“Pfff, weeral aanmelden … Wat was dat stom paswoord nu ook alweer?”

Als deze zucht je bekend in de oren klinkt, dan hebben we een handige oplossing:

Met de hulp van een paswoordmanager kan je al je wachtwoorden veilig bijhouden en op de meeste websites ook wel automatisch voor jou laten invullen. Dat scheelt niet alleen een hoop tijd en gevloek, het helpt je ook om meer gedaan te krijgen in minder tijd! In dit artikel leggen we je stap-voor-stap uit wat je daarvoor moet doen.

Wereld vol wachtwoorden

Gebruikersnamen en paswoorden zijn alomtegenwoordig. Iedereen heeft er wel een paar dozijn tot zelfs enkele honderden. De Belg is daarbij best wel ongerust over online gevaren, maar gedraagt zich er helemaal niet naar … We hergebruiken onze wachtwoorden op meerdere websites en bewaren ze soms nog het liefst op sticky notes: “Onderzoek toont aan: Belg heeft maar één paswoord (en het hangt aan zijn computer).”

Misschien laat u uw gebruikersnamen en wachtwoorden al bewaren door uw browser? Dat is al beter dan op post-its, maar toch een opmerking daarbij. Vindt u het eigenlijk wel oké dat u die – soms best wel vertrouwelijke – info ‘cadeau’ geeft aan een of andere Amerikaanse techgigant?

Ook handig voor Spaarvarkens!

Ook op websites die met meerdere accounts werken, zoals Spaarvarkens.be, is een paswoordmanager echt wel handig! Spaarvarkens.be maakt gebruik van 2 accounts. Eentje voor deze gratis website waar u dit artikel op aan het lezen bent en een ander voor de community. Als ik mij eerst op de website van Spaarvarkens.be wil aanmelden om artikels te lezen en erna mij op de Spaarvarkenscommunity van de beleggingsclub wil aanmelden, dan kost me dat slechts enkele muisklikken :)

Tips

Dat kan u makkelijk doen door hier te klikken. Als u al aangemeld bent, zal je je wel eerst even moeten afmelden.

1. Klik hier om naar de community te gaan.

 

2. Vul je e-mailadres in en klik op “Volgende stap”.

 

3. Klik op “Wachtwoord vergeten”.

 

4. Controleer je e-mailadres en klik op “Reset aanvragen”.

In het ideale geval is een wachtwoord onmogelijk te raden door iemand anders, maar makkelijk door jezelf te onthouden en in te typen. Namen van kinderen, huisdieren en de naam van jezelf of je partner zijn uit den boze. Idem voor website- en bedrijfsnamen. Ook met objecten in je directe omgeving let je maar beter op (bv. bureau12 of paperClip9). Courante woorden, al dan niet met eenvoudige cijfers erna zijn niet sterk. Hopelijk heeft niemand van jullie dus spaarvarkens123 als wachtwoord op deze site.

Een wachtwoord mag dus niet relatief eenvoudig te raden of te kraken zijn. Ook de lengte van het wachtwoord speelt daarbij een rol. Des te langer, des te moeilijker het wachtwoord te kraken valt. Maar een wachtwoord hoeft nu ook weer geen 30 tekens lang te zijn. Dat heeft geen enkele zin. De complexiteit van een wachtwoord neemt snel toe als je ook gebruik maakt van zowel hoofd- en kleine letters, cijfers en symbolen.  Een lang wachtwoord is dus niet in alle gevallen noodzakelijk moeilijk te raden, denk maar aan wachtwoorden als IkWilNaarHuis, paswoord123456, mijnhondheetmax, azerty123 of zelfs 5478614587. Ook een ogenschijnlijk moeilijk wachtwoord als )0Y0uL1k€)0g5 (lees als DoYouLikeDogs) is door een hacker snel gevonden.

Hergebruik ook nooit hetzelfde paswoord voor meerdere websites! Niet overtuigd? Check dit lijstje van datalekken maar eens. Gelukkig maakt een wachtwoordmanager het je hierbij heel makkelijk: genereer bij iedere registratie op een website telkens een nieuw, willekeurig wachtwoord van 16 tekens: bv. !7^#MM8*hL88qC7a.

Als alternatief voor ononthoudbare wachtwoorden kan je ook woorden uit meerdere talen samen met cijfers/tekens telkens met elkaar afwisselen. Stel dat u van elpee’s houdt, dan is bv. Lantaarnpaal3313Pappagalli45Cover helemaal niet verkeerd en voor u makkelijk te onthouden. Neem daarbij minstens drie woorden. Want bij slechts twee, zoals voet8bal12 bent u er mogelijk snel aan voor de moeite. Mnemonics of ezelsbruggetjes zijn ook een alternatief, als ze maar lang genoeg zijn: nhsgiedwvvgjfzzajeab (na het sporten ga ik eerst douchen want van voetballen ga je flink zweten, zeker als je een aanvaller bent). Dergelijke wachtwoorden kan u ook gebruiken als het hoofdwachtwoord van een paswoordmanager, het enige wachtwoord dat je dan nog maar te onthouden hebt.

