Hoe kiest u een sterk wachtwoord?

Voor het gebruik van zowat elke webdienst of cloudtool hebt u een wachtwoord nodig. Een van de meest gebruikte toegangscombinaties wereldwijd is nog altijd het niet al te cryptische ‘123456’. U doet toch beter?

Een wachtwoord moet moeilijk te voorspellen zijn door anderen. Kies dus niet zomaar voor de naam van uw huisdier of de geboortedatum van uw kind. Want zulke informatie ligt vaak ergens te grabbel op het internet, bijvoorbeeld op sociale netwerken zoals Facebook. Door allerlei letters, hoofdletters, cijfers, leestekens en symbolen (dollarteken, ampersand, vraagteken, …) door elkaar te gebruiken, creëert u minder voor de hand liggende combinaties. Ook de lengte speelt een belangrijke rol: elk extra karakter verlengt de tijd die nodig is om uw wachtwoord te achterhalen exponentieel.

Het nadeel van een complex wachtwoord is dat u wellicht zelf moeite hebt om het te onthouden. De combinatie op een Post-it noteren en die op het computerscherm plakken gebeurt helaas nog te vaak. Beter is om een (voor u voor de hand liggende) zin te bedenken, en die af te korten tot een samenstelling die voor anderen nonsens lijkt. Een voorbeeld: ‘Erik en Olga wonen samen met Bobbie in Sint-Niklaas’ kort u af tot €&0w$mBi$. Voor u makkelijk te memoriseren, maar voor een buitenstaander zo goed als onmogelijk te voorspellen.

Op een website als How Secure Is My Password of bij Kaspersky kunt u laten berekenen hoelang het zou duren vooraleer men erin slaagt uw wachtwoord te kraken. Ze baseren zich daarvoor op complexe algoritmes die hackers ook gebruiken. Het gaat om een indicatie, en de resultaten van beide sites zijn bovendien erg uiteenlopend. Volgens How Secure Is My Password zit u met €&0w$mBi$ goed voor twee miljard jaar. Kaspersky, een bedrijf dat beveiligingsoplossingen commercialiseert, houdt het op vier maanden.

Eén voor elke website

Het is ook sterk aan te raden uw wachtwoord geregeld te wijzigen. Zo voorkomt u dat uw combinatie bijvoorbeeld na maandenlange hackerspogingen toch wordt achterhaald. Te vaak wijzigen is ook niet goed: uit onderzoeken blijkt dat u zich dan laat verleiden om na een tijdje te voor de hand liggende samenstellingen te kiezen. Vermijd bovendien eenzelfde combinatie voor de verschillende webdiensten en cloudtools die u gebruikt. Want dat zou hetzelfde zijn als één sleutel gebruiken voor zowel uw woning, uw garage, uw tuinhuis, uw bankkluis, uw auto en uw fietsslot.

Voor elke account een afzonderlijk wachtwoord verzinnen is dus zeker niet overbodig. Maar hoe slaagt u er dan in al die combinaties te onthouden? Onmogelijk, denkt u wellicht. Toch niet. Een slim en eenvoudig trucje is achter uw vaste basiscombinatie de eerste drie letters van de overeenkomstige website te plakken. Voor LinkedIn wordt het dus €&0w$mBi$lin, en voor Facebook €&0w$mBi$fac. Op die manier wordt uw wachtwoord overigens nog langer, en dus veiliger. Volgens Kaspersky bent u daarmee voor vierhonderd jaar safe.

Alles in een kluis

U kunt er ook voor opteren al uw wachtwoorden onder te brengen in een wachtwoordmanager. Dat is een tool die ze allemaal centraliseert in een versleutelde digitale kluis. Die wordt beveiligd met een zeer sterk hoofdwachtwoord. Voorbeelden zijn LastPass en Dashlane: gratis onlinewachtwoordmanagers die al uw gegevens in de cloud bewaren, waardoor ze op meerdere apparaten kunnen worden gebruikt. Ze worden dus automatisch gesynchroniseerd met onder meer uw computer, uw tablet en uw smartphone.

Deelt u uw wachtwoorden liever niet in de cloud? In dat geval kunt u een offlinewachtwoordmanager zoals Enpass overwegen. Bij dat type staan de applicatie en digitale kluis lokaal op uw computer. U kunt die weliswaar via de cloud synchroniseren met andere toestellen. Bij elke wijziging wordt de versleutelde kluis integraal gekopieerd, zodat er nooit ongecodeerde wachtwoorden over het internet worden uitgewisseld. De meeste wachtwoordmanagers bieden de mogelijkheid uw inloggegevens automatisch in te laten vullen op de websites die u gebruikt.

Stel – zeker voor uw belangrijke accounts – indien mogelijk ook ‘verificatie in twee stappen’ of ‘twee-factor-authenticatie’ in. Daarbij wordt naast een wachtwoord nog een bewijs gevraagd, doorgaans in de vorm van een code die bij elke toegang opnieuw wordt gegenereerd. U ontvangt die meestal via sms op uw vooraf geregistreerde smartphone. Nog handiger is een app die de nodige codes voor u genereert, zonder gedoe met sms’en. Een aanrader is Authy. De applicatie is gratis en bestaat voor iOS en Android.

Wachtwoord gestolen?

Wilt u nagaan of een van uw wachtwoorden is gelekt? Dat kan via Have I Been Pwned?. U geeft er uw e-mailadres in, en de site doorzoekt databanken met gelekte adressen en wachtwoorden. Wordt uw e-mailadres daarin teruggevonden, dan ziet u meteen bij welke dienst het werd gelekt. Wijzig het bijbehorende wachtwoord zo snel mogelijk. Wilt u op de hoogte gehouden worden over lekken? Klik dan bovenaan op ‘Notify me’ en vul uw e-mailadres in.

Bij de HPI Identity Leak Checker geeft u eveneens uw mailadres in, maar krijgt u niet meteen het resultaat te zien. Als het teruggevonden wordt in een van de verzamelingen met gelekte wachtwoorden, dan ontvangt u een e-mail met de waarschuwing om uw wachtwoord te veranderen. Gebruikt u Google Chrome als internetbrowser? In dat geval kunt u de gratis extensie Password Checkup installeren. Wanneer u ergens inlogt met een wachtwoord, checkt die automatisch of het is gelekt.