: !E8&%zcOH_NO!BOOM!%GH3ouqaH.

De voormalige president van de VS gaf eigenlijk zelf niet zo gek veel om wachtwoorden. Zijn belangrijkste uitspraken deed hij via Twitter en zijn wachtwoord raden daar bleek helemaal niet moeilijk. Nu u dit artikel doorneemt, beseft u vast dat het oude Twitterwachtwoord van Donald Trump (MAGA2020) vrij makkelijk te raden viel.

Nog een laatste tip: denk ook aan je gezin en familie en bewaar je hoofdwachtwoord op een veilige plek die door hen gekend is.

Bitwarden installeren

Er zijn heel wat gratis en betalende tools beschikbaar om je wachtwoorden te beheren. 1Password, KeePass, LastPass en Bitwarden behoren daarbij bij de besten. Lange tijd heb ik met LastPass gewerkt, maar een tijdje terug schakelde ik over naar Bitwarden. Hoe je je wachtwoorden van LastPass kan exporteren en ze importeren in Bitwarden, lees je hier.

Bitwarden is opensource en de gratis versie biedt eigenlijk wel alles wat ik nodig heb. LastPass biedt meer mogelijkheden en is ook wat gebruiksvriendelijker, maar is intussen enkel nog gratis beschikbaar op 1 toestel. Met Bitwarden heb je die beperking niet en kan je zowel op je telefoon als op je laptop gebruik maken van de gratis versie.

Dit filmpje van ComputerIdeeTV legt in klare taal uit hoe je Bitwarden kan installeren:

Hieronder vind je de links om Bitwarden te installeren. Ik hoop dat je het ook doet.

Voor uw pc of laptop: download de desktopapplicatie

Download Bitwarden voor Windows, macOS of Linux:

Voor uw gsm: download de mobiele app

Download Bitwarden voor Chrome, Safari, Edge of Firefox:

Bij het gebruik van tools heeft iedereen wel zijn of haar favorieten. Laat in de reacties hieronder weten welke tools of welke werkwijze jouw voorkeur wegdraagt :)

Deel dit artikel ook met uw vrienden, familie of collega’s. Ze kunnen er alleen maar mee geholpen zijn.

BG 09/10/2021

Beste Sven,

Ik ben het 100% akkoord met de stelling dat een wachtwoordmanager beter is dan geen.

Met onderstaande zin ben ik het echter minder eens:

> Vindt u het eigenlijk wel oké dat u die – soms best wel vertrouwelijke –
> info ‘cadeau’ geeft aan een of andere Amerikaanse techgigant?

Ik begrijp waar u op aanstuurt (Google is een bedrijf dat enerzijds constant flirt met de grens van het ethische en ze publiceren ook Chrome: veruit ‘swerelds populairste internetbrowser), maar in een breder kader zijn fabrikanten van wachtwoordmanagers meestal ook Amerikaanse techbedrijven. Dat verschil is geen kwestie van password manager versus browser.

Het belang van wachtwoordpolitiek bestaat vooral in het kunnen kiezen om die informatie wel of niet te synchroniseren via de server van die softwarefabrikant. Synchroniseren is handig als je dezelfde wachtwoordkluis beschikbaar wil hebben op verschillende apparaten, maar die synchronisatie verloopt nu eenmaal via de servers van de fabrikant van dat stuk software. Of dat stuk software dan een wachtwoordmanager is of een webbrowser, maakt niet zoveel uit; beide stukken software zijn een gewild doelwit voor hackers, juist omwille van de gevoelige informatie die ermee kan gezien worden.

Als u het gebruiksgemak van synchronisatie over verschillende apparaten heen als vereiste hebt, dan is het vertrouwen in de fabrikant een noodzakelijk kwaad (vooral : vertrouwen dat die je wachtwoorden correct versleutelt op een manier dat ze die zelf niet kan ontcijferen). Met name als zo’n fabrikant de mogelijkheid biedt om een vergeten “masterpaswoord” te kunnen resetten, dan heeft men bewust een achterpoortje ingebouwd. Dat laatste is voor mij persoonlijk een indicatie van verhoogd risico, maar voor andere mensen kan dat juist een belangrijke optie zijn. Voor jezelf beslissen op een geïnformeerde manier is hier vooral van belang, en als beleggers ben je sowieso al met dat principe bezig als het op je aandelenportfolio aankomt, dus die ingesteldheid zou geen probleem mogen zijn.

