Wachtwoorden: hoe u ze goed doet: 10 stappen

2024 Auteur: John Day | [email protected]. Laatst gewijzigd: 2024-01-30 11:18

Eerder dit jaar verloor mijn vrouw de toegang tot sommige van haar rekeningen. Haar wachtwoord is afkomstig van een gehackte site en vervolgens gebruikt om in andere accounts te komen. Pas toen sites haar op de hoogte brachten van mislukte inlogpogingen, realiseerde ze zich dat er iets aan de hand was.

Ik heb ook met een aantal mensen gesproken die zeggen dat ze voor elke site hetzelfde wachtwoord gebruiken. Deze twee dingen zijn genoeg geweest om me aan te sporen dit Instructable te schrijven.

Wachtwoordbeveiliging is een heel klein onderdeel van online beveiliging als geheel. Bijna elk account vereist een soort login om toegang te geven tot alles wat het beschermt. Die ene reeks is vaak alles wat tussen een aanvaller en uw persoonlijke gegevens, geld, persoonlijke foto's of die reispunten staat die u al jaren verzamelt.

Deze instructable is bedoeld om enkele best-practices voor het maken van wachtwoorden te behandelen. Als u iemand bent die hetzelfde wachtwoord heeft voor elke website, wiens wachtwoorden een patroon op het toetsenbord zijn, of u heeft het woord "wachtwoord" in uw wachtwoord, dan is deze instructable iets voor u.

Vrijwaring

Ik ben geen beveiligingsexpert. Deze informatie is in de loop van de tijd geleerd en onderzocht en is slechts een aanbeveling en samenvatting van een zeer complex onderwerp. Deze tutorial is begin 2018 geschreven en is mogelijk verouderd tegen de tijd dat je hem leest.

TL;DR

Als je niet geïnteresseerd bent in al mijn redeneringen en uitleg achter wachtwoorden en gewoon een gemakkelijke manier wilt om veilige wachtwoorden te maken, ga dan naar de laatste stap.

Stap 1: Maak het lang

Lengte is een zeer belangrijk onderdeel van wachtwoordbeveiliging. Nu computers steeds sneller worden, kunnen wachtwoorden met verbazingwekkende snelheden worden uitgeprobeerd. Dit wordt "brute-force" wachtwoordkraken genoemd. Het koppelt elke mogelijke combinatie van karakters totdat je degene vindt die overeenkomt.

In theorie maakt dit elk wachtwoord kraakbaar, mits er voldoende tijd is. Gelukkig is het zo dat hoe langer het wachtwoord is, hoe langer dit type aanval zou duren. Elk personage dat je aan de lengte toevoegt, maakt de moeilijkheidsgraad veel moeilijker. Als het lang genoeg is, kan het tientallen jaren duren om het op deze manier te vinden, waardoor het niet de moeite waard is voor een aanvaller.

Voorbeeld

Stel dat u een wachtwoord heeft dat alleen uit hoofdletters bestaat. Dit is geen goed idee, maar dit is alleen ter illustratie. Elke keer dat u een ander teken aan het wachtwoord toevoegt, wordt het aantal mogelijke wachtwoorden met 26 vermenigvuldigd. Als u een wachtwoord van 1 teken had, zou het 26 mogelijke wachtwoorden hebben, zouden 2 tekens 676 mogelijke wachtwoorden hebben, enz. Dit begint snel te sneeuwen.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Zoals je kunt zien, maakt elke letter die je toevoegt deze aanval veel moeilijker en praktisch onmogelijk met voldoende karakters. Let op, dit is alleen met hoofdletters. Zodra ze complexer worden, wordt dit effect vergroot.

