Uit een onderzoek van NISTblijkt dat generale internet gebruikers last hebben van internetvermoeidheid.
Wat een term! Toch ben ik het blakend met ze eens. Waarom moeilijk doen als het makkelijk kan? Waarom ontzettend complexe constructies bedenken als ik overal dezelfde wachtwoorden voor kan gebruiken?
Natuurlijk komt van de andere kant de reactie van security professionals die aangeven dat elk wachtwoord anders moet zijn, ze minimaal 12 of zelfs 14 tekens lang moeten zijn en wat voor gevaren er wel allemaal niet bestaan. Ik, als security consultant, heb zo ook mijn eigen mening :).
Wat beschermt jouw wachtwoord?
Om mijn perspectief over het onderwerp goed uit te leggen maak ik gebruik van één vraag: Wat beschermt jouw wachtwoord? Ben jij CEO van een grote financiële instelling en geeft jouw wachtwoord toegang tot inzicht in cijfers waarmee, indien uitgelekt, concurrenten veel geld kunnen verdienen? Ben jij de HR directeur van een groot telecombedrijf en beschermt jouw wachtwoord de gegevens van al je werknemers en wellicht klanten? Ben jij de kern fysicus en geeft jouw wachtwoord toegang tot het beheren van een grote kerncentrale? Je raadt het al; een streng wachtwoordbeleid zou hier van toepassing moeten zijn. Sterker nog, deze mensen en mensen in vergelijkbare posities zouden sowieso goed ingelicht moeten worden zodat ze thuis net zo aandachtig bezig zijn met security als op het werk. Maar, ben jij een medewerker van de lokale bloemist en beperken jouw wachtwoorden zich tot toegang naar nu.nl, dumpert.nl en anwb.nl dan hebben we het over totaal iets anders.
Security awareness
Uiteraard moeten werk-gerelateerde zaken geregeld worden door het werk zelf. Elk bedrijf zou een wachtwoordbeleid moeten hebben dat past bij de functie en hetgeen het wachtwoord beveiligt. Het probleem ontstaat vaak wanneer de gebruiker thuis een wachtwoordbeleid moet hanteren. Er zijn weinig regels voor te vinden en security awareness is vaak ver te zoeken. Zodra dit gebeurt gaan we terug naar een van de oorzaken van het probleem: internetvermoeidheid.
Wanneer de gemiddelde internetgebruiker thuiskomt en inlogt om zijn favoriete nieuwssite te bekijken, gebruikt hij naar alle waarschijnlijkheid hetzelfde of een vergelijkbaar makkelijk te onthouden wachtwoord voor zijn sociale mediasites zoals facebook of bijvoorbeeld om in te loggen met DigiD of bij zijn bank.
Om dit tegen te gaan is een stukje security awareness, vanuit de overheid, een must (en gelukkig zijn ze daar ook mee bezig, zie hier en hier). Daarnaast is security awareness vanuit het bedrijfsleven (zoiets als dit) ook een voorbeeld. Uiteindelijk komt het neer op de term die ik het liefst gebruik: gezond boeren verstand.
Wachtwoorden en bescherming
Je kunt voor jezelf een banale risico analyse neerzetten: Stel dat mijn account wordt gehackt, wat ben ik dan kwijt? Hoe vervelender je het antwoordt vindt, hoe sterker je je wachtwoord moet maken. Om een concreet voorbeeld neer te zetten zal ik deels open kaart spelen. De volgende categorieën gebruik ik:
Voor nieuwssites en vergelijkbaar gebruik ik geen echte gegevens:
Een fantasierijke loginnaam en een eenvoudig kort wachtwoord (Hoofdletter – kleine letters – cijfers en een leesteken)
Bijvoorbeeld: HeldOpSokken met als wachtwoord: Harry123? Dit wachtwoord gebruik ik voor meerdere sites. Mijn wachtwoord beschermt mijn fantasierijke e-mail adres (wijkt af van andere adressen) en wat vals ingevulde informatie. Daarnaast verander ik dit wachtwoord een keer per jaar naar iets net zo gemakkelijks.
Voor sites waarbij ik informatie over mijzelf weergeef, zoals Facebook (welke eigenlijk een categorie hoger valt omdat ze tegenwoordig gebruikt kan worden als identificatie middel), YouTube en nog wat andere zaken (bijv. gaming accounts):
Bij deze categorie hanteer ik een ander beleid. Mijn tweede e-mail adres (of accountnaam) is nog steeds fantasierijk (niet te herleiden naar mijn persoon) en de wachtwoorden zijn subtiel verschillend van elkaar en langer.
