Zijn wachtwoorden wel future-proof?
03-05-2022Sinds het begin van het internet en vanaf de eerste keer dat gebruikers zich moesten aanmelden op een apparaat, zijn wachtwoorden de oplossing bij uitstek. Het is voor ons daarom ook een tweede natuur geworden om ergens in te loggen met een gebruikersnaam én wachtwoord. Ondanks dat we er zo vertrouwd mee zijn, kun je de vraag stellen: “Waarom gebruiken we eigenlijk wachtwoorden en zijn wachtwoorden nog wel future-proof?” In dit blog deelt onze Privacy Officer, Maarten Bevers, zijn visie over dit onderwerp.
Waarom gebruiken we wachtwoorden?
Om de vraag te beantwoorden over de toekomst van wachtwoorden, kijken we eerst naar waarom we überhaupt wachtwoorden gebruiken. Dat is eigenlijk heel simpel: je moet aan kunnen tonen dat je bent wie je zegt dat je bent. Om dat in één woord samen te vatten, noemen we dit authenticeren (afgeleid van het woord authenticatie). Er zijn verschillende manieren om iemand te authenticeren. De meest gebruikelijke methodes zijn er om iets aan te tonen:
- Wat alleen jij weet;
Dit is de simpelste methode. Alleen jij weet dat je wachtwoord ‘Minoes2014!’ is en daarom weet je apparaat ook zeker dat jij degene bent die dat invoert. - Wat alleen jij hebt;
Iets wat alleen jij hebt, kan bijvoorbeeld een toestel of een USB-stick zijn. Denk bijvoorbeeld aan een verificatiecode die je ontvangt op je mobiel. - Wat alleen jij bent;
Iets wat jij bent, is bijvoorbeeld je vingerafdruk of een scan van je gezicht. Beiden zijn unieke kenmerken van wat jij bent.
Voor een simpele website of voor gemiddeld gebruik is de makkelijkste authenticatiemethode om iets te vragen wat alleen jij weet. Daar is immers weinig complexe technologie voor nodig, vergeleken met de andere methodes.
De keerzijde van wachtwoorden
Het nadeel van wachtwoorden, is dat ze soms eenvoudig te kraken zijn. Mensen delen bijvoorbeeld een wachtwoord met een collega of vriend. Ook kan een wachtwoord door een cybercrimineel gevraagd worden, denk bijvoorbeeld aan een phishingmail, nepsites. Of door spoofing, waarbij de cybercrimineel contact met je opneemt en doet alsof hij een bankmedewerker is, om vervolgens je wachtwoord te ontfutselen. Tot slot kan een wachtwoord gekraakt worden, wanneer een crimineel je wachtwoord simpelweg gokt.
De vraag: “Wachtwoorden worden dus gekraakt door het delen an sich?” is niet zo eenvoudig te beantwoorden. Het uitgebreide antwoord is:
Ja, wachtwoorden worden gekraakt door het gewenst of ongewenst delen hiervan met anderen. Maar bijvoorbeeld als je hetzelfde wachtwoord gebruikt voor al je accounts of te simpele wachtwoorden kiest (bijvoorbeeld Ajax1900). Een ander probleem is dat er wachtwoorden worden gestolen in bulk (via hacks in Dropbox, Facebook, Twitter, LinkedIn en andere platformen) die dan in een bulkbestand te koop aangeboden worden. Als je wachtwoord daarbij staat, kan deze dus weer geraden worden als de hackers zo’n lijst gebruiken.
En de laatste (minst gebruikte, maar wel bekende) methode is dat je wachtwoord letterlijk wordt geraden door gebruik te maken van een algoritme. Bijvoorbeeld: poging 1: a, poging 2: aa, poging 3; aaa, poging 4; baa, poging 5 bba… etc. Dit is vaak een hele trage methode, maar in onderstaand schema zie je dat niet geldt voor alle wachtwoorden. Korte wachtwoorden zonder variatie zijn binnen minuten te kraken. Bij langere en sterkere wachtwoorden met symbolen erin duurt het soms tientallen of duizenden(!) jaren voordat ze geraden zijn.
