Uit een onderzoek van NISTblijkt dat generale internet gebruikers last hebben van internetvermoeidheid.
Wat een term! Toch ben ik het blakend met ze eens. Waarom moeilijk doen als het makkelijk kan? Waarom ontzettend complexe constructies bedenken als ik overal dezelfde wachtwoorden voor kan gebruiken?
Natuurlijk komt van de andere kant de reactie van security professionals die aangeven dat elk wachtwoord anders moet zijn, ze minimaal 12 of zelfs 14 tekens lang moeten zijn en wat voor gevaren er wel allemaal niet bestaan. Ik, als security consultant, heb zo ook mijn eigen mening :).
Wat beschermt jouw wachtwoord?
Om mijn perspectief over het onderwerp goed uit te leggen maak ik gebruik van één vraag: Wat beschermt jouw wachtwoord? Ben jij CEO van een grote financiële instelling en geeft jouw wachtwoord toegang tot inzicht in cijfers waarmee, indien uitgelekt, concurrenten veel geld kunnen verdienen? Ben jij de HR directeur van een groot telecombedrijf en beschermt jouw wachtwoord de gegevens van al je werknemers en wellicht klanten? Ben jij de kern fysicus en geeft jouw wachtwoord toegang tot het beheren van een grote kerncentrale? Je raadt het al; een streng wachtwoordbeleid zou hier van toepassing moeten zijn. Sterker nog, deze mensen en mensen in vergelijkbare posities zouden sowieso goed ingelicht moeten worden zodat ze thuis net zo aandachtig bezig zijn met security als op het werk. Maar, ben jij een medewerker van de lokale bloemist en beperken jouw wachtwoorden zich tot toegang naar nu.nl, dumpert.nl en anwb.nl dan hebben we het over totaal iets anders.
Security awareness
Uiteraard moeten werk-gerelateerde zaken geregeld worden door het werk zelf. Elk bedrijf zou een wachtwoordbeleid moeten hebben dat past bij de functie en hetgeen het wachtwoord beveiligt. Het probleem ontstaat vaak wanneer de gebruiker thuis een wachtwoordbeleid moet hanteren. Er zijn weinig regels voor te vinden en security awareness is vaak ver te zoeken. Zodra dit gebeurt gaan we terug naar een van de oorzaken van het probleem: internetvermoeidheid.
Wanneer de gemiddelde internetgebruiker thuiskomt en inlogt om zijn favoriete nieuwssite te bekijken, gebruikt hij naar alle waarschijnlijkheid hetzelfde of een vergelijkbaar makkelijk te onthouden wachtwoord voor zijn sociale mediasites zoals facebook of bijvoorbeeld om in te loggen met DigiD of bij zijn bank.
Om dit tegen te gaan is een stukje security awareness, vanuit de overheid, een must (en gelukkig zijn ze daar ook mee bezig, zie hier en hier). Daarnaast is security awareness vanuit het bedrijfsleven (zoiets als dit) ook een voorbeeld. Uiteindelijk komt het neer op de term die ik het liefst gebruik: gezond boeren verstand.
Wachtwoorden en bescherming
Je kunt voor jezelf een banale risico analyse neerzetten: Stel dat mijn account wordt gehackt, wat ben ik dan kwijt? Hoe vervelender je het antwoordt vindt, hoe sterker je je wachtwoord moet maken. Om een concreet voorbeeld neer te zetten zal ik deels open kaart spelen. De volgende categorieën gebruik ik:
Voor nieuwssites en vergelijkbaar gebruik ik geen echte gegevens:
Een fantasierijke loginnaam en een eenvoudig kort wachtwoord (Hoofdletter – kleine letters – cijfers en een leesteken)
Bijvoorbeeld: HeldOpSokken met als wachtwoord: Harry123? Dit wachtwoord gebruik ik voor meerdere sites. Mijn wachtwoord beschermt mijn fantasierijke e-mail adres (wijkt af van andere adressen) en wat vals ingevulde informatie. Daarnaast verander ik dit wachtwoord een keer per jaar naar iets net zo gemakkelijks.
Voor sites waarbij ik informatie over mijzelf weergeef, zoals Facebook (welke eigenlijk een categorie hoger valt omdat ze tegenwoordig gebruikt kan worden als identificatie middel), YouTube en nog wat andere zaken (bijv. gaming accounts):
Bij deze categorie hanteer ik een ander beleid. Mijn tweede e-mail adres (of accountnaam) is nog steeds fantasierijk (niet te herleiden naar mijn persoon) en de wachtwoorden zijn subtiel verschillend van elkaar en langer.
Bijvoorbeeld: SokkenHeld met als wachtwoord 1M2a3t4s5R6o7s@YT.nl voor YouTube en 1M2a3t4s5R6o7s@FB.nl voor Facebook. Dit wil niet zeggen dat het wachtwoord altijd matched met de dienst, maar heel gek is het niet.
Deze wachtwoorden verander ik met een regelmaat van 6 maanden.
De derde categorie gebruik ik alleen voor de belangrijke zaken zoals bankzaken, DigiD, zorgverzekeringsaccount etc. Accounts met wachtwoorden die belangrijke informatie over mij beschermen. Voor deze accounts heb ik een derde e-mail adres in gebruik, met informatie in de titel herleidbaar naar mij bijvoorbeeld met mijn naam of initialen erin. Mijn gebruikersnamen hier zijn meestal nergens naartoe herleidbaar maar soms met mijn naam erin (als deze is toegewezen). Elke gebruikersnaam verschilt van elkaar en elk wachtwoord is compleet anders, langer en complexer.
