Het is vandaag (2 mei 2024) “World Password Day” oftewel “Wereld Wachtwoord Dag”. Een dag die is ingesteld om het belang van het veilig omgaan met wachtwoorden onder de aandacht te brengen.
Iedereen heeft meerdere internet accounts
Het antwoord op mijn vraag in de titel van dit artikel is een hele vette “JA”. Er gaat met het gebruik van wachtwoorden namelijk nog steeds heel veel fout met alle cyber-ellende tot gevolg.
Tijdens mijn Security Awareness presentaties vraag ik altijd aan het begin van het onderdeel “veilig omgaan met wachtwoorden” aan de deelnemers wie er met wachtwoorden werkt. Daar krijg ik dan natuurlijk altijd een lacherige reactie op. Da’s logisch natuurlijk. Maar vervolgens vraag ik aan de mensen hoeveel Internet accounts (zowel zakelijk als privé) ze hebben waarvoor ze een wachtwoord nodig hebben om in te loggen. Meer dan 10? Alle handen omhoog. Meer dan 20? Alle handen weer omhoog. Meer dan 30? Alle handen wederom omhoog. Meer dan 40? Dan gaan nog steeds de meeste handjes in de lucht. Als ik dan vraag: “Hoe onthoud je al die wachtwoorden dan?” is er altijd wel iemand met de bekentenis: “Ik gebruik gewoon voor een aantal accounts hetzelfde wachtwoord wat ik makkelijk kan onthouden”. Op mijn vraag waarom hij/zij dat doet is de reactie vaak dat het makkelijk is en omdat het anders onmogelijk is om ze allemaal te onthouden. Als ik dan vraag wie dat nog meer doet gaan wederom meestal alle handjes in de groep omhoog.
Zwakke wachtwoorden
En zo leg je dan een belangrijke kwetsbaarheid bloot waar ieder bedrijf mee te maken heeft. Medewerk(st)ers hebben tegenwoordig allemaal veel internet accounts, zowel zakelijk als privé. Ze gebruiken daarvoor zwakke, zelf verzonnen wachtwoorden die makkelijk te onthouden zijn. Diezelfde zwakke wachtwoorden worden vervolgens voor meerdere accounts (zowel zakelijk als privé) gebruikt.
Dit blijkt ook uit onderzoek: wachtwoorden als “123456”, “password”, “welkom01” en “Admin” staan in de top-10 van de meest gebruikte wachtwoorden ter wereld. Maar zo kun je ook een top-100 en een top-1000 van de meest gebruikte wachtwoorden via google vinden.
Inloggen in een account
We kennen de procedure allemaal. Voor het inloggen heb je een Username (gebruikersnaam) en een Password (wachtwoord) nodig. Je vult ze in op een inlog-scherm en je krijgt toegang tot je account.
Helaas is het tegenwoordig niet veilig genoeg meer om in te loggen met uitsluitend een Username/Password combinatie. Hackers weten dat de meeste mensen hun e-mail adres als Username gebruiken. Wat gebeurt er dan als jouw wachtwoord bijvoorbeeld ergens bij een datalek openbaar wordt? De hackers krijgen dan met jouw e-mail adres en het wachtwoord eenvoudig toegang tot je account(s).
Phishing
Maar er zijn meer gevaren die op de loer liggen.
Zo kun je bijvoorbeeld een phishing e-mail ontvangen die lijkt van een populair internet account (bijv. Gmail) af te komen. In die mail staat informatie die jou triggert om op een link te klikken. Bijvoorbeeld door nieuwsgierigheid gedreven klik je op zo’n “valse” link en dan kom je in een inlogscherm van het desbetreffende internet account. Of je komt op een inlogscherm van Microsoft. Dat dénk je tenminste. Ieder inlogscherm kan namelijk eenvoudig worden nagemaakt. Als jij dan denkt in te loggen bij Microsoft met je Microsoft inlog gegevens of bij Gmail met je Gmail inlog gegevens geef je je inloggegevens dus gewoon direct weg aan de hackers die achter dat nep-inlogscherm zitten.
Extra factor benodigd bij het inloggen: Iets wat je in je bezit hebt
Om het inloggen dus veiliger te maken heb je een “extra factor” nodig. Die extra factor moet je krijgen door middel van iets wat je in je bezit hebt.
