15 tips voor veilig inloggen

Overheidszaken, bankrekeningen, mailverkeer, cloudbestanden, beheerde apparaten … Als je er zo over nadenkt heb je best veel achter een inlog zitten. Intussen hoeven we niet meer uit te leggen dat je voor een veilig en uniek wachtwoord dient te zorgen. Maar er zijn andere zaken om in acht te nemen. Veilig inloggen hoeft helemaal niet altijd te betekenen dat het meer moeite kost.

1 Beter lang dan complex

De sterkte van een wachtwoord geeft aan hoe snel het geraden kan worden. Het is de functie van lengte x complexiteit x onvoorspelbaarheid. Omdat lange wachtwoorden moeilijk te onthouden zijn, wordt er vaak gegoocheld met de 96 tekens op het toetsenbord. Maar hackers raden geen wachtwoorden: ze gebruiken de computer en daarvoor maakt het niet uit of er een letter, hoofdletter, leesteken of cijfer staat. Voor een computer wordt het vooral lastiger als een wachtwoord langer is: elke extra positie maakt het wachtwoord exponentieel sterker. Een lange zin is daardoor beter dan een cryptisch wachtwoord, ook om te onthouden.

Een zin is makkelijker te onthouden dan alleen een wachtwoord.

2 Entropie

Met alleen een wachtwoordzin ben je er nog niet: computers zijn namelijk goed in het herkennen van woorden. Kies daarom niet voor spaties, maar streepjes of komma’s. Een dictionary-attack waarbij woord voor woord uit het woordenboek wordt gebruikt, is dan kansloos. Gebruik ook entropie. Entropie is de hoeveelheid wanorde in het wachtwoord. Een zin als ‘Ik woon in een huis’ is erg voorspelbaar, terwijl ‘ijler 100 leperd akolei kolkje’ ook te onthouden én minder kwetsbaar is. Zo’n onzin-zin maak je met Diceware. Je selecteert de woorden door telkens vijf keer met een dobbelsteen te gooien.

3 Offline versus online

Gebruik geen pen en papier, maar een wachtwoordmanager: een versleutelde digitale kluis beveiligd met een sterk hoofdwachtwoord. Er zijn offline en online wachtwoordmanagers. Bij een offline versie staan de applicatie en kluis op de pc, bij een online wachtwoordmanager draait alles in de browser via de cloud. Beide hebben voor- en nadelen. Offline heb je de gegevens slechts op één apparaat en ben je kwetsbaar bij malware. Online biedt standaard apparaatsynchronisatie, maar je moet wel de clouddienst vertrouwen en hopen dat deze niet gehackt wordt.

Beveilig je digitale kluis met een goed wachtwoord en mogelijk extra opties.

4 Noodgevallen

LastPass is een online wachtwoordmanager. Op de pc gebruik je de browser om je wachtwoorden te gebruiken. LastPass integreert met alle bekende browsers en vult dan de inloggegevens automatisch voor je in als je een site bezoekt. Doordat de wachtwoordkluis in de cloud staat, is deze altijd toegankelijk. Er zijn ook mobiele apps. LastPass biedt enkele leuke extra’s. Zo kan het de kwaliteit van jouw wachtwoorden beoordelen en kun je log-ins tijdelijk delen. Voor noodgevallen kun je anderen (tijdelijk) toegang verlenen tot je kluis.

Bij een noodgeval kun je een vertrouwde persoon toegang tot jouw digitale kluis geven.

5 Mengvorm

Enpass van www.enpass.io is een offline wachtwoordmanager, mét synchronisatie en apps. Enpass biedt je de mogelijkheid de lokale digitale kluis via de cloud te synchroniseren. Bij elke wijziging wordt de hele versleutelde kluis gekopieerd, dus niet alleen de wijziging. Zo gaat er dus nooit een niet-versleuteld wachtwoord over het internet. Je kunt zelf de clouddienst selecteren die je hiervoor gebruikt: Dropbox, Google Drive, OneDrive, Box, Map en elke vorm van WebDAV inclusief ownCloud. Enpass is gratis op Windows en Mac; voor de app betaal je een klein bedrag.

6 Hergebruik

Veel datalekken worden veroorzaakt door wachtwoordhergebruik bij meerdere websites en diensten. Nadat een site gekraakt wordt, kunnen hackers de gegevens hergebruiken. De oplossing is overal een uniek wachtwoord voor gebruiken, maar dat is met het grote aantal plekken waar je moet inloggen niet te doen. Minimaliseer het risico van hergebruik door het wachtwoord toch telkens op details te veranderen of gebruik een wachtwoordmanager. Hier kun je zoeken of jouw inloggegevens bij een van de laatste grote datalekken zijn buitgemaakt. Pas ze in dat geval zeker aan voor de betreffende site én alle plekken waar je hetzelfde wachtwoord gebruikt.

Controleer of jouw wachtwoord geraakt is door een datalek.

7 Wachtwoordreset

Ben je een wachtwoord kwijt, dan bieden veel online diensten de mogelijkheid het te resetten. Vaak moet je dan eerst een paar vragen beantwoorden, vragen waarvan je bij de registratie lang daarvoor zelf de antwoorden hebt gegeven. Noteer dus ook die vragen én de antwoorden in de wachtwoordmanager én bedenk dat een beetje hacker via Google al snel ook weet waar je moeder is geboren of wat je favoriete voetbalclub is. Ga je voor echt veilig, geef dan op elke controlevraag bewust een foutief antwoord – maar vergeet niet het opgegeven antwoord, liefst met de vraag, te noteren!

De antwoorden op controlevragen zijn vaak zo gevonden.