Kies je ervoor om je wachtwoorden in een *lokale* wachtwoordkluis op één apparaat op te slaan en mogelijkheden tot synchronisatie uitschakelt, zit je het veiligst – op voorwaarde dat je deftige backups neemt, natuurlijk – maar voor veel eindgebruikers is dat vandaag de dag niet meer werkbaar. Ook een doe-het-zelf oplossing waarbij u zelf een synchronisatieserver en encryptie gaat opzetten en onderhouden is voor de gewone sterveling meestal niet weggelegd en brengt op zich ook weer andere risico’s met zich mee.

Ik hoop dat bovenstaande wat duiding heeft kunnen brengen.

Mvg,
BG

Reacties

Je moet inloggen om een reactie te kunnen plaatsen.

Jozef Schoenmakers 30/09/2021

Ik zie dat IPAD niet vernoemd wordt.

Log in om te reageren
Jozef Schoenmakers 30/09/2021

Kan Bitwarden een alternatief zijn voor VPN?

Log in om te reageren
Stefan 30/09/2021

Applicaties lijk bitwarden en een VPN zijn wel twee volledige verschillende dingen.
De eerste is een extra beveiliging laag en een wachtwoord database in 1, de tweede stuur je internet activiteit over een virtueel netwerk om zo je activiteiten te verstoppen niet helemaal correct maar om je een idee te geven.
Ook zijn sommige premium security suites, zoals diegene van Nod32 uitgerust met een beveiligde pagina te openen als het om PC banking gaat.

Nog een tip, gebruik een browser zoals firefox die standaard al veel scripts en allerlei andere dingen tegen houdt, zoals Facebook trackers en andere rotzooi.
Firefox geeft ook de mogelijkheid om een wachtwoord te generen die het zelf opslaat in de browser zelf en de mogelijkheid om een -master wachtwoord- te hebben daarboven op.

Nog een andere tip, ik heb twee emails eentje die ik gebruik voor vanalles en nog wat een andere exclusief voor dingen zoals paypal waarmee ik nergers elders registreer, deze blijven dan onbekend omdat ze dan niet in mailing lijsten terecht komen bij sites omdat security leaks in de vorm van dataleaks nog wel eens voorkomen.
Ik stuur gewoonweg automatisch al mijn mails van dat secundair email adres door na mijn primair, gaat gemakkelijk met gmail.

Log in om te reageren
marc marien 30/09/2021

heel goede en praktische info die ik weldra in de praktijk ga omzetten

Log in om te reageren
Sven Vande Broek 01/10/2021

Vooral doen Marc! More power to you :)

Log in om te reageren
BG 09/10/2021

Beste Sven,

Ik ben het 100% akkoord met de stelling dat een wachtwoordmanager beter is dan geen.

Met onderstaande zin ben ik het echter minder eens:

> Vindt u het eigenlijk wel oké dat u die – soms best wel vertrouwelijke –
> info ‘cadeau’ geeft aan een of andere Amerikaanse techgigant?

Ik begrijp waar u op aanstuurt (Google is een bedrijf dat enerzijds constant flirt met de grens van het ethische en ze publiceren ook Chrome: veruit ‘swerelds populairste internetbrowser), maar in een breder kader zijn fabrikanten van wachtwoordmanagers meestal ook Amerikaanse techbedrijven. Dat verschil is geen kwestie van password manager versus browser.

Het belang van wachtwoordpolitiek bestaat vooral in het kunnen kiezen om die informatie wel of niet te synchroniseren via de server van die softwarefabrikant. Synchroniseren is handig als je dezelfde wachtwoordkluis beschikbaar wil hebben op verschillende apparaten, maar die synchronisatie verloopt nu eenmaal via de servers van de fabrikant van dat stuk software. Of dat stuk software dan een wachtwoordmanager is of een webbrowser, maakt niet zoveel uit; beide stukken software zijn een gewild doelwit voor hackers, juist omwille van de gevoelige informatie die ermee kan gezien worden.

