Veilig omgaan met wachtwoorden doe je zo
Veilig omgaan met wachtwoorden: als je het eenmaal goed ingesteld hebt, heb je er geen omkijken meer naar. Toch weet lang niet iedereen zich ertoe te zetten. We leggen je uit waarom digitale inbrekers uit zijn op je wachtwoorden en hoe je met een paar simpele stappen al je (online) accounts goed dichttimmert.
Er zijn zo veel online accounts met bijbehorende inloggegevens, dat er geen beginnen aan is om alles uit je hoofd bij te houden. Het is niet voor niks dat veel mensen terugvallen op hergebruikte wachtwoorden en wachtwoorden die (te) makkelijk te raden zijn. Het wordt hackers dan ook wel erg makkelijk gemaakt. Kraken ze het wachtwoord van een (onbelangrijk) online account, dan kunnen ze die vaak met succes toepassen op belangrijkere andere accounts, zoals je e-mail, betaaldienst of streamingdienst. Buitgemaakte accounts kunnen worden gebruikt voor identiteitsfraude of gegevensdiefstal.
Hackers proberen vaak via brute force (letterlijk vertaald ‘brute kracht’, oftewel het afvuren van talloze pogingen van allerlei inlogcombinaties op een site), hacken van de sites zelf of via spyware wachtwoorden te achterhalen. Dat is belangrijk om in het achterhoofd te houden: zelfs als je een ijzersterk, uniek wachtwoord gebruikt, kan je account gehackt worden. Hoe lastiger de barrières, hoe kleiner de kans. Denk hierbij aan sterke wachtwoorden, maar ook aan wachtwoorden die tijdig worden veranderd en tweefactorauthenticatie (2FA).
©PXimport
Eisen voor een veilig wachtwoord
Een wachtwoord dat zich lastig laat raden, is het veiligst. Bij het aanmaken van een veilig wachtwoord kun je stellen dat lengte en onvoorspelbaarheid van belang zijn. Maar als je geen wachtwoordkluis gebruikt – of juist een wachtwoord maakt om toegang te verkrijgen tot deze kluis – moet je deze wel kunnen onthouden. Door geen woorden te gebruiken, maar een combinatie van zo veel mogelijk willekeurige letters, hoofdletters, cijfers en leestekens maak je je wachtwoord zo veilig mogelijk. Een wachtwoord als 4Jk98#!FtZZ24*Bl@tGYxPZ6X is wel te maken, maar niet te onthouden. En zelfs al weet je dit in je hoofd gestampt te krijgen, voor al die talloze accounts die allemaal een uniek wachtwoord nodig hebben gaat dat de grootste bolleboos niet lukken. Dit benadrukt het belang van een wachtwoordmanager. Zonder de steun van zo’n wachtwoordmanager is het dus zaak om een balans te vinden tussen een wachtwoord dat zich lastig laat raden, maar ook te onthouden is. Het is ook mogelijk om de wachtwoorden ouderwets met pen en papier in een kladblokje te schrijven. Een kladblok is natuurlijk niet te hacken, maar berg het sowieso veilig op om er zeker van te zijn dat anderen het niet kunnen zien. Veel onlinediensten hebben een wachtwoordherstelfunctie. Mocht je het wachtwoord zijn vergeten, dan kun je daar altijd op terugvallen. Heb je een wachtwoordkluis, dan heb je deze herstelfunctie niet altijd. Houd daar rekening mee. Een kladblokje is dan handig om achter de hand te hebben. Pas op dat het kladblokje niet zoekraakt of verloren gaat.
©PXimport
01 2FA
Misschien doet de naam tweefactorauthenticatie (afgekort naar 2FA) niet direct een belletje rinkelen. Maar ongetwijfeld ben je er al mee in aanraking geweest. Bijvoorbeeld met de TAN-codes die de ING-bank naar je sms’te bij het internetbankieren of de sms-code die je opgestuurd krijgt om in te loggen bij DigiD. Het is een extra veiligheidshorde die je opwerpt voor het inloggen en voor je belangrijke accounts zeker van groot belang. Denk aan je e-mail (hier zijn immers al je online accounts aan gekoppeld), accounts met gekoppelde betaalgegevens (bijvoorbeeld Amazon, Steam) of profielen die gekoppeld zijn aan overige apparatuur, zoals je Google-, Apple- of Microsoft-account.
