Gebruik geen slechte wachtwoorden, gebruik een wachtwoordmanager.
Stephen Shankland/CNET
Opmerking van de redacteur: In het kader van World Password Day publiceert CNET een selectie van onze verhalen over het verbeteren en vervangen van wachtwoorden.
Als u een van de talloze mensen bent die onverstandig eenvoudig te raden wachtwoorden gebruiken of een wachtwoord voor meerdere accounts hergebruiken, hebben cyberbeveiligingsexperts een boodschap voor u: Het is niet jouw schuld. Het onthouden van een uniek, complex wachtwoord voor elke account is onmogelijk.
Maar dat is precies het soort klusje waar computers goed in zijn. Daarom raden veel cyberbeveiligingsexperts het gebruik van een wachtwoordmanager aan. Dat is een softwareprogramma dat wachtwoorden veilig opslaat en automatisch invult op inlogpagina’s. Ze helpen u elk van uw online accounts te beschermen met een sterk wachtwoord.
“Ik raad iedereen aan om het te gebruiken,” zegt Matias Woloski, chief technology officer van authenticatiebedrijf Auth0 en een expert in wachtwoordbeveiliging. “Wachtwoordmanagers zijn vandaag de dag het beste alternatief.”
Je hebt waarschijnlijk baat bij hulp van een wachtwoordmanager. Het meest gebruikte wachtwoord dat bij datalekken is aangetroffen, is nog steeds “123456”, volgens gegevens van cyberbeveiligingsbedrijf SplashData, en het op een na meest voorkomende wachtwoord is, uiteraard, “wachtwoord”. De gemiddelde persoon gebruikt slechts 13 unieke wachtwoorden, en bijna een derde zei dat ze slechts twee of drie wachtwoorden gebruiken voor al hun accounts, volgens een 2018-enquête van antivirussoftwarebedrijf McAfee.
Voor een bredere blik, bekijk CNET’s dekking deze week over wachtwoordproblemen en fixes zoals hardwarematige beveiligingssleutels, redenen waarom sommige oude regels voor het kiezen van wachtwoorden nu verouderd zijn en een waarschuwend verhaal over wat er mis kan gaan met een wachtwoordbeheerder.
Je hebt verschillende opties voor wachtwoordbeheer. Er zijn speciale tools zoals LastPass, BitWarden, Dashlane, Keeper en 1Password. Webbrowsers zoals Safari, Chrome en Firefox hebben ook ingebouwde wachtwoordcontroles die beperkter zijn, vooral als u meerdere browsers gebruikt, maar ze worden steeds geavanceerder.
Wachtwoordbeheerders kunnen helaas complex zijn en werken niet altijd soepel samen met websites en apps. Dat zou volgens het Pew Research Institute de reden kunnen zijn dat slechts 3% van de internetgebruikers primair vertrouwt op wachtwoordmanagers. Woloski stelt voor dat je aan de slag gaat met hulp van iemand die meer technisch is.
Toch kunnen wachtwoordmanagers u helpen op internet te navigeren met een stuk minder risico. Ook al komt de tech-industrie eindelijk met echte alternatieven voor wachtwoorden, en manieren om ze helemaal te dumpen, je zult nog steeds rekening moeten houden met tientallen, of honderden, voor de komende jaren. Wachtwoord managers kunnen helpen, zelfs als ze niet perfect zijn
Wat is een wachtwoord manager?
Wachtwoordmanagers genereren unieke, complexe wachtwoorden voor elke site, slaan ze veilig op en voeren ze in op verschillende browsers en computerapparaten. U kunt ze gebruiken als browser-extensies of mobiele apps die inlogpagina’s met uw gebruikersnaam en wachtwoord voor u invullen.
Er zijn tal van voordelen. Ten eerste hoeft u geen wachtwoorden te onthouden (behalve het wachtwoord voor uw wachtwoordbeheerder). Dat betekent dat u onaangename maar nuttige beveiligingsadviezen kunt opvolgen, zoals nooit een wachtwoord hergebruiken en altijd lange, complexe wachtwoorden gebruiken, zoals $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X.
