Hoe weet je of je wachtwoord op straat ligt?
Bedrijven hebben steeds vaker te maken met het verlies van gegevens door menselijk falen of diefstal door criminelen. Tientallen keren per jaar komt er nieuw datalek in het nieuws waarbij wachtwoorden zijn buitgemaakt. Hoe weet je of jouw wachtwoord daar bijzit? En hoe beperk je het risico?
Tip 01: Risico inschatten
Chatten, winkelen en bankieren: we doen steeds meer online. Criminelen weten dat en aangezien er voor hen steeds meer te halen valt, proberen ze constant digitaal in te breken. Daarom worden allerlei databases gehackt, om maar zoveel mogelijk wachtwoorden buit te maken en toegang te krijgen tot gegevens die geld op kunnen leveren. Bij een succesvolle hack kunnen tienduizenden accounts tegelijkertijd buitgemaakt worden. Wanneer het bedrijf de gegevens ook nog eens onversleuteld heeft opgeslagen, kunnen criminelen deze gegevens meteen gebruiken om in te breken.
Toch zijn het lang niet altijd criminelen die voor het lekken van gegevens zorgen. Soms hebben bedrijven hun ict-zaken niet op orde en lekken er gegevens door slecht ontworpen software of een onbeveiligde server. In dat geval is er misschien niet zo veel aan de hand en hebben kwaadwillenden het lek nooit ontdekt. Toch is het in alle gevallen beter om het wachtwoord te wijzigen bij het account van een bedrijf als er een datalek heeft plaatsgevonden.
In mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing geworden. Hierdoor zijn de regels voor het omgaan met persoonlijke gegevens strenger geworden en in Nederland controleert de Autoriteit Persoonsgegevens (AP) of bedrijven dit wel netjes doen. Als er een datalek is, moet dit ook bij de AP gemeld worden en zij stellen dan een onderzoek in. Op www.autoriteitpersoonsgegevens.nl kun je zien naar welke datalekken de AP onderzoek doet en zien hoe hoog zij het risico van het datalek inschatten.
Tip 02: Wachtwoord gelekt?
Daarnaast is er een aantal sites die grote bestanden met accountgegevens doorzoeken, zodat je kunt checken of je gegevens op straat liggen. Deze sites zijn gemaakt door goedwillende hackers die de databases van inloggegevens doorzoekbaar hebben gemaakt. Hierin kun je zoeken op jouw e-mailadres of gebruikersnaam en zien of jouw wachtwoord in het verleden bij een datalek is buitgemaakt.
Op de website www.haveibeenpwned.com kun je dit controleren. Op de website vul je in de grote zoekbalk jouw e-mailadres in en vervolgens krijg je alle datalekken te zien waar jouw accounts bijzaten. Hierbij staan uiteraard niet jouw wachtwoorden zelf, want dan kunnen kwaadwillenden de site gebruiken om toegang te krijgen tot je accounts. Er is alleen te zien welke accounts gekoppeld aan jouw e-mailadres onderdeel waren van een datalek bij een bedrijf.
Onder het kopje Passwords kun je wel zoeken op wachtwoorden en zien of je wachtwoord onderdeel is van een datalek uit het verleden. Hier staat alleen of en hoe vaak het wachtwoord voorkomt.
©PXimport
Pwned
De typische naam van de website komt van de term ‘owned’ wat door gamers wordt gebruikt als ze een tegenstander verslaan in een spel. ‘Pwned’ is een verwijzing naar het feit dat dit vaak niet goed getypt wordt en spelers de o voor de p verwisselen. Mogelijk is de maker van de website Have I Been Pwned ook een gamer.
Tip 03: Nederlandse lekken
De database van Have I Been Pwned is niet de enige plek waar gelekte data in verzameld wordt en deze database bevat ook zeker niet alle gelekte gegevens. De Nederlandse Politie is bezig met een eigen database. Bij het in beslag nemen van netwerkapparatuur van criminelen, vindt de politie doorgaans gelekte of gestolen gegevens, en wanneer mogelijk maken ze deze doorzoekbaar.