➜ Goede wachtwoorden, hoe verzin ik ze? In ons blog: Zo kies je een sterk wachtwoord geven we je handige tips.
Brute forcing voorkomen en je wachtwoord extra beveiligen met tweestapsverificatie
Dat gokken van wachtwoorden heet brute forcing, waarbij een computerprogramma in korte tijd heel veel bekende woorden gebruikt om wachtwoorden mee te raden. In het tabel hieronder zie je hoe snel een wachtwoord gekraakt kan worden, afhankelijk van de lengte en complexiteit van een wachtwoord.
Het is daarom belangrijk dat je een sterk wachtwoord maakt. Daarnaast kan een tweede factor helpen om je account extra te beschermen. Dat noemen we tweestapsverificatie (of ook wel multi-factor authentication, afgekort MFA) of tweefactorauthenticatie (2FA). Bij tweefactorauthenticatie gebruik je twee verschillende manieren om in te loggen. Bijvoorbeeld door op je telefoon een melding goed te keuren of een verificatiecode op te vragen. Daarmee combineer je dus iets wat je weet met iets wat je hebt. Doordat je op je telefoon ook nog vaak een gezicht- of vingerscan moet doen, combineer je zelfs drie verificatiemethodes.
Bij tweestapsverificatie gebruik je ook twee manieren om in te loggen, maar dit kunnen wel twee dezelfde factoren zijn: bijvoorbeeld een gezichtsscan én vingerafdruk.
Een andere extra authenticatielaag om veilig in te loggen, is met een One Time Password (OTP). Dit is een automatisch gegenereerd en eenmalig wachtwoord, bestaande uit een reeks getallen of tekens. Een OTP komt dan bijvoorbeeld binnen op je mobiel, iets wat je hebt.
(Nog) niet over op een password-less tijdperk
Dus, zijn wachtwoorden geschiedenis? Niet helemaal. Wachtwoorden zijn slechts één van de vele opties waarmee men zich kan authenticeren. Sterkte wachtwoorden blijven een vitaal onderdeel van het beveiligen van accounts en het verkleinen van de kans op cybercriminaliteit. Maak bijvoorbeeld een acroniem: “Ik heb een kat en hamster” wordt dan “Ikh3b1k@&h@mst3r!”. Of maak van een liedje een wachtwoord, bijvoorbeeld “I will walk 500 miles, wordt “IWW_500m!les”.
Op 5 mei is het World Password Day. We raden je aan om je wachtwoord dan zo sterk mogelijk te maken en om tweestapsverificatie of tweefactorauthenticatie aan te zetten. Zo zorg je ervoor dat ook jouw wachtwoord future-proof is!
Stel je vragen aan onze Privacy Officer
Heb je vragen over het opstellen of de bescherming van je wachtwoorden? Dan kan je altijd terecht bij LeasePlan Bank om vragen te stellen over je privacy en hoe we met je gegevens omgaan. Neem hiervoor contact op met onze Privacy Officer. Ook kan je onze Privacyverklaring raadplegen.
Maarten Bevers is onze Information Security Officer & Data Protection Officer (ISDPO). Hij zorgt ervoor dat de business en IT in de 1e verdedigingslinie van LeasePlan Bank en LeasePlan Corporation N.V. (het hoofdkantoor van LeasePlan) voldoende in staat zijn om goed geïnformeerde beslissingen te nemen, waarbij commerciële voordelen en potentiële risico's zorgvuldig worden afgewogen.
Meer lezen over je online veiligheid
Meer blogartikelen
- De evolutie van wachtwoorden
- Welke digitale voetsporen laat jij achter?
- De 7 grootste cyberdreigingen waar je alert op moet zijn
- Gids voor online veiligheid: Essentiële tips voor veilig internetten, digitaal winkelen en bankieren
- Hoe hackers AI gebruiken voor phishing