Passwords Written on Sticky Notes

Unieke wachtwoorden, multifactorauthenticatie en OAuth. Noodzakelijk en eenvoudiger dan je denkt.

Eerder schreef ik Waarom je op iedere website een ander wachtwoord wilt gebruiken. Dit artikel vertelt hoe je dat daadwerkelijk in de praktijk brengt. Het is even wennen maar al snel gemakkelijker dan slechts een paar verschillende wachtwoorden gebruiken. En een heel stuk veiliger!

Naast verschillende wachtwoorden is het van belang om waar mogelijk een extra factor van authenticatie te gebruiken. Tenslotte vertel ik over technieken waarmee je gedeeltelijke toegang tot websites, applicaties en apparaten geeft – waaronder Open Authorization (OAuth).

Daarna rest jou niets dan er nu echt een halve dag voor uit te trekken en je wachtwoorden op orde te brengen.

In het boek “Pas op je passwords” leg ik uit waarom je voor iedere dienst een unieke wachtwoord wilt gebruiken en hoe je dat praktisch organiseert met Bitwarden.

Complexe wachtwoorden maken

De lengte van het wachtwoord bepaalt de sterkte. Hoe langer het wachtwoord, hoe langer het duurt om alle mogelijke combinaties te proberen.

Daarnaast speelt het een rol welke tekens je allemaal gebruikt. Stel dat je wachtwoord slechts één kleine letter zou zijn, dan zijn er 26 combinaties mogelijk: a t/m z. Met twee kleine letters neemt het aantal mogelijkheden toe tot 26×26=676 mogelijkheden: aa t/m zz. De combinatie van kleine letters met hoofdletters maakt met combinaties van aaa t/m ZZZ 523=140.608 mogelijkheden.

Op de website van GRC kun je uitrekenen hoe lang het duurt om een specifiek wachtwoord te kraken. Probeer dit niet met je eigen wachtwoord maar met een wachtwoord van soortgelijke sterkte. Iedere wachtwoordmanager kan sterke wachtwoorden voor je genereren.

Complexe wachtwoorden onthouden met een wachtwoordmanager

Die complexe wachtwoorden van minimaal 12 tekens kun je natuurlijk nooit onthouden. Zeker niet voor iedere website die je gebruikt. Daarvoor installeer je een wachtwoordmanager zoals Roboform, KeePass of LastPass. Een wachtwoordmanager maakt het gemakkelijk complexe wachtwoorden te genereren, onthouden en veranderen. De wachtwoordmanager vult ze zelfs automatisch voor je in!

Je webbrowser kan zelf misschien ook wel wachtwoorden onthouden maar daar kun je minder makkelijk bij als je overstapt op een andere webbrowser of je systeem opnieuw installeert. Daarnaast vult een wachtwoordmanager formulieren voor je in, handig voor bestellingen en het aanmaken van nieuwe accounts.

Een wachtwoordmanager werkt met een hoofdwachtwoord (master password) die toegang geeft tot de verzameling inloggegevens. Dit hoofdwachtwoord is het laatste wachtwoord dat je hoeft te onthouden. Dat wachtwoord hoeft helemaal geen speciale tekens te bevatten. Sterker nog: een wachtzin of wat willekeurige veelgebruikte woorden achter elkaar is voor een computer lastiger te raden. Neem als master password vier willekeurige woorden zoals “correct horse battery staple” uit onderstaande beroemde strip van xkcd. Let wel: willekeurige woorden achter elkaar, geen zinsnede uit een songtekst of bekende quote – die zijn gemakkelijk geautomatiseerd te proberen.

xkcd: password strength
Bron: xkcd: password strength

Natuurlijk is de wachtwoordmanager zelf zo een interessant doelwit. Wachtwoordmanagers hebben daarom allemaal voorzieningen getroffen zodat bij een eventuele hack jouw wachtwoorden niet op straat komen te liggen. Ze bewaren jouw wachtwoorden versleuteld. Dat betekent dat de mensen van LastPass je niet kunnen helpen als je je master password vergeet. Zij kunnen er met geen mogelijkheid bij. Bij het instellen van een wachtwoordmanager krijg je daarom de mogelijkheid om backupcodes af te drukken om in een dergelijke situatie bij je account te kunnen. Druk die af en bewaar ze goed, rekening houdend met het feit dat je portemonnee en smartphone gestolen kunnen worden. Vul een e-mailadres of telefoonnummer in als je die mogelijkheid hebt – het zijn hulpmiddelen om jou, ondanks een vergeten wachtwoord, te kunnen identificeren. Dienstverleners kunnen niet anders dan je de toegang tot je account ontzeggen.