Bijvoorbeeld: SokkenHeld met als wachtwoord 1M2a3t4s5R6o7s@YT.nl voor YouTube en 1M2a3t4s5R6o7s@FB.nl voor Facebook. Dit wil niet zeggen dat het wachtwoord altijd matched met de dienst, maar heel gek is het niet.
Deze wachtwoorden verander ik met een regelmaat van 6 maanden.
De derde categorie gebruik ik alleen voor de belangrijke zaken zoals bankzaken, DigiD, zorgverzekeringsaccount etc. Accounts met wachtwoorden die belangrijke informatie over mij beschermen. Voor deze accounts heb ik een derde e-mail adres in gebruik, met informatie in de titel herleidbaar naar mij bijvoorbeeld met mijn naam of initialen erin. Mijn gebruikersnamen hier zijn meestal nergens naartoe herleidbaar maar soms met mijn naam erin (als deze is toegewezen). Elke gebruikersnaam verschilt van elkaar en elk wachtwoord is compleet anders, langer en complexer.
Bijvoorbeeld: ros@heldopsokken.nl met accountnaam FCKGW-RHQQ2 met wachtwoord: DitWachtwoordGebruikIkVoorDeBankSinds01-01-2016!
Het wachtwoord is lang en complex maar toch enigszins gemakkelijk te onthouden.
Deze wachtwoorden verander ik naar gelang eens in de 3 maanden.
Natuurlijk gebruik ik mijn gezonde verstand en zorg ik ervoor dat ik geen gemakkelijk target ben; vanwege mijn professie als security consultant loop ik al meer risico dan de gemiddelde bloemist, maar ik ben op zich een minder target dan Hillary Clinton (zie hier, hier en hier)als president kandidaat van de VS.
Tooling voor wachtwoorden
Of ik tooling gebruik om mij te helpen met het beheren van mijn wachtwoorden? Ja dat wel, maar let op! Alleen voor categorie 1 & 2. De derde categorie blijf ik altijd zelf invullen (dus auto-invullen) staat ook uit voor zowel gebruikersnaam als wachtwoord. KeePassen LastPass zijn aan te raden.
Uiteraard zullen er legio mensen zijn die hun eigen kijk hierop hebben, maar de belangrijkste vraag blijft: wat beschermt jouw wachtwoord?
Cookies zijn kleine tekstbestanden die door websites kunnen worden gebruikt om gebruikerservaringen efficiënter te maken.
Volgens de wet mogen wij cookies op uw apparaat opslaan als ze strikt noodzakelijk zijn voor het gebruik van de site. Voor alle andere soorten cookies hebben we uw toestemming nodig.
Deze website maakt gebruik van verschillende soorten cookies. Sommige cookies worden geplaatst door diensten van derden die op onze pagina’s worden weergegeven.
Via de cookieverklaring op onze website kunt u uw toestemming op elk moment wijzigen of intrekken.
In ons privacybeleid vindt u meer informatie over wie we zijn, hoe u contact met ons kunt opnemen en hoe we persoonlijke gegevens verwerken.
Strikt noodzakelijk
Strikt Noodzakelijke Cookie moet te allen tijde worden ingeschakeld, zodat we uw voorkeuren voor cookie-instellingen kunnen opslaan.
Cookie naam
Beschrijving
Duur
pll_language
Deze cookie wordt gebruikt om de taal van de website te bepalen.
1 jaar
cookiesession1
cookiessession1 wordt gebruikt om een optimale website-ervaring te bieden door middel van de volgende items:
- Network equipment failover session persistence;
- client tracking;
- Logging aggregation to a client;
- Security features such as DOS protection;
- Session timeout.
1 jaar
moove_gdpr_popup
Deze cookie wordt gebruikt om de cookie voorkeuren op te slaan
1 jaar
Google Analytics
Cookie naam
Beschrijving
Duur
_ga
Wordt gebruikt om gebruikers te onderscheiden.
2 jaar
_gid
Wordt gebruikt om gebruikers te onderscheiden.
24 uur
_gat
Wordt gebruikt om de aanvraagsnelheid te vertragen. Als Google Analytics wordt geïmplementeerd via Google Tag Manager, krijgt deze cookie de naam _dc_gtm_<property-id>.