Je stelt 2FA in door in te loggen in je account en bij de instellingen de beveiligingsinstellingen te kiezen. Hier voeg je je telefoonnummer toe. Hierna kun je pas inloggen als je na het invoeren van je gebruikersnaam en wachtwoord de code ingeeft die naar je mobiel gestuurd is.
©PXimport
02 Authenticator
Een andere vorm van 2FA is door middel van een zogenaamde authenticator. In plaats van dat je een sms-code toegezonden krijgt, verschijnt deze code in de authenticator-app op je smartphone of tablet. Google en Microsoft bieden zo’n authenticator aan in de Play Store en App Store.
Smartphone en tablet
Natuurlijk denk je bij wachtwoordbeheer aan het inloggen op je online accounts. Het is ook van groot belang vergrendeling op je smartphone, tablet of laptop in te stellen. Wanneer je het apparaat verliest kunnen anderen makkelijk bij je accounts en gegevens. Ga hiervoor naar de beveiligingsinstellingen. Veel smartphones en tablets bieden de optie voor biometrische beveiliging zoals een vingerafdrukscanner of gezichtsherkenning. Dit is al prima, maar het maakt je wel afhankelijk van de techniek van anderen. Het veiligst ben je daarom met een lastig te raden pincode of wachtwoord.
03 Wachtwoordbeheer in je browser
Alle grote browsers hebben wel een ingebouwde wachtwoordbeheerder. Handig, want de automatische invulfunctie is geen overbodige luxe met al die accounts en bijbehorende wachtwoorden. Bovendien kun je de browsers met andere apparaten synchroniseren, zodat je je wachtwoorden paraat hebt op andere pc’s en zelfs op je smartphone of tablet. Apple doet dat via Sleutelhangertoegang. Hiermee synchroniseer je eenvoudig je wachtwoorden tussen alle Apple-apparaten, of het nu een Mac, iPhone of iPad is, inclusief de Safari-browser. Ook Firefox heeft een synchronisatiemogelijkheid en is beschikbaar voor pc’s (Linux, Windows en macOS), smartphones en tablets. Chromes synchronisatie verloopt via je Google-account, waardoor je je wachtwoorden synchroniseert met Android, ook buiten je browser. Dat is wel zo gebruiksvriendelijk. Wachtwoordbeheer is intussen wel een standaardfunctie geworden voor een browser. Ook andere browsers als Edge, Opera en Brave bieden deze functionaliteit aan. In deze cursus richten we ons op de grote drie: Chrome, Safari en Firefox.
04 Gevaren
Wachtwoordbeheer via je browser is relatief veilig. Het is vooral het gebruiksgemak dat het voor de hand liggend maakt. Toch zijn er gevaren. Als anderen achter je pc plaatsnemen, kunnen ze direct in al je accounts inloggen. Sterker nog, het is aan te bevelen even te checken of de hoofdwachtwoordfunctionaliteit aan staat, anders kan een ander met toegang tot je pc al je wachtwoorden kapen. Dat houdt ook in dat als je wachtwoorden in je browser opslaat, je ook altijd je systeem moet vergrendelen!
05 Chrome
De wachtwoordbeheerder van Chrome synchroniseert met je Google-account. Dat betekent dat je wachtwoorden niet alleen worden gesynchroniseerd via de browser, maar overal waar je met je Google-account inlogt. Je Android-toestel is bijvoorbeeld ook gekoppeld, waardoor je opgeslagen wachtwoorden ingevuld kunnen worden zodra je je aanmeldt in apps. Maar ook https://passwords.google.com geeft je een overzicht van al je opgeslagen aanmeldingen.
De Chrome-browser biedt een paar handige functies voor je wachtwoorden. Zo vind je namelijk in de Instellingen bij Privacy en beveiliging onder het kopje Meer de functie Waarschuwen als je wachtwoorden zijn gelekt bij een beveiligingslek. Dat is fijn om te weten, zodat je tijdig je wachtwoord kunt veranderen, mocht dat het geval zijn.
In dezelfde instellingen vind je bij Automatisch aanvullen je opgeslagen wachtwoorden. Gelukkig kun je deze niet direct uitlezen; Windows wil eerst dat je je identiteit bevestigt.
06 Firefox
Hoewel Firefox een wat minder diepe integratie heeft qua wachtwoordsynchronisatie in iOS en Android, synchroniseert de browser alle browsegegevens (inclusief wachtwoorden in de browser zelf). De browser is beschikbaar voor Windows, macOS, Linux, Android en iOS. Bovendien zet Mozilla, de organisatie achter Firefox, zich het meest in voor de privacy en veiligheid van zijn gebruikers.
