veilige-paswoorden.jpg

juni 2021

Tips van een ethische hacker: zo maakt u veilige paswoorden

DitIsEenWachtwoord123 of azerty1111? Makkelijk te onthouden, maar ook makkelijk te hacken. Ethisch hacker en securityspecialist Pablo Brusseel geeft 6 tips om veilige wachtwoorden te maken en te beheren.

1. De basics: cijfers en letters, kleine en grote letters en speciale tekens

Wachtwoorden maakt u best zo lang mogelijk. “Hoe langer, hoe lastiger je het maakt voor een hacker”, vertelt Pablo Brusseel. “Een wachtwoord bouw je op met cijfers en letters, kleine en grote letters en speciale tekens. Vaak zetten we die speciale tekens, zoals een uitroepteken of vraagteken, achteraan. Hackers weten dit en houden hiermee rekening als ze wachtwoorden proberen te kraken. Zet speciale tekens dus niet alleen achteraan.”

Verander ook geregeld van wachtwoord. “Vermijd daarbij geheugensteuntjes zoals wachtwoorden die maanden of seizoenen bevatten. Lente2021!, Zomer2021! ... zulke paswoorden kraak je in minder dan een seconde.”

2. Gebruik voor elk account een ander wachtwoord

-Ytr(4**8BgoqH4&h of *2BdQW*jNcd?XwmNB)b: u kan dan nog een heel goed wachtwoord hebben, als u overal hetzelfde wachtwoord gebruikt, dan loopt u ook veel risico.

“Als een hacker je paswoord te pakken krijgt door bijvoorbeeld een datalek bij een bedrijf, dan zal hij dat paswoord zeker ook uitproberen om in te loggen in je mailbox, sociale media en andere accounts”, benadrukt Pablo. “Voor elk account maak je dus best een uniek paswoord. Paswoorden zoals DitIsMijnPaswoordVoorFacebook123! en DitIsMijnPaswoordVoorSpotify123! vermijd je best.”

3. Gebruik een wachtwoordgenerator en wachtwoordkluis

Misschien bent u zelf heel creatief in het bedenken van wachtwoorden. Maar creatieve wachtwoorden zijn niet altijd veilige wachtwoorden. Zelfs als mensen voor elk account een apart wachtwoord aanmaken, zit er soms nog ‘een rode draad’ in. Dat maakt het voor hackers en hun snufjes eenvoudig om (andere) paswoorden te raden. “Daarom laat je je wachtwoord best maken door een wachtwoordgenerator. Dat is een stukje software dat lukraak letters, cijfers en speciale tekens gebruikt om een wachtwoord te maken”, vertelt Pablo.

Een gemiddelde internetgebruiker heeft vandaag ongeveer 100 paswoorden, blijkt uit onderzoek van wachtwoordbeheerder NordPass (oktober 2020). En omdat we sinds de coronacrisis veel meer online actief zijn, hebben we meer paswoorden dan ooit. “Een handvol ingewikkelde wachtwoorden onthouden: dat lukt sommigen nog wel. Maar als je er tientallen of zelf 100 hebt, wordt dat onmogelijk. Daarom gebruik ik zelf een wachtwoordmanager - ook wel wachtwoordkluis genoemd - zoals LastPass, Keeper of 1Password. Het is een digitale kluis waarin je al je wachtwoorden opslaat. Het volstaat om één wachtwoord te onthouden om de kluis te ontgrendelen.”

Voor extra zekerheid gebruikt u best een wachtwoordkluis met tweefactorauthenticatie. “Hierbij maak je gebruik van een wachtwoord in combinatie met je smartphone. In de eerste stap log je met je wachtwoord in bij je account. In de tweede stap ontvang je een eenmalige code op je smartphone. Die code moet je dan op je account invullen om te kunnen inloggen. Naast een code kan dit op je smartphone ook met een vingerafdruk of via gezichtsherkenning.”

Overigens raadt Pablo tweefactorauthenticatie altijd aan als het beschikbaar is. “Het kost weliswaar iets meer tijd om in te loggen, maar aan de andere kant heb je toch altijd je smartphone bij de hand én ben je veel beter beveiligd.”

4. Browsers die wachtwoorden opslaan: goed idee of niet?

Pablo laat zijn browser zelf geen wachtwoorden opslaan. “Hoewel browsers zoals Google Chrome over een zekere vorm van beveiliging beschikken, is het gebruik van browsers om wachtwoorden op te slaan niet 100% waterdicht. Zeker als een hacker erin slaagt je computer over te nemen. Ik doe het alleszins niet.”

5. Begrijp de technieken die hackers gebruiken

Hackers gebruiken verschillende manieren om inloggegevens te stelen. Dit zijn de 3 belangrijkste:

  • Password spraying is een aanval waarbij de hacker probeert om met een reeks veelgebruikte wachtwoorden toegang te krijgen tot een groot aantal accounts.
  • Bij een brute force-aanval gebruikt de hacker trial-and-error om inloggegevens te raden. De hacker probeert alle mogelijke combinaties uit in de hoop het juiste resultaat te vinden. Om het proces te versnellen kan de hacker ook digitale woordenboeken gebruiken.
  • Bij keylogging gebruikt de hacker een programma (of een stuk hardware) om de toetsaanslagen en/of muisbewegingen van een gebruiker te registreren. Zo’n programma kan zich op je computer nestelen als je bijvoorbeeld op een link duwt in een phishing bericht.

Als je meer wil weten over de technieken die hackers gebruiken en over phishing, raadt Pablo aan om regelmatig naar safeonweb.be te surfen.

6. Gebruik antivirussoftware

Met een virusscanner kan je stukjes software opsporen die zich makkelijk laten verspreiden, bestanden aantasten of vernietigen, je toegang blokkeren of andere overlast veroorzaken. “Zelfs met gratis antivirussoftware zit je als particulier al goed. Daarmee maak je het hackers al een stuk moeilijker om met je gegevens aan de haal te gaan.”

Wie is Pablo Brusseel?

Als kind werd Pablo gehackt toen hij aan het gamen was. De jonge knaap was er zo ondersteboven van dat hij zich begon te verdiepen in alles wat met hacking en cybersecurity te maken had. Enkele diploma’s later richtte hij zijn eigen bedrijf Brussec Security op. Ondernemingen kloppen bij hem aan voor beveiligingsadvies, en om actief te zoeken naar gaten in hun eigen beveiliging. Dat doet Pablo bijvoorbeeld door (op vraag van de opdrachtgever) hun website te hacken, phishing mails naar medewerkers te sturen, of in de serverlokalen proberen binnen te dringen vermomd als medewerker van een telecombedrijf. Wat een nare ervaring als kind allemaal toe kan leiden!