1 minuut
AMP_TOKEN
Bevat een token dat kan worden gebruikt om een klant-ID op te halen bij de AMP-client-ID-service. Andere mogelijke waarden duiden op opt-out, verzoek aan boord of een fout bij het ophalen van een klant-ID van de AMP-client-ID-service.
30 seconden tot 1 jaar
_gac_<property-id>
Bevat campagnegerelateerde informatie voor de gebruiker. Als u uw Google Analytics- en Google Ads-accounts heeft gekoppeld, zullen Google Ads-websiteconversietags deze cookie lezen, tenzij u zich afmeldt. Kom meer te weten.
90 dagen
_gcl_au
Gebruikt door Google AdSense om te experimenteren met de efficiëntie van advertenties op websites die hun services gebruiken.
3 maanden
CPSESSIONID
Gebruikt voor analyse van websitegebruik om gebruikerssessies te onderscheiden.
30 minuten
CPUSERID
Gebruikt voor analyse van websitegebruik en personalisatie om gebruikers te onderscheiden.
900 dagen
CPSESSIONEXP
Gebruikt voor analyse van websitegebruik en personalisatie om gebruikers te onderscheiden.
30 minuten
Marketing
De volgende marketing cookies worden gebruikt:
Hotjar
Cookie naam
Beschrijving
Duur
_hjClosedSurveyInvites
Deze cookie wordt geplaatst zodra een bezoeker interageert met een pop-upvenster met een enquête-uitnodiging. Het wordt gebruikt om ervoor te zorgen dat dezelfde uitnodiging niet opnieuw verschijnt als deze al is getoond.
1 jaar
_hjDonePolls
Deze cookie wordt geplaatst zodra een bezoeker een peiling voltooit met behulp van de Feedback Poll-widget. Het wordt gebruikt om ervoor te zorgen dat dezelfde peiling niet opnieuw verschijnt als deze al is ingevuld.
1 jaar
_hjMinimizedPolls
Deze cookie wordt geplaatst zodra een bezoeker een Feedback Poll-widget minimaliseert. Het wordt gebruikt om ervoor te zorgen dat de widget geminimaliseerd blijft wanneer de bezoeker door uw site navigeert.
1 jaar
_hjDoneTestersWidgets
Deze cookie wordt ingesteld zodra een bezoeker zijn informatie invoert in de widget Recruit User Testers. Het wordt gebruikt om ervoor te zorgen dat hetzelfde formulier niet opnieuw verschijnt als het al is ingevuld.
1 jaar
_hjMinimizedTestersWidgets
Deze cookie wordt geplaatst zodra een bezoeker een Recruit User Testers-widget minimaliseert. Het wordt gebruikt om ervoor te zorgen dat de widget geminimaliseerd blijft wanneer de bezoeker door uw site navigeert.
1 jaar
_hjDoneSurveys
Deze cookie wordt geplaatst zodra een bezoeker een enquête invult. Het wordt gebruikt om de inhoud van de enquête alleen te laden als de bezoeker de enquête nog niet heeft ingevuld.
1 jaar
_hjIncludedInSample
Deze cookie wordt geplaatst om Hotjar te laten weten of die bezoeker is opgenomen in de steekproef die wordt gebruikt om Heatmaps, Funnels, Recordings, etc. te genereren.
1 jaar
_hjShownFeedbackMessage
Deze cookie wordt geplaatst wanneer een bezoeker Inkomende Feedback minimaliseert of voltooit. Dit wordt gedaan zodat de inkomende feedback onmiddellijk als geminimaliseerd wordt geladen als ze naar een andere pagina navigeren waar deze is ingesteld om te worden weergegeven.
1 jaar
Onlinesucces.nl
Cookie naam
Beschrijving
Duur
logger
connect.onlinesucces.nl
365 days
Facebook
Naam
Doel
Vervaldatum
fr
Gebruikt door Facebook om een reeks advertentieproducten te leveren, zoals realtime bieden van externe adverteerders.
3 maanden
fbp
Gebruikt door Facebook om advertenties te leveren. De cookie bevat een versleutelde Facebook-gebruikers-ID en browser-ID. Het zal informatie van deze website ontvangen om advertenties beter af te stemmen en te optimaliseren.
3 maanden
Linkedin
Naam
Doel
Vervaldatum
ln_or
Gebruikt om te bepalen of analyse van Oribi kan worden uitgevoerd op een specifiek domein
1 dag
Schakel eerst strikt noodzakelijke cookies in om uw voorkeuren op te slaan!