Hoewel deze database kleiner is dan die van Have I Been Pwned, is dit een handige bron om jouw account ook te checken. Je kunt hier kijken of je account erbij zit.
©PXimport
Tip 04: Wachtwoord wijzigen
Wanneer een dienst waar je een account hebt, gehackt wordt, is het altijd beter om meteen het wachtwoord te veranderen. Het kan zijn dat je gegevens niet bij het lek zaten, maar neem altijd het zekere voor het onzekere. Als het goed is, stelt een bedrijf je op de hoogte als er accountgegevens gelekt zijn.
Zorg dat je een nieuw, uniek wachtwoord aanmaakt. Wanneer je op meerdere plekken het gelekte wachtwoord gebruikt, zorg dan dat je álle accounts wijzigt. Gebruik niet voor elk account hetzelfde wachtwoord, sterk variërende wachtwoorden zijn veiliger. Wanneer er een lek is, hoef je alleen dat wachtwoord aan te passen en kunnen kwaadwillenden niet bij andere accounts.
Voor het maken van een veilig wachtwoord, kun je het beste een zin gebruiken. Dan is jouw wachtwoord altijd lang genoeg en kun je makkelijker zorgen voor een afwisseling tussen letters, cijfers en speciale symbolen. Bijvoorbeeld: DitW@chtwoord1SEenVoorbeeld!
©PXimport
Gebruik niet voor elk account hetzelfde wachtwoord, sterk variërende wachtwoorden zijn veiliger
-
Tip 05: Wachtwoordmanager
Om te zorgen dat je overal een veilig wachtwoord hebt, kun je een wachtwoordmanager gebruiken. Op die manier heb je overal een veilig wachtwoord, zonder dat je ingewikkelde codes hoeft te onthouden. Er zijn verschillende gratis wachtwoordmanagers beschikbaar die op een vergelijkbare manier werken. We kunnen het gebruik van 1Password, Sticky Password en LastPass aanraden. Voor dit voorbeeld gebruiken we LastPass.
Ga hiernaartoe om een account aan te maken bij LastPass. Hier moet je in het veld Hoofdwachtwoord een sterk wachtwoord invullen. Dit is het enige wachtwoord dat je hoeft te onthouden, voor al jouw andere accounts onthoudt LastPass het wachtwoord.
Eenmaal ingelogd bij LastPass kun je de accounts gaan beveiligen met een sterk wachtwoord. De wachtwoordmanager loopt in eerste instantie zelf een aantal accounts met je door, zoals die van Facebook, Google en Twitter. Daarna is het belangrijk om zelf na te gaan welke accounts je hebt en hier een nieuw wachtwoord voor aan te maken.
Het is het makkelijkste om dit te doen via de plug-in die beschikbaar is voor alle gangbare browsers. De plug-in vind je hier. Als de plug-in is geïnstalleerd, moet je inloggen met jouw e-mailadres en het hoofdwachtwoord. Wanneer je naar een site gaat waar je moet inloggen, herkent de plug-in de inlogvelden en vult deze aan als de gegevens van de site zijn opgeslagen in LastPass.
Wanneer de gegevens nog niet bekend zijn bij LastPass, kun je het best jouw wachtwoord wijzigen op de site. Wanneer je een nieuw wachtwoord moet invoeren, klik je rechtsboven op de LastPass-plug-in en klik je op Genereer wachtwoord. Hiermee wordt er een veilig wachtwoord gegenereerd dat je kunt kopiëren en plakken naar het veld waar het nieuwe wachtwoord ingevuld moet worden. Zodra het wachtwoord is ingevuld, vraagt de plug-in of de inloggegevens opgeslagen moeten worden. Klik op OK. De volgende keer dat je gaat inloggen, heeft LastPass onthouden wat het wachtwoord is en zal het dit automatisch invullen.
©PXimport
