Wachtwoorden zijn de sleutels tot onze digitale identiteit. Een sterk wachtwoord vormt de eerste verdedigingslinie tegen cybercriminelen. Uit statistieken blijkt echter dat 36% van de Britse respondenten wachtwoorden op 5 tot 10 websites hergebruikt en dat 35% toegeeft hun wachtwoorden elke dag of meerdere keren per week te resetten.

Wat zijn de vereisten voor wachtwoordbeveiliging?

Veel mensen gebruiken nog steeds zwakke of gemakkelijk te raden combinaties als wachtwoord. Om een hoog niveau van wachtwoordbeveiliging te garanderen, moet met verschillende factoren rekening worden gehouden. Het kiezen van een veilig wachtwoord en het gebruik van een wachtwoordbeheerder kunnen worden beschouwd als fundamentele aspecten van wachtwoordbeveiliging.

Wat maakt wachtwoorden veilig?

Hoewel veilige wachtwoorden alleen geen absolute bescherming bieden tegen aanvallen van cybercriminelen, is het toch cruciaal om een veilig wachtwoord te maken om uw accounts te beveiligen. Gebruikers kunnen aan de hand van een aantal criteria controleren of het door hen gekozen wachtwoord veilig is:

  • Lengte: De lengte van een wachtwoord speelt een cruciale rol, aangezien langere wachtwoorden exponentieel moeilijker te kraken zijn dan kortere. Een sterk wachtwoord moet minimaal 12 tot 16 tekens lang zijn.
  • Complexiteit: Een veilig wachtwoord moet hoofdletters en kleine letters, cijfers en speciale tekens zoals @, # of $ bevatten. Deze variatie maakt het zowel voor mensen als voor geautomatiseerde tools moeilijker om het wachtwoord te raden.
  • Onvoorspelbaarheid: Vermijd eenvoudige patronen of herkenbare woorden in wachtwoorden, aangezien cybercriminelen vaak woordenboekaanvallen gebruiken, waarbij ze veelvoorkomende wachtwoorden testen.
  • Uniekheid: Gebruik wachtwoorden niet voor meerdere diensten en platforms. Gebruik in plaats daarvan unieke wachtwoorden voor elke webservice.
  • Regelmatige updates: Vooral voor kritieke diensten kan het regelmatig bijwerken van wachtwoorden het risico op misbruik als gevolg van eerdere beveiligingsinbreuken verminderen.

De juiste wachtwoordbeheerder kiezen

Wachtwoordbeheerders zijn praktische hulpmiddelen voor het genereren en veilig opslaan van complexe wachtwoorden. Let er bij het kiezen van de juiste wachtwoordbeheerder op dat deze end-to-end-versleuteling ondersteunt en functies bevat zoals waarschuwingen bij inbreuken of beveiligingsaudits. Regelmatige updates zijn een andere indicator voor een betrouwbare wachtwoordbeheerder.

Grote wachtwoordlekken in de afgelopen jaren

Elke dag vertrouwen we enorme hoeveelheden gevoelige gegevens toe aan bedrijven en technologie, waarbij wachtwoorden vaak de enige bescherming vormen – een bescherming die, zo lijkt het, niet serieus genoeg wordt genomen. Dit blijkt uit de talrijke datalekken in de recente geschiedenis van het internet. Cybercriminelen hebben herhaaldelijk toegang gekregen tot inloggegevens met behulp van methoden zoals malware, phishing-e-mails of brute-force-aanvallen, waarbij ze vertrouwelijke gebruikersgegevens hebben gestolen. Hieronder volgt een overzicht van enkele van de belangrijkste incidenten:

  • LinkedIn (2012, 2016): LinkedIn werd in 2012 gehackt, wat resulteerde in de diefstal van meer dan 6,5 miljoen gehashte wachtwoorden. In 2016 doken nog eens 117 miljoen inloggegevens van deze hack op in het dark web.
  • Yahoo (2013, 2014): Een van de grootste beveiligingsinbreuken ooit trof Yahoo. Tussen 2013 en 2014 werden in totaal drie miljard accounts gehackt, inclusief gebruikersnamen, wachtwoorden en beveiligingsvragen.
  • Adobe (2013): Meer dan 150 miljoen Adobe-gebruikersaccounts werden gestolen tijdens een inbreuk, waarbij veel van de wachtwoorden slecht versleuteld waren.
  • Facebook (2019): Facebook onthulde dat miljoenen gebruikerswachtwoorden in platte tekst op interne servers waren opgeslagen. Hoewel de gegevens niet naar buiten zijn gelekt, benadrukte het incident de noodzaak van veilige praktijken, zelfs op bedrijfsniveau.
  • Collection #1-#5 (2019): In januari 2019 werden meer dan twee miljard e-mailadressen en wachtwoorden uit verschillende bronnen, waaronder bekende en voorheen onbekende lekken, gepubliceerd als onderdeel van dit megalek.
  • Twitter/X (2022): Door een bug kwamen persoonlijke gegevens van meer dan 5,4 miljoen accounts, waaronder telefoonnummers en e-mailadressen, op straat te liggen.
  • RockYou (2024): RockYou2024 was een enorm lek, dat wordt beschouwd als een van de grootste ooit gepubliceerd, met meer dan 9,9 miljard wachtwoorden uit verschillende bronnen.