Als u het gebruiksgemak van synchronisatie over verschillende apparaten heen als vereiste hebt, dan is het vertrouwen in de fabrikant een noodzakelijk kwaad (vooral : vertrouwen dat die je wachtwoorden correct versleutelt op een manier dat ze die zelf niet kan ontcijferen). Met name als zo’n fabrikant de mogelijkheid biedt om een vergeten “masterpaswoord” te kunnen resetten, dan heeft men bewust een achterpoortje ingebouwd. Dat laatste is voor mij persoonlijk een indicatie van verhoogd risico, maar voor andere mensen kan dat juist een belangrijke optie zijn. Voor jezelf beslissen op een geïnformeerde manier is hier vooral van belang, en als beleggers ben je sowieso al met dat principe bezig als het op je aandelenportfolio aankomt, dus die ingesteldheid zou geen probleem mogen zijn.

Kies je ervoor om je wachtwoorden in een *lokale* wachtwoordkluis op één apparaat op te slaan en mogelijkheden tot synchronisatie uitschakelt, zit je het veiligst – op voorwaarde dat je deftige backups neemt, natuurlijk – maar voor veel eindgebruikers is dat vandaag de dag niet meer werkbaar. Ook een doe-het-zelf oplossing waarbij u zelf een synchronisatieserver en encryptie gaat opzetten en onderhouden is voor de gewone sterveling meestal niet weggelegd en brengt op zich ook weer andere risico’s met zich mee.

Ik hoop dat bovenstaande wat duiding heeft kunnen brengen.

Mvg,
BG

Log in om te reageren
Sven Vande Broek 11/10/2021

Beste BG,

Ja, er is altijd wel een aspect vertrouwen dat er bij komt kijken. (Nog beter zou zijn als de data van de wachtwoordmanager door een trusted third-party zou worden beheerd. Een beetje zoals dat voor authenticatie ook al gebeurt bij diverse online security providers (bv. met oAuth 2.0). Die zorgen ervoor dat jouw gegevens nooit bij de eigenaar van een website terechtkomt, ook al log je in op hun website. Je gegevens zitten dan veilig bij de derde partij en die partij deelt een token uit aan de website, zonder jouw inloggegevens met de website te delen.)

Bitwarden is opensource, als de privacy/beveiliging rond hun tool enigszins in gedrag komt, dan zal de brede vrijwilligerscommunity daar meteen opspringen. Ook is er een bug bounty program zodat problemen snel naar boven kunnen komen en pas publiek bekendgemaakt worden als er ook al een oplossing voor is. Jaarlijks laten ze ook een security audit uitvoeren. Tot slot, Bitwarden kan ook in een volledig afgesloten systeem via een Dockercontainer worden gebruikt.

Niets is 100% veilig, maar Bitwarden doet daarrond wel goed hun best :) Ze kennen ook geen enkel wachtwoord van jou. Dus als ze ooit gehackt worden en jouw info ligt op straat, dan hebben de hackers enkel een gehashte versie van jouw wachtwoorden, die enkel jij kan decrypteren.

Ik volg je redeneringen verder helemaal en dank je voor de bijkomende en behulpzame duiding :)

Log in om te reageren
Andy 24/10/2021

Ik gebruik al jaren Lastpass en zou eigenlijk ook eens moeten overstappen, sinds ze overgenomen zijn pesten ze hun free users. Al gebruik ik het meer om paswoorden te genereren, op mijn cellphone/tablet/pc dient Chrome immers al als password manager.

Eigenlijk zou zo’n LastPass app op de GSM totaal overbodig moeten zijn, je kan immers op de website inloggen. Het is dat hun website absoluut klote is op mobile.

Log in om te reageren
Emile Blanckaert 16/02/2024

Beste,

Ik gebruik nu dashlane betalend
Bied het bitwarden voordeel?
Ik zoek pastwoirdmabager fie ios windows kan syncroniseren wat id he asnbevrling?

Log in om te reageren
Ludo Grauls 07/03/2024

Ik gebruik Lastpass, 1 wachtwoord onthouden, en hij genereert ingewikkelde wachtwoorden, makkelijk. 100% veilig is er niks.

Log in om te reageren

Goede beslissing Christa! Merci te melden, altijd fijn om te weten dat mensen er ook echt geld aan verdienen!

ID nummer ingeven?

Ik denk eerder dat het gaat op G2XJ, deze staat momenteel op 34,4 euro.

Dag Jan, Ik kocht dit aandeel 11 maanden terug en dit staat nu reeds 57% hoger. Dank voor de tip!

Podcast altijd leuk, vanaf welke daling ga je eventueel bijkopen ?