Sterke wachtwoorden
Linux heeft een goede reputatie wat betreft veiligheid. Dit betekent echter niet dat je op je lauweren kunt rusten en dat een Linux systeem elke aanval kan afslaan. Je hoort in het nieuws wel nu en dan dat er een veiligheidsgat werd gevonden waarlangs men ongeoorloofd toegang kan krijgen tot uw systeem en/of gebruikersgegevens. Daarbij kan het gebruik van sterke wachtwoorden de veiligheid van uw systeem en gegevens sterk doen toenemen.
Een sterk wachtwoord is moeilijk te kraken (te achterhalen). Slechte wachtwoorden zie je dikwijls in films waar hackers in een kamer rondkijken en via een foto van de zoon het wachtwoord (de naam van de zoon) achterhalen om zo toegang te krijgen tot top secret dossiers. De meest gebruikte techniek om een wachtwoord te achterhalen is een brute force attack op het systeem en gebruikers.
Bij een brute force attack worden korte wachtwoorden afkomstig uit woordenboeken, lijsten met veel gebruikte wachtwoorden, enz. op goed geluk af uitgeprobeerd. Bij zwakke wachtwoorden heb je tamelijk snel het juiste wachtwoord gevonden. Hoe langer het wachtwoord hoe meer tijd er nodig is om het wachtwoord te achterhalen. Maar door snellere computers en netwerken worden wachtwoorden steeds sneller gekraakt. Zo zijn wachtwoorden die enkel bestaan uit letters snel te achterhalen, ook als er tien letters gebruikt worden.
We beginnen met een simpel wachtwoord:
nadpent
Zo'n wachtwoord wordt binnen de twee seconden gekraakt (achterhaald). Zeven tekens is te kort. Zo zullen de meeste online websites een minimum lengte van acht karakters, een hoofdletter en een cijfer eisen. Dit verhoogt de kwaliteit van het wachtwoord drastisch. We passen ons te simpel wachtwoord aan naar:
Nadpent1
Zo'n wachtwoord kan in minder dan 15 uur gekraakt worden. Dit is al veel beter! Maar 15 uur is nog steeds een haalbare tijdsinvestering voor een hacker. Betere wachtwoorden krijg je door een symbool op een gemakkelijk te onthouden plaats toe te voegen:
N@adpent1
Zo'n wachtwoord kan in drie dagen gekraakt worden. Een mens zoekt geen drie dagen naar een wachtwoord, maar laten we niet vergeten dat een brute force aanval zonder tussenkomst van mensen automatisch door software wordt uitgevoerd. Voor een geautomatiseerde brute force aanval is een wachtwoord met acht tekens en het cijfer 1 nog niet sterk genoeg. Door een extra cijfer toe te voegen, maken we het wachtwoord sterker:
N@adpent12
Nu hebben hackers al 275 dagen nodig om ons wachtwoord te kraken. Dit is voor een volhardende hacker nog steeds haalbaar. Het toevoegen van nog een extra symbool, letter of cijfer zal de hacktijd doen oplopen tot 58 jaar. Acht en vijftig jaar om één wachtwoord te achterhalen is in computertermijnen enorm lang, meestal zal het wachtwoord zelf deze termijn niet overleven. M.a.w. het volgende wachtwoord is een sterk wachtwoord:
N@adpent12*
Gebruik dit wachtwoord niet, want tegen dat u dit leest, is dit wachtwoord misschien al aan een lijst met wachtwoorden toegevoegd om brute force aanvallen mee uit te voeren. M.a.w. gebruik nooit gepubliceerde wachtwoorden. Gebruik ook nooit een wachtwoord voor meerdere accounts, want bij het lekken van de wachtwoorden van een bepaalde gehackte accountdienst, hebben ze direct het wachtwoord van de andere diensten beet. Als je hoort dat wachtwoorden van een bepaalde dienst gehackt zijn, verander het wachtwoord voor de gehackte dienst dan onmiddellijk.
Wat moet je vermijden?