Stap 2: Maak het complex

Complexiteit is een andere grote factor in wachtwoordbeveiliging. Als een website ooit wordt geschonden, is de kans groot dat gebruikersnamen en wachtwoorden worden verwijderd. Als basisbeveiligingsniveau heeft de website hopelijk de wachtwoorden gehasht (vergelijkbaar met codering) voordat ze worden opgeslagen. Dit betekent dat ze onleesbaar zijn voordat ze in de database worden opgenomen, en er is geen manier om deze verminking ongedaan te maken.

Dit klinkt allemaal goed. Het maakt niet uit wat je wachtwoord is, want het is onleesbaar, toch? Dat is niet het geval als uw wachtwoord niet complex is. Er worden standaard hash-algoritmen gebruikt (SHA1, MD5, SHA512, enz.) en ze zullen altijd hetzelfde hashen op dezelfde manier. Als u bijvoorbeeld SHA1 gebruikt en uw wachtwoord was "wachtwoord", wordt het altijd in de database opgeslagen als "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8".

Het maken van hashes kost tijd en computer-oomph, en het berekenen van alle mogelijke hashes voor alle mogelijke wachtwoorden is praktisch onmogelijk. Wat mensen hebben gedaan, is 'woordenboeken' maken van veelgebruikte wachtwoorden. Dingen als "wachtwoord" of "qwerty" zullen er natuurlijk in staan, evenals minder gebruikelijke. Er zullen miljoenen wachtwoorden in deze woordenboeken staan en het duurt slechts enkele seconden om elke invoer te doorlopen en de bekende hash te vergelijken met de hash van uw wachtwoord. Dit wordt een "woordenboekaanval" genoemd. Als de jouwe een van degenen is die al is berekend, zal de verminking je wachtwoord niet beschermen en kan het op andere sites worden gebruikt.

Het veranderen van letters in cijfers voegt ook geen complexiteit toe. Het lijkt misschien ingewikkelder om E naar 3 of I naar 1 te veranderen, maar dat is zo'n gangbare praktijk dat het geen veiligheid meer toevoegt. Krakende programma's hebben een optie die deze variaties automatisch zal proberen.

Stap 3: Maak het uniek

Wachtwoorden onthouden is moeilijk. Nu ons leven steeds meer online wordt, is het niet ongebruikelijk dat elke persoon 50+ online accounts heeft, elk met hun eigen login. Dit kan heel moeilijk zijn om bij te houden.

De meest gebruikelijke manier waarop mensen hiermee omgaan, is door één "goed" wachtwoord te kiezen en dit op een groot aantal verschillende websites te gebruiken. Dit is een verschrikkelijk idee. Het enige dat nodig is, is één beveiligingsinbreuk of één phishing-website om uw gebruikersnaam en wachtwoord te krijgen om de bal aan het rollen te krijgen. Aanvallers kunnen die gebruikersnaam en dat wachtwoord binnen enkele seconden op honderden websites proberen. Dit zou ze automatisch op elke website krijgen met dezelfde gebruikersnaam als de gecompromitteerde.

Ik weet dat het een ontmoedigende taak lijkt om voor elke site een ander wachtwoord te hebben, maar we zullen later bespreken hoe we hiermee omgaan.

Stap 4: Niets persoonlijks

Uw informatie is niet zo privé als u denkt. Een snelle online zoekopdracht kan gemakkelijk uw geboortedatum of adres vinden. Als een ander account is geschonden, kan nog meer informatie eenvoudig worden verkregen. Als er een aanvaller is die probeert toegang te krijgen tot uw accounts, zijn dit voor de hand liggende wachtwoorden om te proberen. Het laat ook de toegang open voor familieleden, vrienden of zelfs kennissen.

Stap 5: behandel alle wachtwoorden met dezelfde zorg

Als u met websites omgaat, moet u de beveiliging van al deze websites met dezelfde zorg behandelen. Als u bijvoorbeeld inlogt op uw favoriete kattenwebsite, moet u dezelfde voorzorgsmaatregelen nemen als uw banklogin. Het lijkt misschien niet veel om de toegang tot al die schattige snorharen te verliezen, maar dat kan gewoon een opstapje zijn voor een aanvaller. Het schenden van die "onbelangrijke" website kan een aanvaller meer informatie over u geven, zoals een andere gebruikersnaam die u heeft gebruikt, een ander e-mailadres waarmee u inlogde of feitelijke informatie die zou kunnen worden gebruikt om andere websites te ontgrendelen.

