Grote wachtwoordenschoonmaak: zo maak je al je accounts weer veilig
Eén hergebruikt of gelekt wachtwoord kan genoeg zijn om meerdere accounts te laten omvallen, zeker als je e-mailadres de sleutel is waarmee je andere wachtwoorden reset. De oplossing is een gerichte schoonmaak: eerst controleren wat zwak of gelekt is, daarna veilig vervangen en beter beheren met een wachtwoordmanager. We hebben een handig stappenplan voor je gemaakt.
Wat gaan we doen?
In dit artikel laten we zien hoe je je online accounts stap voor stap veiliger maakt met een gerichte wachtwoordenschoonmaak. Je begint met overzicht: welke accounts zijn echt belangrijk en waar staan je wachtwoorden opgeslagen? Daarna controleer je of je e-mailadres of wachtwoorden in datalekken zijn opgedoken. Vervolgens maak je sterke en unieke wachtwoorden en beheer je die met een wachtwoordmanager.
Ook kijken we naar extra beveiliging, zoals tweefactorauthenticatie en passkeys, en leggen we uit waarom hergebruik van wachtwoorden zo vaak tot hacks leidt. Tot slot lees je hoe je voorkomt dat je jezelf buitensluit uit je wachtwoordkluis en waarom het verstandig is om je accounts regelmatig opnieuw te controleren.
Het belangrijkste en allereerste dat je moet doen, is overzicht creëren. Doe je dat niet, dan is de kans groot dat je willekeurig je wachtwoorden gaat wijzigen en hierdoor later alsnog iets vergeet. Pak eerst je belangrijkste toegangen: je e-mailaccounts (werk en privé), je Apple/Google/Microsoft-account, je bankzaken, je sociale media en je accounts bij overheid en zorg. Noteer vervolgens waar je wachtwoorden nu leven: in je hoofd, in je browser, in een notitie-app, of verspreid over meerdere apparaten. Want lang niet iedereen kan zijn of haar wachtwoord onthouden, dus veel mensen gebruiken hiervoor vaak de automatische bewaarfuncties van de browser. In zowel Edge als Chrome kun je vinden wat er wordt opgeslagen via Instellingen / Wachtwoorden en automatisch invullen. In Firefox tref je deze aan bij Instellingen / Wachtwoorden en voor Opera ga je naar het menu rechtsboven en kies je onderaan voor Ga naar volledige browserinstellingen. Daarna kies je of zoek je naar Automatisch invullen en wachtwoorden. Denk ook aan accounts die je zelden gebruikt, zoals webshops of oude fora: juist daar hergebruik je vaak wachtwoorden omdat dat gewoon makkelijk is. Gebruik je bepaalde oude accounts niet meer? Laat ze dan niet zomaar actief, maar zeg ze op. Op die manier wordt de kans nog kleiner dat de inloggegevens op straat belanden bij een toekomstige hack.
Tweefactorauthenticatie is een beveiligingslaag die vereist dat gebruikers zich op twee verschillende manieren identificeren voordat ze ergens toegang toe krijgen. De voornaamste reden dat bedrijven massaal afstappen van enkel wachtwoorden, is de menselijke factor. Gebruikers kiezen vaak zwakke wachtwoorden of gebruiken hetzelfde wachtwoord voor meerdere diensten. Als één website wordt gehackt, liggen de 'sleutels' voor al hun andere accounts ook op straat. Met tweefactorauthenticatie of 2FA is er een dubbele barrière: je logt in met een gebruikersnaam en wachtwoord, en je krijgt daarna nog een extra code ter bevestiging op je telefoon, via een app of als sms-bericht. Die code vul je vervolgens in als extra beveiligingslaag, of je accordeert een melding in een authenticator-app op je telefoon. Voordeel? Jij bent de enige die de telefoon persoonlijk bij zich draagt en de code kunt overnemen of kunt accorderen. Het verifiëren van een code of accepteren van een melding kost misschien een paar seconden extra; het verkleint de kans op identiteitsfraude en accountdiefstal drastisch.
Controleer op datalekken
Nu je hebt uitgezocht welke accounts belangrijk voor je zijn, check je eerst of je e-mailadres voorkomt in datasets die bij criminelen circuleren. Dat bepaalt namelijk of je meteen moet handelen. De Nederlandse politie heeft een site waar je kunt controleren of jouw e-mailadres voorkomt in een database met gelekte gegevens. Ga in je browser naar het adres https://www.politie.nl/checkjehack en voer je e-mailadres in. Je ontvangt een e-mail als blijkt dat jouw e-mailadres voorkomt in de database; anderen kunnen dus niet zomaar controleren of jouw e-mailadres is gelekt. Bovendien geeft de informatie van de politie alleen maar aan of jouw e-mailadres gelekt is; het zegt niets over of jouw e-mailadres dan ook is gebruikt om bij een dienst in te loggen, hoewel die kans natuurlijk wel veel groter is.