Verder helpen wachtwoordbeheerders u te beschermen tegen phishing-aanvallen die u naar frauduleuze websites leiden en u proberen te verleiden om uw wachtwoord in te voeren. Wachtwoordbeheerders bieden uw inloggegevens alleen aan als u op de juiste website bent.
Ten slotte hebben veel wachtwoordmanagers functies die u vertellen wanneer een site een datalek heeft meegemaakt. Ze kunnen u ook vertellen of het wachtwoord dat u gebruikt is aangetroffen in een voorraad gestolen gebruikersgegevens, zoals ten minste 555 miljoen wachtwoorden. Dat zijn tekenen dat u uw wachtwoord onmiddellijk moet wijzigen. Wachtwoordmanagers kunnen u ook helpen zwakke of hergebruikte wachtwoorden te vinden.
Moet u al uw wachtwoorden op één plek bewaren?
Het standaardadvies is al tientallen jaren om wachtwoorden uit het hoofd te leren, dus het voelt een beetje verkeerd om ze op één plaats op te slaan. En het zou natuurlijk vreselijk zijn als hackers uw wachtwoordmanager zouden kraken en toegang zouden krijgen tot al uw accounts.
Toch heeft de beveiliging van wachtwoordmanagers bewezen robuust te zijn. Hackers hebben slechts beperkte vooruitgang geboekt bij het stelen van gebruikersinformatie van wachtwoordmanagers – een inbraak kwam bijvoorbeeld niet verder dan het compromitteren van de hints voor de LastPass-gebruikersbeveiligingsvragen – maar geen bekende aanvallen hadden toegang tot de caches met echte wachtwoorden.
Natuurlijk kunnen hackers die beveiliging uiteindelijk doorbreken, maar de kans is veel groter dat ze u met een phishing-aanval aanvallen om uw wachtwoorden te stelen, aldus Mark Risher, hoofd accountbeveiliging van Google. Bovendien beperkt het gebruik van een wachtwoordmanager de kans dat u in een phishing-aanval trapt.
Video: In een wereld van slechte wachtwoorden, kan een beveiligingssleutel uw nieuwe beste vriend zijn
Natuurlijk moet u voorzichtig zijn. Met al uw wachtwoord eieren in een wachtwoord manager mandje, zorg ervoor dat u een manier vindt om uw hoofdwachtwoord of geheime sleutel te onthouden. Het is OK om het op te schrijven, zolang je het maar ergens veilig bewaart. U kunt uw wachtwoorden ook exporteren naar een spreadsheet van tijd tot tijd, zolang u het wegsluit met encryptie (of een geprinte kopie in een afgesloten archieflade legt).
Als u de toegang tot uw account verliest, moet u voor al uw andere accounts het wachtwoord-resetproces doorlopen, wat een zeer grote hoofdpijn zou zijn.
Nadelen van wachtwoordmanagers
Helaas moet u rekening houden met moeilijke momenten bij het gebruik van wachtwoordmanagers. Alleen al het toevoegen van informatie van al uw bestaande accounts aan de service is werk, hoewel de meeste wachtwoordmanagers tools bieden om de gegevens uit uw browser of andere wachtwoordmanagers te importeren. En het kost extra stappen om uw wachtwoordbeheerder op uw telefoon in te schakelen.
Misschien wel het grootste probleem is dat sommige websites niet aardig spelen met wachtwoordmanagers, waardoor het soort lastige, onaangename problemen ontstaat dat je je computer uit het raam wilt gooien.
Wachtwoordmanagers merken bijvoorbeeld inlogvelden soms niet op. Of ze kunnen klungelen wanneer websites om extra informatie vragen, zoals een pincode of uw favoriete film.
Soms werken webpagina’s niet samen met wachtwoordbeheerders.