Maar voordat we beginnen is er een instelling waar je meteen op af moet. Open de browser (in dit geval doen we dit op de pc), druk op het menuknopje rechtsboven en kies Opties / Privacy en beveiliging en vink Een hoofdwachtwoord gebruiken aan bij Aanmeldingen en wachtwoorden. Zodra je hier een sterk wachtwoord hebt, kun je je aanmeldingen veilig bewaren en synchroniseren. Dat synchroniseren gebeurt met een Firefox-account dat gekoppeld is aan je mailadres. Deze maak je aan bij de Opties / Sync.
Voor het beheren van je wachtwoorden kun je terecht als je het menuknopje indrukt en Aanmeldingen en wachtwoorden kiest. Bij al je opgeslagen wachtwoorden krijg je handig te zien welke diensten in het verleden mogelijk getroffen zijn door een datalek, waardoor het aan te bevelen is je wachtwoord te veranderen. Firefox’ wachtwoordbeheerder heet Lockwise en is eventueel ook als losse app verkrijgbaar in de Play Store en App Store.
©PXimport
07 Safari
Hoewel Safari niet bepaald de meestgebruikte browser is, ontkom je er haast niet aan als je een iPhone of iPad hebt. Gelukkig biedt Safari ook wachtwoordsynchronisatie, die niet alleen werkt op je mobiele Apple-apparaten, maar ook op je Mac.
Wil je op je iPhone of iPad je wachtwoorden synchroniseren, ga dan naar Instellingen / Apple ID / iCloud / Sleutelhanger. Zorg dat hier het vinkje is ingeschakeld.
©PXimport
08 Losse wachtwoordmanager
De veiligste optie om je wachtwoorden te beheren, is met een wachtwoordkluis. Zo’n programma of dienst lijkt erg op de wachtwoordmanager die in je browser zit ingebouwd, maar biedt meer veiligheid, zonder dat je hoeft in te boeten op gebruiksgemak.
Een wachtwoordmanager installeer je als plug-in voor je browser en als app op je smartphone. Niet alleen helpt zo’n manager je alle wachtwoorden te beheren, ook worden er veilige wachtwoorden voor je gegenereerd. Er is wel een puntje: om in je wachtwoordmanager te komen, heb je ironisch genoeg ook een wachtwoord nodig. Dat hoofdwachtwoord moet natuurlijk écht heel veilig zijn én moet je zelf in beheer houden. Houd daar rekening mee voordat je opeens geen toegang meer hebt tot je wachtwoordkluis.
Er zijn meerdere diensten die je veilig kunt gebruiken, zoals LastPass, 1Password, Dashlane en Bitwarden. Alle diensten hebben één ding gemeen: de inloggegevens worden online opgeslagen. Hoewel dat beveiligd gebeurt, geef je wel een stukje zekerheid uit handen. Wil je wel een wachtwoordbeheerder én volledige controle? Dan is KeePass een veilige optie. KeePass installeer je lokaal, zodat je alleen zelf toegang tot je wachtwoorden kunt krijgen.
Hoewel alle bovengenoemde opties met een gerust hart te kiezen zijn, gaan we in deze cursus verder met LastPass. Deze wachtwoordmanager is uitgebreid en gebruiksvriendelijk.
Wachtwoorden stelen
Online criminelen hebben meerdere manieren om je wachtwoorden te stelen. Dat gebeurt meestal door sites te hacken, wachtwoorden uit te proberen of door middel van phishing. Op een site als www.haveibeenpwned.com kun je nagaan of je gegevens buitgemaakt zijn bij een hack of datalek.
©PXimport
09 Aan de slag met LastPass
LastPass is een gratis wachtwoordbeheerder: gebruiksvriendelijk, veilig en betrouwbaar. Bij gratis diensten vraag je je mogelijk af wat het verdienmodel is; daarvoor heeft LastPass een premium-functie. Maar de gratis basis van LastPass biedt genoeg functionaliteit.
Ga naar www.lastpass.com en kies rechtsboven voor Aanmelden / Maak een account aan. Meteen kom je bij een belangrijke stap, want naast je e-mailadres moet je meteen een hoofdwachtwoord bedenken. Dat moet dus écht veilig zijn, want hiermee verschaf je jezelf toegang tot je wachtwoordkluis. De vereisten van LastPass voor het wachtwoord: minimaal 12 cijfers lang en minstens één cijfer, één kleine letter en één hoofdletter.