Overweeg een manier om je naaste(n) toegang te geven zodat zij in geval van nood je digitale erfenis kunnen ontsluiten. Bijvoorbeeld door je hoofdwachtwoord met iemand te delen of deze in een gemeenschappelijk toegankelijke kluis te leggen.

Schakel daarnaast multifactorauthenticatie in.

Multifactorauthenticatie: wat je weet, hebt of bent

Steeds meer websites en applicaties bieden tweefactorauthenticatie. Andere moeilijke woorden voor (ongeveer) hetzelfde zijn multifactorauthenticatie en twee-staps-verificatie. Dat is een moeilijk woord voor een extra manier om na te gaan of jij bent wie je bent. Naast je inlognaam en wachtwoord heb je nog iets anders nodig om in te loggen. Gangbaar is om naast iets dat je weet (inlognaam en wachtwoord) te vragen naar iets wat je bij je hebt. Bekende voorbeelden van zo’n extra factor zijn TAN-codes, de random reader of een pasje van de bank.

Het meest gebruikelijk is dat je naast een inlognaam en wachtwoord een code overtypt die op je smartphone verschijnt. Die code ontvang je via sms of vraag je op in een app. Microsoft, Yahoo, PayPal, LinkedIn en Twitter gebruiken eigen oplossingen, meestal via een eigen app of sms. Nog laagdrempeliger zou een deel van jezelf zijn. Helaas blijken factoren die gebruik maken van “wat je bent” steeds onbetrouwbaar. Zogenaamde biometrische eigenschappen waarin onderzoek vordert zijn:

  • stemherkenning (voice recognition);
  • vingerafdrukken (fingerprints);
  • gezichtsherkenning (face recognition);
  • retinascan (iris scan recognition);
  • DNA.

Helaas blijken de meeste methoden, net als in de James Bond-films, toch op een of andere manier voor de gek te houden. De FIDO alliantie (Fast IDentity Online) wil wachtwoorden vervangen door een veilig en gebruikersvriendelijk alternatief. Steeds meer grote bedrijven sluiten zich bij deze alliantie aan dus wie weet horen we daar in de nabije toekomst meer over. Welke extra factor er ook aangeboden wordt, activeer het zodat je beter beschermd bent dan met alleen een wachtwoord.

Steeds meer websites en applicaties maken voor tweefactorauthenticatie gebruik van de Google Authenticator. Denk naast Google zelf aan Facebook, Evernote, WordPress en natuurlijk LastPass. Google Authenticator is een goede oplossing omdat deze samenwerkt met je mobiele telefoon. Die heb je immers (bijna) altijd bij je.

Als een website of applicatie Google Authenticator ondersteunt dan voeg je die eenmaal toe aan Google Authenticator door een QR-code te scannen of code over te typen. Google Authenticator levert je in vervolg een zescijferige code waar de website of applicatie na inloggen om vraagt. De code kun je zien via een app op Android, iPhone of BlackBerry, sms of door je op te bellen. Of op desktop/laptop met Twilio Authy.

LastPass en Google Authenticator

Je kunt Google Authenticator op meerdere apparaten tegelijk gebruiken, bijvoorbeeld op je tablet en smartphone of op de smartphone van je partner. Daarvoor scan of voer je de code bij de registratie van een nieuwe website of applicatie gelijktijdig op meerdere apparaten in.

Als je je smartphone kwijtraakt dan kun je bij het inloggen tweefactorauthenticatie uitschakelen. De website of applicatie stuurt je dan een mailtje met een link om het uitschakelen te bevestigen. Weer een voorbeeld van het belang van een goed wachtwoord op je e-mailaccount!

Applicatiespecifieke wachtwoorden: liever niet

Sommige toepassingen kunnen niet overweg met multifactorauthenticatie. Google heeft daarom de mogelijkheid om applicatiespecifieke wachtwoorden te genereren. Dat zijn wachtwoorden van 16 tekens die je maar één keer op je scherm te zien krijgt. Op die manier stimuleert Google dat je het gebruik van een applicatiespecifiek wachtwoord tot één toepassing beperkt. Je logt vervolgens in met je inlognaam en het applicatiespecifieke wachtwoord.

Hoewel de applicatie je échte wachtwoord niet te zien krijgt help je met deze “achterdeur” deels de multifactorauthenticatie op je account om zeep. Slechts deels omdat je, ingelogd met een applicatiespecifiek wachtwoord, het Google-account niet kunt overnemen door het accountwachtwoord te veranderen en multifactorauthenticatie uit te schakelen. Ingelogd met een applicatiewachtwoord heb je dus beperkte bevoegdheden met je account.