Brett Pearce/CNET
Erger nog, sommige websites blokkeren de functie voor automatisch invullen, waardoor wachtwoordbeheerders uw inloggegevens niet kunnen invoeren. Een Australische bank, CommBank, adviseert klanten om de gegevens van hun bankrekening niet op te slaan in een wachtwoordmanager. In een verklaring zegt CommBank de waarde van wachtwoordmanagers te zien, maar denkt dat hackers manieren zullen vinden om haar klanten te misleiden met geavanceerde phishing-plannen als ze wachtwoordmanagers gebruiken.
“Voor wachtwoorden voor online bankieren raden we klanten aan een sterk wachtwoord te maken dat uniek is voor elke account en dit niet op te schrijven,” zei een woordvoerder van het bedrijf. Toch zeggen beveiligingsexperts dat dit het veel waarschijnlijker maakt dat klanten zwakke of hergebruikte wachtwoorden zullen gebruiken.
1Password pakt autofill-blokkering aan door samen te werken met makers van webbrowsers die websites willen maken die de functie toestaan, zei Matt Davey, de chief operations officer van het bedrijf.
“Wat ze proberen te doen is om ze op een site-niveau te overschrijven, en toch autofill toe te staan,” zei Davey over browsermakers. 1Password zal ook rechtstreeks contact opnemen met websites en hen vertellen dat ze met het programma moeten komen en hun gebruikers moeten laten inloggen met een wachtwoordmanager.
Zelfs technisch onderlegde mensen worstelen met de wrijving van wachtwoordmanagers. Kimber Dowsett, een cyberbeveiligingsdeskundige die eerder NASA-systemen hielp beveiligen en nu werkt als directeur beveiligingstechniek bij software-infrastructuurbedrijf Truss, raakte onlangs gefrustreerd toen ze probeerde in te loggen op een bankwebsite. Ze moest haar inloggegevens handmatig invoeren, omdat de website haar wachtwoordmanager blokkeerde.
Er was nog een laatste probleem: ze kon niet zien of een karakterwachtwoord het cijfer nul of de letter O was, dus moest ze raden.
“Veel van de wrijving zou worden weggenomen als app-ontwikkelaars gewoon autofill en plakken toestaan, zodat we wachtwoordmanagers daadwerkelijk kunnen gebruiken zoals bedoeld,” zei Dowsett. “Het gooien van een sleutel in het is niet helpen niemand van ons.”
Wachtwoorden minder gebruiken
Er is goed nieuws op twee fronten. Het eerste is dat de makers van Chrome, Safari en Firefox hun eigen wachtwoordmanagers aan het uitbreiden zijn. Apple heeft er een in iOS ingebouwd en schakelt die standaard in. Het is OK om deze functies te gebruiken op apparaten die je controleert met een wachtwoord of biometrische login. Plus, ze zouden het digitaal opslaan van wachtwoorden meer mainstream moeten maken en mogelijk website-ontwikkelaars dwingen om aardig te spelen met functies zoals autofill en plakken.
Ten tweede kunt u dankzij nieuwe technologieën minder wachtwoorden gebruiken. Met biometrische kenmerken zoals uw vingerafdrukken en gezicht hoeft u minder vaak uw wachtwoord te tonen wanneer u een dienst opent. Single sign-on diensten laten u inloggen op een site met een andere account, zoals Google, Apple of Facebook. Je moet je wel op je gemak voelen om meer informatie over de diensten die je gebruikt met een van deze tech-titanen te delen.
Ter derde helpen multifactor-authenticatie, beveiligingssleutels en andere authenticatietechnologieën de tekortkomingen van wachtwoorden te verhelpen. Uiteindelijk hoeft u misschien helemaal geen wachtwoorden meer te gebruiken.
Deze innovatie zal wachtwoorden niet snel vervangen, zegt BigID CEO Dimitri Sirota, wiens bedrijf bedrijven helpt persoonlijke informatie te beschermen. Maar het begint af te brokkelen van de voorrang van wachtwoorden voor het veilig houden van uw accounts. En dat is een goede zaak, zei hij.
“Wachtwoorden zijn lange tijd de standaard geweest,” zei Sirota. “En niemand is er bijzonder blij mee.”
Voor het eerst gepubliceerd op 10 maart 2020 om 5:00 a.m. PT.