©PXimport
10 Browser-extensie
Nadat je een account hebt aangemaakt kunnen we de browserextensie installeren, deze is beschikbaar voor alle veelgebruikte browsers. Na de installatie klik je in je browser op het icoontje en log je in.
Het LastPass-icoontje in de browser biedt meteen toegang tot de kluis. Handig is bijvoorbeeld de optie Veilig wachtwoord genereren, waarmee je direct een nieuw wachtwoord genereert voor een site waar je een nieuw account aanmaakt of je wachtwoord wijzigt. Bij Mijn kluis openen kom je meteen bij je opgeslagen gegevens. Dat kunnen natuurlijk inloggegevens zijn, maar ook betaalgegevens en notities.
11 Wachtwoorden importeren
Het kan zijn dat je browser nog inloggegevens heeft opgeslagen en deze voor je invult. Handig is om deze direct naar de kluis over te brengen. Veel browsers en andere wachtwoordkluizen hebben een exporteerfunctie die je bij de instellingen van je wachtwoorden vindt. Deze kun je vervolgens weer importeren in LastPass door op het icoontje van je browser te drukken en vervolgens naar Mijn kluis openen / Meer opties / Geavanceerd / Importeren te gaan.
12 LastPass-app
De app van LastPass is zo ontwikkeld dat het zich dieper in het systeem van je smartphone of tablet nestelt. Zo kun je de wachtwoordmanager gebruiken bij het inloggen bij andere apps en in de browser. Handig! Je hoeft LastPass dus niet te openen om handmatig je wachtwoord op te zoeken en te kopiëren. LastPass is beschikbaar in de Play Store en App Store.
©CIDimport
13 LastPass in Android
Als je LastPass op je Android hebt geïnstalleerd en je bent ingelogd in de app, dan kun je de wachtwoordmanager instellen. Wanneer je een vingerafdrukscanner op je toestel hebt, vraagt LastPass of hij deze mag gebruiken voor het inloggen. Zo hoef je nooit meer een wachtwoord ergens voor in te voeren.
Vervolgens vraagt LastPass je voor aanvullende toestemmingen op je Android-toestel. Deze zogeheten Autofill-permissie zorgt ervoor dat LastPass zelf de inloggegevens voor je kan invullen. Anders moet je ze alsnog handmatig invoeren. Ook heeft LastPass een toegankelijkheidspermissie nodig om zo gebruiksvriendelijk te kunnen werken. Hoewel je nooit vrijgevig moet zijn met dergelijke permissies, kun je deze in dit geval veilig verlenen. Hierna heb je in de app alle beheermogelijkheden voor je kluis: toegankelijk én overzichtelijk!
14 LastPass in iOS
Wanneer je LastPass na het installeren van de app voor het eerst op je iPhone of iPad start, verleen je de app permissie om meldingen te mogen sturen. Aangezien het om een wachtwoordkluis gaat, is het wel zo handig om op de hoogte gehouden te kunnen worden. Vervolgens kun je je aanmelden met je account en hoofdwachtwoord. Na het inloggen vraagt LastPass of Face ID of Touch ID mag worden gebruikt om in te loggen. Dat maakt het gebruik van LastPass wel zo gebruiksvriendelijk.
Vervolgens vraagt LastPass of het automatisch invullen mag inschakelen, maar hiervoor word je (vanwege veiligheidsredenen) naar de instellingen doorgestuurd, zodat je dat zelf aan moet zetten. Ga in de app Instellingen naar Wachtwoorden en accounts / Vul automatisch in. Hier selecteer je LastPass. Vanaf nu kun je je in de browser en in apps aanmelden met de inloggegevens die je hebt opgeslagen in LastPass.
LastPass Premium
De gratis variant van LastPass is uitgebreid genoeg om je wachtwoorden van de nodige extra beveiliging te voorzien. Zoals aangegeven krijg je met een betaald abonnement ook 1 gigabyte aan beveiligde bestandsopslag, maar echt onmisbaar is de betaalde variant niet. De enige mogelijke extra die écht handig kan zijn, is de functie om een ander toegang tot je wachtwoordkluis te geven. In geval van nood kan een familielid of kennis dan alsnog bij je accounts komen.
©CIDimport