Nu is de database van de politie niet de allergrootste en hij wordt onregelmatig bijgehouden. Je kunt het beste je e-mailadres ook nog eens checken op www.haveibeenpwned.com/, dat een tijdlijn van bekende datalekken laat zien. Daarnaast kun je zelfs zien of een bepaald wachtwoord is gelekt.
Een sterk willekeurig wachtwoord
Als je je bestaande wachtwoorden hebt geïnventariseerd, is het tijd om na te gaan welke wachtwoorden er veranderd moeten worden. Voor één of meerdere 'hoofdwachtwoorden' (zoals voor je wachtwoordmanager en je apparaat) is een wachtwoordzin handig: een lange, eigen zin met spaties die je makkelijk kunt typen maar die niet te herleiden is naar jou persoonlijk. Nederlandse richtlijnen noemen als vuistregel minimaal 12 tekens en waarschuwen expliciet tegen voorspelbare patronen en tegen nieuwe wachtwoorden die op oude lijken. Tegelijk is het goed om te weten dat moderne richtlijnen steeds meer nadruk leggen op lengte en het blokkeren van bekende slechte of gelekte wachtwoorden. Voor alle andere accounts kies je straks bij voorkeur volledig willekeurige wachtwoorden, eventueel gegenereerd door een wachtwoordmanager. Kijk ook eens naar de password generator van Bitwarden als je complexe wachtwoorden wilt genereren.
Bij veel aanvallen wordt niet gehackt met allerlei technische methoden, maar simpelweg ingelogd met combinaties van e-mailadressen en wachtwoorden die al eens zijn buitgemaakt. Die methode heet credential stuffing: criminelen voeren automatisch enorme lijsten met gelekte inloggegevens in bij populaire diensten zoals mailproviders, webshops en sociale media. Werkt jouw combinatie ergens, dan proberen ze dezelfde combinatie direct op andere sites, omdat ze ervan uitgaan dat mensen vaak wachtwoorden hergebruiken. Iemand die gehackt is, ziet om die reden vaak alles tegelijkertijd gebeuren: je ziet vreemde bestellingen, resetmails en inlogmeldingen op meerdere plekken. Daarom is de belangrijkste regel bij de grote schoonmaak niet 'maak het complex', maar 'maak het uniek'. Controle op datalekken via de eerdergenoemde sites van de politie en Have I Been Pwned helpt je om te bepalen waar het risico het hoogst is, maar het vermijden van hergebruik is de beste methode tegen hacks.
Kies een goede wachtwoordmanager
Een wachtwoordmanager is voor complexere en moeilijk te onthouden wachtwoorden eigenlijk een must. Je ontgrendelt één keer met je hoofdwachtwoord (en liefst extra beveiliging met tweefactorauthenticatie), en daarna kan de manager unieke wachtwoorden opslaan, invullen en genereren. Let bij de keuze voor een wachtwoordmanager op handige zaken als synchronisatie (worden alle wachtwoorden gesynchroniseerd op al je apparaten), op het delen binnen gezin of team, op eventuele toegang door derden zoals directe familie als je iets overkomt en op exportmogelijkheden: kun je de dienst verlaten en toch je wachtwoorden meenemen? We hebben een overzicht gemaakt van de meest populaire diensten van het moment en de functies die ze bieden.
| Wachtwoordmanager | Prijzen | Besturingssysteem | Smartphone | Browserextensies |
|---|---|---|---|---|
| 1Password | vanaf 4,39 euro per maand | MacOS / Windows / Linux | Android / iOS | JA |
| NordPass | gratis / 3 euro per maand | MacOS / Windows / Linux | Android / iOS | NEE |
| Dashlane | gratis / 4,26 euro per maand | - | Android / iOS | JA |
| Bitwarden | gratis / 1 euro per maand | MacOS / Windows / Linux | Android / iOS | NEE |
| LastPass | gratis / 2,90 euro per maand | MacOS / Windows | Android / iOS | JA |
| Keeper | gratis / 4,03 euro per maand | MacOS / Windows / Linux | Android / iOS | JA |
| RoboForm | gratis / 1,66 euro per maand | MacOS / Windows / Linux | Android / iOS | JA |
| KeePass | gratis (opensource) | MacOS / Windows / Linux | - | NEE |
| Enpass | vanaf 1,07 euro per maand | MacOS / Windows / Linux | - | JA |
| Sticky Password | vanaf 29,95 per jaar | MacOS / Windows / Linux | Android / iOS | JA |
1Password | NordPass | Dashlane | Bitwarden | LastPass | Keeper | RoboForm | KeePass | Enpass | Sticky Password
Vaak lees je op een site dat wachtwoorden 'gehasht' zijn opgeslagen. Hiermee wordt bedoeld dat ze zijn opgeslagen als een zogeheten hash. Een hash kun je het beste zien als een vaste vingerafdruk van je wachtwoord: de site kan jouw invoer weer hashen en vergelijken, zonder het originele wachtwoord op te slaan. Dat zorgt weliswaar voor extra beveiliging, maar uiteindelijk is ook deze te kraken. Als criminelen de database buitmaken, kunnen ze hashes offline kraken door er allerlei software op los te laten. Daarom zijn moderne wachtwoordhashfuncties ingewikkeld, waardoor het kraken ervan lastig en zwaar wordt; en uiteindelijk ook heel duur vanwege de benodigde hardware. Zie je in een datalek termen als MD5 of SHA-1, dan is dat extra zorgelijk: die algoritmen zijn snel en daardoor makkelijker te kraken.