Laat ik één van de methodes eens toelichten. Hackers, script kiddies en internetcriminelen kunnen ook computerprogramma’s inzetten om wachtwoorden te raden.

Doorgaans werken die programma’s op een combinatie van brute rekenkracht (de zgn. brute force attacks, waarbij worden zoveel mogelijk combinaties achter elkaar eens worden geprobeerd) en (meertalige) woordenlijsten. Die lijsten worden bovendien nog eens aangevuld met miljoenen veelvoorkomende combinaties en wachtwoorden die door datalekken publiek werden.

Een omvangrijke lijst van e-mailadressen wordt ingeladen in het programma en vervolgens laten ze hun computers continue (weken tot maandenlang) wachtwoorden raden op een waslijst van websites. Het programma leert ondertussen hoeveel pogingen het mag wagen op een specifieke website vooraleer die website de verbinding voor een tijdje zal blokkeren. Ook die tijd, die vaak oplopend is, wordt geleerd door het programma om het raden te optimaliseren. Op sommige websites mag je bv. maar 3 pogingen doen en als daarbij het juiste wachtwoord niet wordt ingevoerd, word je 10 minuten geblokkeerd. Dat wordt dan bv. een uur als je na de tiende minuut opnieuw 3 keer mist.

Je kan je voorstellen dat er op deze manier af en toe wel eens iets gevonden wordt.

Veilig ben je als je wachtwoord uit 12 of meer willekeurige karakters bestaat en je daarbij gebruik maakt van zowel hoofd- en kleine letters, cijfers en symbolen als #,&,[,€,$,%,>. Zulke wachtwoorden zijn wel een hele opgave om te onthouden en ook lastig om in te typen. Gelukkig kan een paswoordmanager dergelijke wachtwoorden in een oogwenk voor je genereren, ze meteen bewaren en je nadien helpen met ze automatisch in te voeren. En omdat het voor een paswoordmanager helemaal niet uitmaakt of je nu 12 of 16 willekeurige karakters neemt als standaardlengte, kan je met een lengte van 16 echt wel gerust zijn dat het nooit geraden zal worden. Op de tabel hieronder zie je dat hackers daar best wel eventjes zoet mee zijn (1 biljoen jaar).

Bron: https://www.hivesystems.io

Een recent voorbeeld van hoe vertrouwen in techgiganten vervelend kan mislopen, is het relatief recente datalek bij Facebook (FB) waardoor heel wat mensen, ook in Vlaanderen, sinds april ongewenste smsjes krijgen. Ongeacht of de privacyinstelling voor uw gsm-nummer publiek of privaat stond, zo lijkt het. Die smsjes komen dan zogezegd van de Vlaamse Overheid, BPost, DHL, BNP, CardStop, Rode Kruis en noem maar op. Ze hebben allen maar één doel en dat is uw bankrekening zo snel mogelijk proberen leeg te zuigen (tot ze op uw daglimiet botsen, wat vaak toch nog 25.000 euro is). De criminelen achter deze valse smsjes trachten u te verleiden om op een link te klikken of door u een onzuivere app te laten installeren. Dus bedankt Facebook! Een dikke merci … Meermaals bewees het concern in het verleden dat het maar moeilijk veilig kan omgaan met uw gegevens en ogenschijnlijk lak heeft aan uw privacy: het Cambridge Analytica-datalek van 2018 (87 miljoen gebruikers).

Op de website BenIkErbij kan u trouwens checken of u 1 van de – maar liefst – 533 miljoen gelukkigen bent van het ‘cadeautje’ van Facebook. In Vlaanderen zijn drie miljoen gebruikers van het socialemediaplatform geïmpacteerd. Helaas diende minder dan 0,04% van hen klacht in tegen Facebook, zo blijkt uit dit artikel van eind juli. Het zou me dan ook niet verbazen dat een statistiek zoals deze de rechtbank haalt bij de argumentatie van de verdedigende partij. Iets in de aard van “99,96 % heeft er objectief gezien geen problemen mee?” Wie dat wil, kan overigens hier klacht indienen: https://www.gegevensbeschermingsautoriteit.be/burger/acties/klacht-indienen.

Kortom, het zou gewoon beter zijn als u uw gegevens stilaan zelf terug in handen krijgt. Met een paswoordmanager maakt u hierbij al een grote stap. Bijt even door en doe het gewoon vandaag nog! Zoek al je wachtwoorden bij elkaar en verstop ze in een paswoordmanager. Maar mocht deze stap voor u toch nog te groot zijn, volg dan op zijn minst de tip “Hoe ziet een goed wachtwoord er uit”.