Als het een onbelangrijke website is, is de kans groter dat ze de juiste beveiligingspraktijken niet volgen, wat betekent dat als uw wachtwoord lang en complex is, maar niet uniek, en de wachtwoorden niet correct worden gehasht wanneer ze worden opgeslagen, dat wachtwoord kan eenvoudig op andere websites worden gebruikt. Nogmaals, alleen omdat de site "onbelangrijk" is, betekent niet dat uw veiligheid dat is.

Stap 6: Houd het verborgen

Goed - Offline opslag

Offline opslag kan een goede optie zijn als u een vergeetachtig persoon bent. Het hebben van een USB-stick die je achter slot en grendel bewaart met je wachtwoorden, beschermt tegen de meeste aanvallen, met uitzondering van familie en vrienden. Voor het geval je deze stick op de een of andere manier kwijtraakt, zorg er dan voor dat het wachtwoordbestand of de hele schijf versleuteld is en dat er een back-up van de stick wordt gemaakt op een zeer veilige plek.

Deze methode heeft veel veiligheid, maar ten koste van het gemak.

De reden dat het offline zou moeten zijn, wordt hieronder in meer detail uitgelegd. Houd er rekening mee dat van veel apparaten nu automatisch een back-up wordt gemaakt in de cloud, zelfs als dat niet de bedoeling was. Als u deze stick ooit aansluit op een apparaat dat een virus heeft of is gecompromitteerd, kunnen de gegevens gemakkelijk worden gekopieerd.

Beter - Onthoud alles

Onthoud al uw wachtwoorden. Als je ongelooflijk begaafd bent, is dit misschien een optie. Er is geen manier voor iemand om ze te vinden, en je hebt ze altijd bij je. Enkele nadelen zijn dat de meesten van ons niet geweldig zijn in het onthouden van complexe dingen, en de neiging hebben om iets te veel te praten na een drankje of twee. Vooral met tientallen wachtwoorden om te onthouden, is dit waarschijnlijk niet eens een optie voor de leek.

Beste - Geen opslag

Het beste scenario is dat u ze helemaal niet opslaat. Onthoud op de een of andere manier al uw unieke, lange, complexe wachtwoorden, of heb een manier om ze on-the-fly opnieuw te maken. Als je de ingrediënten kent die nodig zijn om ze opnieuw te maken, kan een aanvaller ze op geen enkele manier "vinden", omdat ze pas bestaan als ze nodig zijn. Dit klinkt misschien ingewikkeld, maar dat is het echt niet. Hierover later meer.

Het belang van offline

Websites worden beheerd door mensen. Voor de meeste websites is het waarschijnlijk veilig om aan te nemen dat deze mensen over het algemeen goede bedoelingen hebben, maar zelfs de beste mensen kunnen fouten maken. Alleen al vorig jaar waren er een aantal enorme inbreuken op de websitebeveiliging van grote, over het algemeen veilige bedrijven zoals Linked-In, Yahoo, Equifax, Apple en Uber, om er maar een paar te noemen. Dit zijn grote bedrijven met beveiligingsafdelingen en ze zijn gehackt.

Cloudopslag klinkt mooi en het biedt gemak, maar wat een 'cloud' in werkelijkheid is, is de computer van iemand anders die u gebruikt om uw bestanden op te slaan. Zoals ik hierboven al zei, mensen kunnen fouten maken. Als dat gebeurt, kunnen uw wachtwoorden voor de wereld beschikbaar zijn. Cloudsites zijn een gigantisch doelwit voor aanvallers vanwege de hoeveelheid gegevens die ze bevatten. Breek de cloudsite, krijg toegang tot alle informatie die mogelijk miljoenen mensen hebben opgeslagen.