Bij het aanmaken van een applicatiespecifiek wachtwoord geef je in een omschrijving mee waarvoor je het gebruikt. Op basis van die omschrijving kun je op ieder gewenst moment de toegang weer intrekken.

Bescherm je apparaten tegen toegang door derden

Bijna altijd heb je de mogelijkheid om aan te geven dat je het apparaat waar je op dat moment mee werkt vertrouwt. Deze functionaliteit kun je gebruiken zodat je op je eigen computer, laptop, tablet en smartphone niet steeds een code in hoeft te typen. Meestal is de periode gelimiteerd tot een maand.

Omdat je op je smartphone, tablet of computer altijd bent ingelogd op diverse services, LOCK het apparaat. Zo kunnen mensen niet zomaar onder jouw naam websites en applicaties gebruiken of je wachtwoorden opvragen. Bijvoorbeeld:

  • Microsoft Windows: Windows+L
  • macOS: Ctrl+Shift+Eject
  • iOS (iPhone/iPad): Via Instellingen > Toegangscode en als je je smartphone vergeet op standby te zetten (aan/uit-knopje), ook Instellingen > Algemeen > Automatisch slot op bijvoorbeeld 2 minuten.

Je kunt iPhone/iPad zelfs om een wachtwoord in plaats van een pincode laten vragen als je dat op kunt brengen. Schakel via Instellingen > Toegangscode de optie “eenvoudige code” uit.

Bedenk dat je in geval van diefstal de toegang tot websites vanaf een specifiek apparaat kunt intrekken.

Overweeg Prey te installeren op je apparaten zodat je er via internet contact mee kunt onderhouden. Als je je apparaat kwijt raakt of het is gestolen dan kun je zo de locatie achterhalen en rapportages met screenshots en foto’s ontvangen.

Toegang verlenen met OAuth

Via Open Authorization (OAuth) geef je andere websites of applicaties over-en-weer toegang. In plaats van je inlognaam en wachtwoord maakt de website of applicatie gebruik van een zogenaamd token welke jij op ieder gewenst moment kunt intrekken.

Zo kun je met je Facebook-account inloggen in Spotify. Gemakkelijk voor jou als je al een Facebook-account hebt – met een druk op de knop log je door op Spotify. Gemakkelijk voor Spotify want die hoeft geen eigen systeem van inlognamen en wachtwoorden te onderhouden, inclusief het omgaan met vergeten wachtwoorden.

Een ander voorbeeld is het lezen van interessante artikelen met Pocket en die vervolgens bewaren in Evernote. De eerste keer dat je dat doet vraagt Pocket je om toegang tot je Evernote-account. Evernote laat duidelijk zien dat deze toegang een jaar geldig blijft.

Pocket OAuth Evernote

Helaas maken websites en applicaties vaak misbruik van de toegang die ze hebben. Bijvoorbeeld door zonder jouw expliciete toestemming berichten te plaatsen op Facebook, Twitter of LinkedIn ter promotie van de website of applicatie. Vaak kun je dat aan zien komen door goed op te letten welke toegang de applicatie of website je vraagt. Als Spotify je bijvoorbeeld vraagt om rechten om berichten op Facebook te plaatsen dan kun je die beperken tot berichten die aan jezelf zijn gericht.

Wat betreft het aanmaken van een account zijn er veel mensen die helemaal geen social media-account wíllen aanmaken. Daarnaast vertrouwen we organisaties zoals Facebook niet. We willen voor inloggen niet afhankelijk zijn van het voortbestaan van een sociaal netwerk zoals Facebook en hebben liever niet dat Facebook nog meer gegevens over ons verzamelt. Soms is OAuth de enige manier om een account aan te maken en moet je je erbij neerleggen of de dienst niet gebruiken.

Bij websites en applicaties die je juist in combinatie met social media wilt gebruiken is de afhankelijkheid prima.

Het mooie van OAuth is dat de toegang tot je account vaak gericht te beperken is tot bijvoorbeeld “alleen lezen” of “alleen nieuwe inhoud toevoegen”. Daarnaast kun je een token altijd weer intrekken. De applicatie of website kan vanaf dat moment niet meer bij je account, zónder dat jij je wachtwoord hoeft te wijzigen.