Deze gebeurtenissen onderstrepen het cruciale belang van cyberbeveiliging. De resultaten van een representatieve enquête die GMX onder 1.050 mensen heeft gehouden, zijn des te verbazingwekkender: 64% van de mensen gaf aan dat ze hetzelfde wachtwoord gebruiken voor sommige of zelfs al hun online accounts, terwijl slechts 21% voor elk account een ander wachtwoord gebruikt. Uit het GMX-onderzoek van 2019 bleek ook dat 9% nog nooit het wachtwoord van hun belangrijkste e-mailaccount had gewijzigd, waardoor ze zeer kwetsbaar zijn.

Afbeelding: Infographic: The British and their passwords
Infographic on the topic ‘The British and their passwords’.
Opmerking

Voor hun aanvallen gebruiken cybercriminelen vaak niet hun eigen computers, maar maken ze misbruik van de apparaten van nietsvermoedende gebruikers. Deze apparaten worden geïnfecteerd met kwaadaardige software, waardoor aanvallers ze op afstand kunnen bedienen. Dergelijke gecompromitteerde systemen, vaak bots of zombies genoemd, worden georganiseerd in grote netwerken.

Hoe u de veiligheid van uw wachtwoord kunt controleren

Het controleren van de veiligheid van uw wachtwoorden is een cruciale stap om uw digitale accounts te beschermen tegen ongeoorloofde toegang of na datalekken. Er zijn verschillende methoden en hulpmiddelen beschikbaar om te controleren of uw wachtwoorden zijn gecompromitteerd, voldoen aan de huidige veiligheidsnormen of te zwak zijn.

Online diensten voor controles op datalekken

  • Have I Been Pwned (HIBP): Een van de bekendste en meest vertrouwde platforms is Have I Been Pwned (HIBP). Hier kunt u controleren of uw e-mailadres of wachtwoord is gecompromitteerd in een bekend datalek. Door uw e-mailadres in te voeren, ontvangt u een lijst met websites die zijn getroffen door lekken waarbij uw gegevens mogelijk zijn gestolen. De site maakt ook directe wachtwoordcontroles mogelijk, waarbij anonimiteit wordt gegarandeerd door middel van gespecialiseerde hashing-technologieën.
  • Google Security Check: Google biedt een geïntegreerde functie voor wachtwoordcontrole in Chrome. De browser waarschuwt u als een van uw opgeslagen wachtwoorden deel uitmaakt van een datalek. Bovendien kunt u via uw Google-account een uitgebreide veiligheidscontrole uitvoeren, die ook zwakke of hergebruikte wachtwoorden identificeert.
  • Beveiligingsfuncties van wachtwoordbeheerders: Veel moderne wachtwoordbeheerders bieden een functie om uw opgeslagen wachtwoorden te controleren. Deze tools scannen op zwakke punten, dubbel gebruik en bekende beveiligingsincidenten. Zo krijgt u een duidelijk overzicht van welke wachtwoorden moeten worden bijgewerkt.

Wachtwoordsterkte testen

Naast het controleren op datalekken, is het essentieel om de sterkte van uw wachtwoorden te evalueren. Er zijn tal van tools die u hierbij kunnen helpen door de lengte, complexiteit en entropie (willekeurigheid) van een wachtwoord te beoordelen. Deze diensten simuleren ook hoe lang het zou duren om uw wachtwoord te kraken met een brute-force-aanval. Het wachtwoord 123456 kan bijvoorbeeld in minder dan een seconde worden gekraakt, terwijl een sterker wachtwoord zoals X$4g8JwQ!a_%j jarenlang bestand zou zijn tegen aanvallen.

Handmatige beoordeling en monitoring

Als u weet dat een bepaald platform is getroffen door een datalek, controleer dan of u een account op dat platform hebt. Wijzig onmiddellijk uw wachtwoorden, vooral als u ze op andere websites hebt hergebruikt. Het is ook nuttig om nieuws over cyberbeveiliging of platforms zoals Reddit (bijvoorbeeld de subreddit [r/netsec]) te volgen om op de hoogte te blijven van nieuwe datalekken. Beveiligingslekken worden daar vaak eerder gemeld dan via officiële kanalen, waardoor u tijdig preventieve maatregelen kunt nemen. Daarnaast bieden tools zoals HIBP e-mailmeldingen die u waarschuwen wanneer uw e-mailadres in een nieuw lek verschijnt.

Ga naar hoofdmenu