Tijd voor de schoonmaak
Net als bij de meeste mensen is je primaire e-mailaccount waarschijnlijk de mailbox waar alle berichten over je accounts binnenkomen, dus het is eigenlijk zaak om het wachtwoord van dat mailaccount als eerste aan te pakken. Tip: bij onder meer Microsoft kun je in dezelfde mailbox ook verschillende aliassen aanmaken, zodat je wel dezelfde mailbox behoudt, maar wel gebruik kunt maken van andere e-mailadressen voor je accounts. Log in, verander het wachtwoord naar een door je manager gegenereerde variant, controleer je herstelopties (herstelmail en telefoon) en kijk of er vreemde doorstuurregels of apparaten gekoppeld zijn. Ga daarna naar je Apple-, Google- of Microsoft-account, omdat die vaak óók je wachtwoorden synchroniseren, en kijk of de synchronisatie is ingeschakeld en op al je apparaten gelijk loopt.
Tweede factor toevoegen
Bij de volgende stap kies je voor het aanpassen van al je betaal- en bankierdiensten online. De pincodes of wachtwoorden voor je smartphone-app(s) hoef je niet direct aan te passen, want die zijn gekoppeld aan je fysieke toestel in combinatie met het telefoonnummer. Pak je sociale media-accounts en daarna webshop-accounts aan. Als laatste pak je accounts voor bijvoorbeeld fora aan. Log bij al je browsers opnieuw in met de nieuwe wachtwoorden en laat – als je de wachtwoordmanager van je browser gebruikt – de inloggegevens bijwerken. En uiteraard voer je de nieuwe wachtwoorden ook door in je passwordmanager.
Maar zelfs met perfecte wachtwoorden blijft phishing (misleiding) een risico en daarom voeg je nu een tweede factor toe: 2FA. Steeds meer diensten vereisen dit; daarom zie je vaak meldingen met de vraag om snel over te stappen. Kijk bij al je diensten of je instelmogelijkheden kunt vinden voor 2FA, doorgaans vind je die terug onder opties genaamd Accountbeveiliging of Account security.
Als volgende stap kun je bij diensten die het aanbieden overstappen op passkeys: die vervangen (of ondersteunen) je wachtwoord met een cryptografische sleutel die veilig is opgeslagen op je telefoon, laptop of een hardware-beveiligingssleutel. Dat is nog net even een stapje veiliger dan alleen een wachtwoord, doordat er met een publieke en private sleutel wordt gewerkt.
Een wachtwoordmanager maakt je leven makkelijker, maar denk ook vooruit: wat als je telefoon kapot is, je laptop gestolen wordt of je hoofdwachtwoord even niet paraat is? Controleer daarom of je wachtwoordmanager noodtoegang of een herstelprocedure biedt en leg vast waar herstelcodes staan. Als je een offline kluis gebruikt, behandel die dan als belangrijke data: maak back-ups en test of je ze kunt terugzetten. Het zou eeuwig zonde zijn als je helemaal niet meer bij je accounts kunt komen en je overal wordt buitengesloten.
Blijf monitoren en bijwerken
Je oude accounts heb je opgeschoond en je wachtwoorden veranderd, maar het blijft alleen veilig als je routinematig je accounts en wachtwoorden blijft controleren. Zet waar mogelijk meldingen aan voor gelekte of zwakke wachtwoorden; browsers en managers bieden steeds vaker ingebouwde checks, zoals de wachtwoordcontrole in Chrome en Edge, die waarschuwt als een van jouw wachtwoorden ergens is gevonden. Doe daarnaast elk kwartaal een extra controle: kijk of er accounts zijn bijgekomen, of je nog ergens hergebruik ziet, en of je belangrijkste accounts nog steeds 2FA hebben. En natuurlijk kijk je ook naar de basis: zorg dat al je apparaten altijd up-to-date zijn wat betreft beveiligingsupdates en eventuele antivirus- en malwarescanners.