8 2fa

Een belangrijke stap om het inloggen veiliger te maken, is het toevoegen van een tweede factor voor de authenticatie. Naast het wachtwoord wordt er dan nog een bewijs gevraagd. Dat kan een pas zijn die je hebt zoals bij de pinautomaat, maar ook een sms-code. Andere bekende vormen van een tweede factor voor authenticatie zijn een vingerafdruk of een iris-scan. Steeds meer smartphones zijn tegenwoordig uitgerust met een vingerafdrukscanner, dus vooral van de eerste mogelijkheid zal steeds vaker gebruik worden gemaakt. Nadeel is dat je afhankelijk bent van de aanbieder van de dienst. Die bepaalt of en zo ja, welke vormen van multifactor-authenticatie worden toegestaan.

9 Veiliger en handiger DigiD

Om in te loggen op overheidssites gebruik je DigiD. Deze bijzonder gevoelige gegevens wil je goed beveiligen. Standaard bestaat DigiD uit een gebruikersnaam en een wachtwoord, optioneel kun je een sms-code toevoegen. Je kunt deze ook verplichten. Nog handiger gaat het met de DigiD-app. Installeer de app op de smartphone en log in op www.digid.nl. Ga naar Inlogmethoden en volg de stappen voor DigiD-app activeren. Als de registratie is voltooid, kun je inloggen door de qr-code op de DigiD-site te scannen.

10 Browserintegratie

Gebruik je een wachtwoordmanager, laat die dan niet alleen je inloggegevens bewaren, maar ze ook invullen. Dat maakt veilig inloggen makkelijker. Elke wachtwoordmanager kan dat, maar er zijn verschillen. Bij KeePass kun je een soort log-in scripten, maar dit werkt onhandig. Makkelijker zijn Enpass en LastPass. Deze twee hebben browserplug-ins, die – zodra je de website of online dienst opent – de juiste gegevens uit de beveiligde kluis halen en invullen.

Integreer de wachtwoordmanager in de browser door een extensie te installeren.

11 Browsermanager

Steeds meer browsers bieden een wachtwoordmanager, zoals ook Chrome. Log je in op een website, dan vraagt Chrome je of het inloggegevens voor je zal bewaren. Ben je ingelogd in Chrome, dan synchroniseer je de wachtwoorden tussen al je Chrome-apparaten, zoals je smartphone. De opgeslagen wachtwoorden beheren doe je via Chrome / Instellingen / Geavanceerde instellingen weergeven / Wachtwoorden beheren of online.

Gebruik je de wachtwoordmanager van de browser, schoon dan regelmatig de digitale kluis op.

12 Pincode

Windows 10 kent ook nieuwe inlogmethodes. Zo kun je in plaats van met een wachtwoord met een pincode inloggen. Dat lijkt minder veilig, maar is het niet. Op de achtergrond blijft het wachtwoord actief, het zit alleen veilig opgeborgen in de tpm-chip (Trusted Platform Module) op het moederbord. Als je de pincode intypt, wordt het wachtwoord uit de kluis gehaald en word je ingelogd zonder dat je het wachtwoord echt hebt ingetypt, en dat is veiliger. Door op elk apparaat een andere pincode te kiezen, kun je toch op al die apparaten je Microsoft-account met hetzelfde wachtwoord gebruiken. Overstappen op een pin gaat via Start / Instellingen / Accounts / Aanmeldingsopties / Pincode.

13 Afbeeldingswachtwoord

Behalve met een pincode kun je met een tekening inloggen. Handig wanneer jouw computer touchscreen heeft. Je typt dan geen wachtwoord of pincode, maar maakt een paar bewegingen op het beeld. Eventueel kies je een foto die als achtergrond dient. Een aanraakscherm is trouwens niet nodig, het kan ook met de muis. Net als de pincode maakt het afbeeldingswachtwoord het mogelijk eenzelfde moeilijk wachtwoord op meerdere apparaten te gebruiken, net zoals bij de vorige tip.

Een afbeeldingswachtwoord is vooral handig in combinatie met een aanraakscherm.

14 Yubikey

De Yubikey is een usb-stick voor tweefactor-authenticatie. De sleutel wordt gebruikt om de toegang tot computers en apparaten te beveiligen, maar ook applicaties als Keepass en diensten als Facebook, Google of LastPass. Raak de sensor boven op de Yubikey aan en een signaal wordt afgegeven aan de pc. Dit kan een bevestiging zijn dat jij dat apparaat hebt, maar bijvoorbeeld ook een reeks tekens die je gebruikt om je wachtwoord heel sterk te maken. De Yubikey heeft een hogere leercurve en ook niet elk of apparaat is ermee compatibel. Zorg ervoor dat je altijd een kopie van de Yubikey hebt én een mogelijkheid om bij problemen je account te resetten.

15: Zelf wachtwoorden kraken

De populairste technieken om wachtwoorden te kraken zijn ‘brute force’ en ‘rainbowtables’. Bij de eerste worden domweg alle mogelijke combinaties van cijfers, letters en leestekens geprobeerd tot het wachtwoord is gevonden. Dit duurt lang, maar is 100% trefzeker. Rainbowtables zijn sneller. Een rainbowtable is een tabel met alle bekende woorden en de hashes (de versleutelde vorm van mogelijke wachtwoorden). Laad rainbowtables en hashes in Ophcrack, een opensource-wachtwoordkraker, en al snel rollen de wachtwoorden eruit. Test je wachtwoorden zelf, Ophcrack is gratis te downloaden.

Gratis rainbowtables zijn meestal minder uitgebreid en voor oudere versleutelingen.