De oplossing hiervoor: Multi Factor Authenticatie (MFA). MFA kun je bij de meeste Internet-accounts simpelweg inschakelen in de instellingen van de desbetreffende account. Als je MFA hebt aangezet ontvang je bij het inloggen automatisch (na het invoeren van je Username/Password) een unieke code op je telefoon. Dat is dus die “extra factor”. Die code (6 cijfers) voer je vervolgens in om veilig toegang te krijgen tot je account. Als een hacker dus jouw Username/Password combinatie heeft gestolen kan hij/zij nog steeds niet inloggen, want je telefoon is ook benodigd om in te kunnen loggen. Het is een sterke, extra laag van beveiliging waarmee je het risico dat onbevoegden in jouw accounts inloggen drastisch verlaagt.
Wachtwoorden onthouden: gebruik een goede wachtwoordmanager
Naast het gebruik van MFA is er nog een belangrijke maatregel te nemen om te voorkomen dat er onbevoegd ingelogd kan worden in jouw (zakelijke én privé) Internet-accounts.
Een ijzersterk wachtwoord (hoe langer hoe sterker, gebruik van hoofd- en kleine letters door elkaar, leestekens, cijfers, niet makkelijk te raden, etc.) is waardeloos als je dat wachtwoord niet goed en veilig bewaart. Als je zo’n sterk wachtwoord op een Post-It schrijft en op je beeldscherm plakt verliest het direct z’n kracht.
Maar ook boekjes/schriftjes en spreadsheets (liefst met de naam “wachtwoorden” op je bureaublad) zijn voorbeelden van hoe het gillend mis kan gaan met de bescherming van jouw wachtwoorden. Een wachtwoordmanager is hiervoor een goede oplossing.
Wachtwoordmanagers bestaan al vele jaren en ze zijn vaak gratis voor privé gebruik. Je kunt al je vertrouwelijke Username/Password combinaties opslaan in jouw digitale kluis die veilig (encrypted, versleuteld) wordt opgeslagen. Ik gebruik zelf ook al jaren een wachtwoordmanager en ik hoef me dus geen zorgen te maken dat ik een wachtwoord vergeet.
MindYourPass
Recent ben ik overgestapt naar een nieuwe, revolutionaire wachtwoordmanager. MindYourPass is een wachtwoordmanager die werkt op basis van unieke (gepatenteerde) Nederlandse technologie.
MindYourPass lijkt qua functionaliteit op een gewone wachtwoordmanager, maar het biedt bedrijven veel meer functionaliteit om inzicht te krijgen in het gebruik en de veiligheid van de gebruikte wachtwoorden in de organisatie. Het bijzondere van MindYourPass is dat er géén wachtwoorden worden opgeslagen. Jouw wachtwoorden zitten dus niet in een digitale kluis. MindYourPass genereert door middel van een gepatenteerde technologie elke keer opnieuw jouw wachtwoord op het moment dat jij het wachtwoord nodig hebt. Dat MindYourPass telkens opnieuw hetzelfde wachtwoord kan genereren zonder deze gevoelige informatie te bewaren maakt MindYourPass extra veilig en uniek. De wachtwoorden die MindYourPass genereert zijn super veilig (128 tekens of korter als je account dat niet accepteert). Tevens biedt MindYourPass bescherming tegen phishing, aangezien het kleinste verschil in een URL van een inlogscherm wordt herkend als “niet echt”. Met MindYourPass ben je ook klaar voor de eisen die gelden voor NIS2 en BIO 2.0 op dit gebied.
Het gebruik van de MindYourPass Password Generator is gratis voor persoonlijk gebruik. Op mijn website is meer informatie te vinden en aan te vragen over MindYourPass:
https://www.kochconsultancy.nl/security-awareness/mindyourpass
Samenvattend
Wil je veilig werken met wachtwoorden, neem dan de volgende punten ter harte:
· Gebruik sterke wachtwoorden (min. 15 tekens, hoofd/kleine letters, leestekens, cijfers, niet makkelijk te raden)
· Gebruik altijd unieke wachtwoorden voor ieder account
· Deel je wachtwoorden niet met anderen
· Verander je wachtwoorden regelmatig
· Gebruik MFA (Multi Factor Authenticatie) in combinatie met een authenticatie-app
· Gebruik een goede wachtwoordmanager om je te helpen bij het beheer en veilig opslaan van je inloggegevens.
Reactie plaatsen
Reacties