Ik weet zeker dat een deel hiervan paranoia is, maar met een groot deel van je leven verborgen achter deze wachtwoorden, bescherm ze als zodanig.

Stap 7: Mijn aanbeveling

Dit is een zeer lange preambule geweest om de belangrijkste pijlers van wachtwoordbeveiliging uit te leggen. Als je deze 6 richtlijnen volgt, zou je online minimale beveiligingsproblemen moeten hebben, en als er iets gebeurt, zou het moeten stoppen bij de bron, niet verspreid naar de rest van je online leven.

Er zijn veel verschillende manieren om deze uitdagingen op te lossen. Sommige zijn beter dan andere en bieden verschillende voordelen. Mijn favoriete oplossing is SuperGenPass (SGP). Ik ben op geen enkele manier aangesloten, ik ben gewoon een fan.

Eenvoudig te gebruiken

SGP heeft een app voor je telefoon en een knop die je aan je browser kunt toevoegen. Wanneer u naar een website gaat en u wordt gevraagd om in te loggen, klikt u op de knop. Er verschijnt een klein venster. Voer uw hoofdwachtwoord in. SGP genereert een wachtwoord voor deze site en voert dit voor u in het wachtwoordvak in!

Lang

U kunt de lengte kiezen van het wachtwoord dat wordt aangemaakt. Dit genereert wachtwoorden van maximaal 24 tekens, wat vrij veilig is, maar u kunt korter kiezen als sommige websites de lengte van uw wachtwoord beperken.

Complex

Er worden hoofdletters, kleine letters en cijfers gebruikt, wat redelijk veilig is. Ze volgen geen herkenbaar patroon zonder woorden of zinnen. Niets van uw URL of hoofdwachtwoord staat in deze string.

Uniek

Elke website heeft een volledig uniek wachtwoord. De wachtwoorden voor example1.com en example2.com zijn totaal verschillend, ook al is er maar één karakter verschillend in de initiële "ingrediënten". Zoals je in het onderstaande voorbeeld kunt zien, is er geen verband tussen de "ingrediënten" en het resulterende wachtwoord en ze verschillen HEEL van elkaar.

masterpassword:example1.com -> zVNqyKdf7Fmasterpassword:example2.com -> eYPtU3mfVw

Opslag

Het slaat en verzendt geen gegevens. Het kan volledig offline worden uitgevoerd als u zich zorgen maakt en er is geen manier voor iemand om ze te vinden of te stelen.

Stap 8: SGP: instellen

Het opzetten van SGP is supereenvoudig. Ten eerste wilt u het waarschijnlijk aan uw bladwijzerbalk toevoegen. Ga hiervoor naar:

chriszarate.github.io/supergenpass/

Er zijn 2 knoppen om uit te kiezen. Om een computer in te stellen die u gewoonlijk gebruikt, sleept u de linkerknop naar uw bladwijzerbalk. Dit geeft je een nieuwe knop om te gebruiken.

Als u in de toekomst de computer van iemand anders gebruikt, kunt u de knop aan de rechterkant selecteren. Hiermee kunt u SGP gebruiken zonder iets in hun browser te wijzigen. Het is ook een optie voor een mobiele browser.

Zodra het is toegevoegd aan uw bladwijzerbalk, klikt u op de knop. Er wordt een klein venster geopend in de hoek van uw webpagina. Als u op het kleine tandwiel klikt, worden de instellingen geopend.

Lengte

Het getal aan de linkerkant is de lengte van het wachtwoord dat het zal genereren. Ik raad aan om de sites te bekijken die u het meest gebruikt en deze in te stellen op het hoogste aantal dat deze sites toestaan. Meer dan 12 wordt aanbevolen, maar hoe langer hoe beter, vooral omdat u het niet hoeft te onthouden.