Wie een e-mailadres heeft bij Gmail kan ook plusjes gebruiken bij het registreren op een website. Dat plusje mag je dan laten volgen door eender welk woord. Bijvoorbeeld [email protected] of [email protected]

Buiten de herkenbaarheid die dat geeft voor jezelf, helpt het ook om spam tegen te gaan. Stel dat ik mij registreer op een onbetrouwbare website die het snode plan heeft om de aan hen toevertrouwde e-mailadressen door te verkopen, dan ontdek ik dat snel en filter ik [email protected] wel snel even weg.

Niet alle websites laten het gebruik van plusjes toe, maar de meesten wel. Gebruik dus een plusje als het kan!

Dan komen bij jullie vast ook deze vragen regelmatig terug:

  • Wat was het paswoord weer voor … ?
  • Hoe kan ik inloggen op … ?
  • Waar vind ik de applicatie voor … ?
  • Bij wie moet ik weer zijn voor … ?

Met Bitwarden voor teams ($3/maand per gebruiker) of met LastPass ($3,90/maand per gebruiker) verdwijnt ook die productivitykiller. Je kan er buiten een persoonlijke wachtwoordenkluis ook een gedeelde kluis voor collega’s mee maken en beheren.

Uiteraard kan je ook groepen maken voor bepaalde collega’s en/of afdelingen, want niet iedereen moet ook alle gedeelde wachtwoorden kunnen zien. Dus als jullie op kantoor nog met “den paswoordenexcel” werken, dan kan die ook stilaan verdwijnen. Je collega’s of leidinggevende van het nut hiervan overtuigen zou niet al te moeilijk mogen zijn.

Met een wachtwoordmanager beheer je al je wachtwoorden met een enkel hoofdwachtwoord. Daarmee creëer je inderdaad het gevaar dat als iemand dan toch jouw hoofdpaswoord kan achterhalen (of als heel de winkel gehackt wordt), dat die persoon dan al jouw wachtwoorden daarna maar gewoon voor het oprapen heeft.

Die kans lijkt me echter heel erg klein. Tenzij je een zwak hoofdwachtwoord hebt natuurlijk.

Maar goed, onbestaand is dat risico niet. Gebruik dan een ‘opzoutcode’ (vrije vertaling van de informaticaterm ‘salting’) als je hierin graag wilt overdrijven. Niemand houdt je tegen om al je wachtwoorden in een paswoordmanager te plaatsen en er telkens je eigen toets aan te geven bij het automatisch invullen ervan. Zo kan je bv. op het einde zelf nog een extra teken plaatsen of na bv. karakter 7 jouw onraadbare opzoutcode toevoegen.

Stel dat jij de nucleaire codes van de VS beheert en dat jouw bewaard wachtwoord in de paswoordmanager deze is: !E8&%zc%GH3ouqaH. Wel dan zou je er dit van kunnen maken: !E8&%zcOH_NO!BOOM!%GH3ouqaH.

De voormalige president van de VS gaf eigenlijk zelf niet zo gek veel om wachtwoorden. Zijn belangrijkste uitspraken deed hij via Twitter en zijn wachtwoord raden daar bleek helemaal niet moeilijk. Nu u dit artikel doorneemt, beseft u vast dat het oude Twitterwachtwoord van Donald Trump (MAGA2020) vrij makkelijk te raden viel.

Nog een laatste tip: denk ook aan je gezin en familie en bewaar je hoofdwachtwoord op een veilige plek die door hen gekend is.

Bitwarden installeren

Er zijn heel wat gratis en betalende tools beschikbaar om je wachtwoorden te beheren. 1Password, KeePass, LastPass en Bitwarden behoren daarbij bij de besten. Lange tijd heb ik met LastPass gewerkt, maar een tijdje terug schakelde ik over naar Bitwarden. Hoe je je wachtwoorden van LastPass kan exporteren en ze importeren in Bitwarden, lees je hier.

Bitwarden is opensource en de gratis versie biedt eigenlijk wel alles wat ik nodig heb. LastPass biedt meer mogelijkheden en is ook wat gebruiksvriendelijker, maar is intussen enkel nog gratis beschikbaar op 1 toestel. Met Bitwarden heb je die beperking niet en kan je zowel op je telefoon als op je laptop gebruik maken van de gratis versie.

Dit filmpje van ComputerIdeeTV legt in klare taal uit hoe je Bitwarden kan installeren:

 

Hieronder vind je de links om Bitwarden te installeren. Ik hoop dat je het ook doet.

Voor uw pc of laptop: download de desktopapplicatie

Download Bitwarden voor Windows, macOS of Linux:

 

Voor uw gsm: download de mobiele app

Download Bitwarden voor Chrome, Safari, Edge of Firefox:

 

Bij het gebruik van tools heeft iedereen wel zijn of haar favorieten. Laat in de reacties hieronder weten welke tools of welke werkwijze jouw voorkeur wegdraagt :)

Deel dit artikel ook met uw vrienden, familie of collega’s. Ze kunnen er alleen maar mee geholpen zijn.