Bijvoorbeeld: ros@heldopsokken.nl met accountnaam FCKGW-RHQQ2 met wachtwoord: DitWachtwoordGebruikIkVoorDeBankSinds01-01-2016!
Het wachtwoord is lang en complex maar toch enigszins gemakkelijk te onthouden.
Deze wachtwoorden verander ik naar gelang eens in de 3 maanden.
Natuurlijk gebruik ik mijn gezonde verstand en zorg ik ervoor dat ik geen gemakkelijk target ben; vanwege mijn professie als security consultant loop ik al meer risico dan de gemiddelde bloemist, maar ik ben op zich een minder target dan Hillary Clinton (zie hier, hier en hier)als president kandidaat van de VS.
Tooling voor wachtwoorden
Of ik tooling gebruik om mij te helpen met het beheren van mijn wachtwoorden? Ja dat wel, maar let op! Alleen voor categorie 1 & 2. De derde categorie blijf ik altijd zelf invullen (dus auto-invullen) staat ook uit voor zowel gebruikersnaam als wachtwoord. KeePassen LastPass zijn aan te raden.
Uiteraard zullen er legio mensen zijn die hun eigen kijk hierop hebben, maar de belangrijkste vraag blijft: wat beschermt jouw wachtwoord?
Cookies zijn kleine tekstbestanden die door websites kunnen worden gebruikt om gebruikerservaringen efficiënter te maken.
Volgens de wet mogen wij cookies op uw apparaat opslaan als ze strikt noodzakelijk zijn voor het gebruik van de site. Voor alle andere soorten cookies hebben we uw toestemming nodig.
Deze website maakt gebruik van verschillende soorten cookies. Sommige cookies worden geplaatst door diensten van derden die op onze pagina’s worden weergegeven.
Via de cookieverklaring op onze website kunt u uw toestemming op elk moment wijzigen of intrekken.
In ons privacybeleid vindt u meer informatie over wie we zijn, hoe u contact met ons kunt opnemen en hoe we persoonlijke gegevens verwerken.
Strikt noodzakelijke cookies
Strikt Noodzakelijke Cookie moet te allen tijde worden ingeschakeld, zodat we uw voorkeuren voor cookie-instellingen kunnen opslaan.
Analytische cookies
Analytische cookies meten websitebezoek, waarmee de eigenaar zijn website kan verbeteren. Denk aan het aantal bezoekers en de meest bezochte webpagina’s.
Google Analytics
_ga
2 years
Used to distinguish users.
_gid
24 hours
Used to distinguish users.
_gat
1 minute
Used to throttle request rate. If Google Analytics is deployed via Google Tag Manager, this cookie will be named _dc_gtm_<property-id>.
AMP_TOKEN
30 seconds to 1 year
Contains a token that can be used to retrieve a Client ID from AMP Client ID service. Other possible values indicate opt-out, inflight request or an error retrieving a Client ID from AMP Client ID service.
_gac_<property-id>
90 days
Contains campaign related information for the user. If you have linked your Google Analytics and Google Ads accounts, Google Ads website conversion tags will read this cookie unless you opt-out. Learn more.
Schakel eerst strikt noodzakelijke cookies in om uw voorkeuren op te slaan!
Marketing
De volgende marketing cookies worden gebruikt:
Hotjar
Cookie naam
Beschrijving
Duur
_hjClosedSurveyInvites
This cookie is set once a visitor interacts with a Survey invitation modal pop-up. It is used to ensure that the same invite does not re-appear if it has already been shown.
365 days
_hjDonePolls
This cookie is set once a visitor completes a Poll using the Feedback Poll widget. It is used to ensure that the same Poll does not re-appear if it has already been filled in.
365 days
_hjMinimizedPolls
This cookie is set once a visitor minimizes a Feedback Poll widget. It is used to ensure that the widget stays minimized when the visitor navigates through your site.
365 days
_hjDoneTestersWidgets
This cookie is set once a visitor submits their information in the Recruit User Testers widget. It is used to ensure that the same form does not re-appear if it has already been filled in.
365 days
_hjMinimizedTestersWidgets
This cookie is set once a visitor minimizes a Recruit User Testers widget. It is used to ensure that the widget stays minimized when the visitor navigates through your site.
365 days
_hjDoneSurveys
This cookie is set once a visitor completes a survey. It is used to only load the survey content if the visitor hasn't completed the survey yet.
365 days
_hjIncludedInSample
This cookie is set to let Hotjar know whether that visitor is included in the sample which is used to generate Heatmaps, Funnels, Recordings, etc.
365 days
_hjShownFeedbackMessage
This cookie is set when a visitor minimizes or completes Incoming Feedback. This is done so that the Incoming Feedback will load as minimized immediately if they navigate to another page where it is set to show.
365 days
Onlinesucces.nl
Cookie naam
Beschrijving
Duur
logger
connect.onlinesucces.nl
365 days
Facebook
Naam
Aanbieder
Doel
Vervaldatum
fr
http://facebook.com/
Used by Facebook to deliver a series of advertisement products such as real time bidding from third party advertisers.
3 months
ilionx.com analytics
Naam
Aanbieder
Doel
Vervaldatum
CPSESSIONID
http://www.ilionx.com/
Used for website usage analytics to distinguish user sessions.
30 minutes
CPUSERID
http://www.ilionx.com/
Used for website usage analytics and personalization to distinguish users.
900 days
Schakel eerst strikt noodzakelijke cookies in om uw voorkeuren op te slaan!