Hash-type

Er zijn twee opties voor welk type hash wordt gebruikt, MD5 en SHA. Beide genereren wachtwoorden met hoofdletters, kleine letters en cijfers. Dit wijzigen is een eenvoudige manier om al uw wachtwoorden te wijzigen terwijl u hetzelfde hoofdwachtwoord behoudt.

Geheim wachtwoord

Het gedeelte met het geheime wachtwoord is een extra manier om ervoor te zorgen dat alles veilig is. Als de applet opstart en u een geheim wachtwoord heeft, wordt er een kleine afbeelding weergegeven in het wachtwoordvak. Dit wachtwoord moet ALTIJD hetzelfde zijn wanneer het wordt gestart. Als het opstart en dit beeld is niet wat het gewoonlijk is, is er een kans dat iemand je hoofdwachtwoord probeert te krijgen.

Master wachtwoord

Dit is niet nodig tijdens de installatie, maar het is erg belangrijk. Zorg ervoor dat u een sterk wachtwoord kiest. Dit is een enkel wachtwoord dat u altijd op elke site invoert. Zorg ervoor dat het iets is dat u zich kunt herinneren, maar dat het complex, lang en niet-persoonlijk is.

Besparing

Nadat u al uw instellingen hebt gekozen, klikt u op het pictogram Opslaan en nogmaals op het tandwielpictogram om de instellingen te sluiten

Stap 9: Gebruik SGP

Om SGP te gebruiken, bladert u naar een website zoals u normaal zou doen. Wanneer u uw wachtwoord moet invoeren, klikt u op de SGP-knop die u aan uw bladwijzerbalk hebt toegevoegd. Als je een geheim wachtwoord hebt gebruikt bij het instellen van SGP, zorg er dan voor dat de afbeelding die in het wachtwoordvak verschijnt, overeenkomt met wat het was toen je het instelde.

Typ uw hoofdwachtwoord en druk op Enter. Deze berekent uw unieke wachtwoord voor deze website en vult deze voor u in! Terwijl u uw hoofdwachtwoord typt, wordt het pictogram bijgewerkt. Als de afbeelding niet overeenkomt met het pictogram dat u gewoonlijk heeft, heeft u ofwel uw hoofdwachtwoord verkeerd ingevoerd of probeert iemand uw wachtwoord te achterhalen.

Afhankelijk van hoe de site is geschreven, is het mogelijk dat SGP het wachtwoord niet voor u kan invoeren, of dat de site zich niet realiseert dat het is ingevoerd. Als dat het geval is, kunt u op het kopieerpictogram naast het gegenereerde wachtwoordvak klikken en het handmatig plakken.

Zodra uw wachtwoord is ingevoerd, klikt u op Inloggen en u bent er!

Stap 10: Laatste gedachten

SGP werkt misschien niet voor iedereen, en dat is oké. Het is niet de perfecte oplossing, want zoiets bestaat niet. Als je een andere service of methode hebt die je graag gebruikt voor wachtwoorden, houd dan rekening met de 6 stappen voor een veilig wachtwoord. Als uw huidige methode op een aantal van deze gebieden tekortschiet, is het misschien tijd om naar een andere oplossing te zoeken. Ja, het kan een halve dag duren om al uw accounts te wijzigen, maar dat is waarschijnlijk minder vervelend dan wanneer uw accounts worden geschonden.

Een opmerking over online opslag: als de service uw wachtwoorden online/in de "cloud" opslaat, controleer dan hun beveiligingspraktijken om er zeker van te zijn dat ze goed zijn. De site zal u waarschijnlijk vertellen wat ze doen om uw wachtwoorden te beschermen als ze het goed doen. Als je het niet zeker weet, stuur ze dan een e-mail en vraag het. Als ze je geen goed/beknopt/nauwkeurig antwoord kunnen geven, wees dan voorzichtig bij het gebruik van die service.