Eenzelfde systematiek kennen apps op smartphones en extensies in webbrowsers. Bij installatie of tijdens het eerste gebruik van een bepaalde functionaliteit vraagt de app of extensie je om toegang. Het gaat dan om toegang tot bijvoorbeeld het adresboek, je foto’s, camera of microfoon. Lees goed wat men vraagt en bedenk of dat logisch is voor hetgeen je met de app of extensie wilt bereiken.

Helaas blijkt OAuth nog onvoldoende bekend. Mensen blijven hun inloggegevens invoeren op verkeerde plaatsen en geven applicaties van derden daarbij toegang tot hun account. Als er weer eens een Twitter-account gehackt is blijken mensen verrast dat de ongewenste berichten onder hun naam door blijven gaan na het veranderen van het wachtwoord. Zij hebben dan het token van de OAuth-toegang niet ingetrokken.

Blijf opletten welke toegangsrechten een applicatie of website vraagt. En voer je daadwerkelijke inloggegevens alleen in op de website van een applicatie of website zelf.

Ben je benieuwd naar de applicaties en websites die op dit moment toegang hebben tot je account(s)? Klik dan eens door naar de opsommingen van Google, Twitter, LinkedIn, Facebook en/of Evernote. Trek de toegang van applicaties en websites die je niet (meer) gebruikt in. Apps vragen vanzelf wel opnieuw toegang indien nodig.

Voer unieke wachtwoorden en tweefactorauthenticatie met terugwerkende kracht door

Trek er een halve dag voor uit. Neem op iedere website een door de computer gegenereerd uniek wachtwoord van minimaal 12 tekens in gebruik.

Schakel waar tweefactorauthenticatie mogelijk is deze optie in (zie stappenplannen).

Zelf gebruik ik LastPass. LastPass Premium kost $1 per maand en levert wat kleine extra’s plus mobiele apps. De gratis versie voldoet voor de meeste mensen en is via de webbrowser prima op een mobiel te gebruiken. Inclusief Google Authenticator.

LastPass staat goed aangeschreven en reageert snel en open op security issues. Zowel issues die betrekking hebben op de dienst zelf als die van anderen. Zo kun je een Security Check uitvoeren op al je opgeslagen wachtwoorden. LastPass rapporteert zwakke wachtwoorden, wachtwoorden die je vaker hebt gebruikt en wachtwoorden die je al een tijd niet hebt veranderd. Daarnaast kan LastPass je vertellen of jouw gegevens op een uitgelekte lijst met wachtwoorden terecht zijn gekomen. Voor de Heartbleed-bug stelde LastPass een slimme lijst met websites beschikbaar met advies waar je wachtwoord te veranderen. LastPass liet de websites zien die je zelf gebruikt én gaf aan of de website klaar was voor de verandering van het wachtwoord.

Heb je geen overzicht van websites die je gebruikt? Neem LastPass in gebruik, deze vraagt je na inloggen de gegevens voor je te bewaren. Verander direct na het inloggen je wachtwoord naar iets complex. Laat LastPass het wachtwoord bedenken en voor je bewaren.

Veilig computeren: bescherm je wachtwoorden

Houd je aan de volgende regels om het risico en de gevolgen van het achterhalen van je wachtwoord zo klein mogelijk te maken:

  1. Installeer een wachtwoordmanager, zoals LastPass. Zorg voor één goed wachtwoord (of wachtzin met willekeurige woorden) voor de wachtwoordmanager welke je kunt onthouden en activeer tweefactorauthenticatie.
  2. Gebruik op iedere website een ander, complex, wachtwoord van minimaal 12 tekens, laat deze bedenken én onthouden door de wachtwoordmanager.
  3. Gebruik tweefactorauthenticatie waar mogelijk.
  4. Let goed op de rechten die je via systemen als oAuth geeft.
  5. Klik nooit zomaar op linkjes, typ het webadres van je bank of sociale netwerk zélf in en kijk of je het bericht daar terug kunt vinden.
  6. Zorg dat de sofware die je gebruikt up-to-date is. Wantrouw openbare computers omdat je niet weet wat daarop is geïnstalleerd. Wantrouw openbare wifi-netwerken omdat mensen die eenvoudig kunnen afluisteren.
  7. Lock je computer en scherm je smartphone en tablet af met een pincode of wachtwoord.
  8. Overweeg Prey te installeren op je apparaten zodat je er via internet contact mee kunt onderhouden.

En automatiseer je backup, anders maak je ‘m toch niet!

Een gedachte over “Unieke wachtwoorden, multifactorauthenticatie en OAuth. Noodzakelijk en eenvoudiger dan je denkt.

Geef een reactie

Je reactie verschijnt pas na goedkeuring. Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.