Met de toegenomen rekenkracht van computers is het voor aanvallers steeds makkelijker geworden om kortere en minder complexe wachtwoorden te kraken met een brute-force attack. Daarom moeten we steeds langere wachtwoorden verzinnen die aan allerlei regegels moeten voldoen, zoals bestaan uit meerdere verschillende, niet opeenvolgende, letters, getallen en speciale tekens. Nadeel hiervan is dat het steeds lastiger wordt om alle wachtwoorden die we hebben goed te kunnen onthouden. Daarom hergebruiken we vaak wachtwoorden, of gedeeltes van of stukjes uit wachtwoorden. Een uitroeptekentje achter het vorige wachtwoord en we kunnen er weer even tegenaan! Dit maakt ons weer kwetsbaar voor zogenaamde ‘rainbow table attacks’: Hackers gebruiken lijsten met veelgebruikte wachtwoordcombinaties van tekens, woorden en combineren daarbij de rekenkracht van moderne computers.
Even in de praktijk: dan hebben we het over miljoenen woorden, zowiezo alle woorden uit het woordenboek. Ook de ‘e’-tjes vervangen door een 3 of een a voor een @ werkt hierin niet: dit trucje kennen de aanvallers ook en ook deze zijn opgenomen in deze gigantische lijsten die gebruikt worden in deze rainbowtable attacks. Als je hier zo over nadenkt... hoe veilig is dan jouw wachtwoord echt?
‘Daar heb je weer zo’n beveiligingsexpert die blijft zeuren over sterke wachtwoorden.’ Geloof me, we hebben hier goede redenen voor. De belangrijkste conclusies uit het jaarlijkse Identity Exposure Report 2022 spreken boekdelen:
- In 2021 werden 1,7 miljard inloggegevens misbruikt door cybercriminelen.
- 70 procent van de gebruikers gebruikte een jaar later nog steeds gehackte wachtwoorden.
- Het meest gebruikte wachtwoord was "wachtwoord" (!).
- 60% van de gebruikers hergebruikt wachtwoorden. Uit een Google-enquête bleek dat 52% wachtwoorden hergebruikt voor meerdere accounts.
- En slechts 20% van de gebruikers heeft een wachtwoordbeheerder.
Sterke en unieke wachtwoorden
Het is belangrijk om ervoor te zorgen dat alle wachtwoorden sterk en uniek zijn. Hiervoor zijn drie eenvoudige technieken:
- Gebruik een wachtwoordzin van minimaal 16 tekens of meer en voeg bij voorkeur spaties, dialect, niet bestaande woorden (of woorden met spelfouten!), uitdrukkingen, enz. toe. Bijvoorbeeld: Mijn energierekening is egt v333ls te hoog! (gebruik deze zin niet opnieuw!).
- Gebruik nooit dezelfde wachtwoordzin op verschillende platforms en deel deze nooit met iemand anders.
- Wijzig je wachtwoordzin als je vermoedt dat deze is gekraakt of iemand anders deze te weten is gekomen. Handige link om te checken of jouw password, e-mailadres of telefoon al eens in een datalek heeft gezeten is: https://haveibeenpwned.com/. Zit ‘ie erin? Wijzig ‘m dan!
Het feit dat maar één op de vijf internetgebruikers een wachtwoordbeheerder gebruikt, is echt onbegrijpenlijk en verontrustend. Met een wachtwoordbeheerder hoef je maar één te onthouden: een zeer sterke en unieke wachtwoordzin, want de software zorgt voor de rest.
Als het gaat om de IT-omgeving op de werkplek, is een wachtwoordbeheerder een betaalbare en heel effectieve maatregel waar de meeste organisaties prioriteit aan zouden moeten geven om in te investeren. Gelukkig zien we ook dat het steeds gebruikelijker wordt. Steeds meer mensen gebruiken ook privé een wachtwoordmanager.
We hebben net de 2023-versie van de Junglemap Information Security Awareness-cursus gelanceerd. Daarin gaat het om het vergroten van kennis en het behouden van bewustzijn van informatiebeveiliging - het hele jaar door. De manier waarop werknemers hun wachtwoorden beheren, is hierin zeker ook een belangrijk en jaarlijks terugkerend thema.
Met de juiste tools voor sterke en unieke wachtwoorden is het enkel nog een kwestie van ervoor zorgen dat iedereen het ook gebruikt. Als het om informatiebeveiliging gaat, is het niet alleen omdat de juiste technologie is geïnstalleerd (al is dat wel heel belangrijk!). Het gaat uiteindelijk om wat jouw medewerkers doen en hoe ze werken. Zeker ook met hun wachtwoorden. Daarom is (en blijft) bewustwording zo ontzettend belangrijk.