- Gebruik geen woorden die in een woordenboek staan
- Gebruik geen zinnen
- Gebruik geen persoonlijke informatie
- Gebruik geen opeenvolgende cijfers (456) of letters (efg)
- Gebruik geen getallen met twee cijfers, deze lijken teveel op een jaartal
- Gebruik een wachtwoord nooit voor meer dan één dienst
- Maak wachtwoorden niet overdreven lang
Wat moet je wel gebruiken?
- Gebruik hoofdletters, cijfers en symbolen
- Verander om de zes maand het wachtwoord
- Gebruik minstens negen tekens.
- Test een gelijkaardig wachtwoord met een wachtwoord controle programma (password checker)
Hulpmiddelen
Het bovenstaande wachtwoord kunnen we als basis gebruiken. Zoals reeds vermeld, gebruik je best voor verschillende diensten, verschillende wachtwoorden. Diensten zoals LastPass helpen je om unieke wachtwoorden voor elke dienst te gebruiken, maar dan moet je LastPass wel vertrouwen. Om de verschillende wachtwoorden te onthouden, kan je het basiswachtwoord voor elke dienst wat aanpassen.
Een paar voorbeelden. Bij Steam koop je spelletjes en kan je de betalingsgegevens opslaan (misschien wel niet de veiligste handelswijze). Het is dus belangrijk om de Steam dienst met een sterk wachtwoord te beveiligen. We nemen het wachtwoord N@adpent12* als basis en nemen de middelste drie letters van de dienst (tea), waarvan we de volgorde omkeren (aet) en deze dan in het basiswachtwoord invoegen:
N@adpentaet12*
Daardoor blijft dit een sterk wachtwoord, en verschilt het van het wachtwoord voor Google (N@adpentgoo12*) of GitHub (N@adpentHti12*). Deze wachtwoorden zijn voor een kraakprogramma niet zo snel te achterhalen. Het menselijke brein kan zo'n onze oplossing misschien wel opmerken, maar dit is maar een voorbeeld. M.a.w. ga op zoek naar een eigen eenvoudig te onthouden methode om een basiswachtwoord voor verschillende diensten aan te passen.
Wachtwoorden kan je op sterkte controleren met software en zelfs online.
Opnieuw moet je de software en online dienst daarvoor vertrouwen.
Wil je op zeker spelen, test dan een gelijkaardig opgebouwd wachtwoord.
Online kan je wachtwoorden testen op de webpagina How Secure Is My Password?.
De verkregen resultaten verschillen soms onderling, maar geven steeds een correcte grootteorde van wachtwoordsterkte aan.
Veiligheid en Privacy
Naast het gebruik van sterke wachtwoorden, zorg je best ook voor het afschermen van uw persoonlijke gegevens. Oplichters gebruiken deze gegevens om uw vertrouwen te winnen waardoor je gemakkelijker te benaderen bent. Zo kan een telefoonnummer gebruikt worden om u persoonlijk op te bellen om u met een verzonnen probleem te helpen. Ook via e-mailadressen kan je persoonlijk benaderd worden. Meestal in naam van.
Controleer dus de instellingen van uw sociale media diensten, zoals Facebook en Twitter. Zorg ervoor dat gevoelige gegevens niet zichtbaar zijn voor het grote publiek. Verwijder niet noodzakelijke gegevens zoals telefoonnummers op Facebook of locaties op Twitter en zorg dat je e-mailadres geheim blijft. Gebruik voor het werk een afzonderlijk e-mailadres dat je zoveel mogelijk afschermt.
Een extreme stap is het gebruik van een pseudoniem voor diensten, alhoewel niet alle diensten dit toelaten (Facebook).
Tweeledige authentificatie
Eén van de veiligste aanmeldmethodes van de laatste jaren is de tweeledige authentificatie (Two-factor authentification). Bij veel diensten en websites met gevoelige informatie kan je tweeledige authentificatie inschakelen om de veiligheid te verhogen.
Meestal is de dienst dan in het bezit van uw mobiel telefoonnummer waardoor ze een unieke eenmaal te gebruiken code per SMS versturen. Deze SMS code heb je samen met je wachtwoord nodig om toegang tot de dienst te krijgen. Sommige diensten sturen de code via e-mail of via een speciale app of een kaartlezer zoals bij de banken.