Uit een onderzoek van NIST blijkt dat generale internet gebruikers last hebben van internetvermoeidheid.
Wat een term! Toch ben ik het blakend met ze eens. Waarom moeilijk doen als het makkelijk kan? Waarom ontzettend complexe constructies bedenken als ik overal dezelfde wachtwoorden voor kan gebruiken?
Natuurlijk komt van de andere kant de reactie van security professionals die aangeven dat elk wachtwoord anders moet zijn, ze minimaal 12 of zelfs 14 tekens lang moeten zijn en wat voor gevaren er wel allemaal niet bestaan. Ik, als security consultant, heb zo ook mijn eigen mening :).
Wat beschermt jouw wachtwoord?
Om mijn perspectief over het onderwerp goed uit te leggen maak ik gebruik van één vraag: Wat beschermt jouw wachtwoord? Ben jij CEO van een grote financiële instelling en geeft jouw wachtwoord toegang tot inzicht in cijfers waarmee, indien uitgelekt, concurrenten veel geld kunnen verdienen? Ben jij de HR directeur van een groot telecombedrijf en beschermt jouw wachtwoord de gegevens van al je werknemers en wellicht klanten? Ben jij de kern fysicus en geeft jouw wachtwoord toegang tot het beheren van een grote kerncentrale? Je raadt het al; een streng wachtwoordbeleid zou hier van toepassing moeten zijn. Sterker nog, deze mensen en mensen in vergelijkbare posities zouden sowieso goed ingelicht moeten worden zodat ze thuis net zo aandachtig bezig zijn met security als op het werk. Maar, ben jij een medewerker van de lokale bloemist en beperken jouw wachtwoorden zich tot toegang naar nu.nl, dumpert.nl en anwb.nl dan hebben we het over totaal iets anders.
Security awareness
Uiteraard moeten werk-gerelateerde zaken geregeld worden door het werk zelf. Elk bedrijf zou een wachtwoordbeleid moeten hebben dat past bij de functie en hetgeen het wachtwoord beveiligt. Het probleem ontstaat vaak wanneer de gebruiker thuis een wachtwoordbeleid moet hanteren. Er zijn weinig regels voor te vinden en security awareness is vaak ver te zoeken. Zodra dit gebeurt gaan we terug naar een van de oorzaken van het probleem: internetvermoeidheid.
Wanneer de gemiddelde internetgebruiker thuiskomt en inlogt om zijn favoriete nieuwssite te bekijken, gebruikt hij naar alle waarschijnlijkheid hetzelfde of een vergelijkbaar makkelijk te onthouden wachtwoord voor zijn sociale mediasites zoals facebook of bijvoorbeeld om in te loggen met DigiD of bij zijn bank.
Om dit tegen te gaan is een stukje security awareness, vanuit de overheid, een must (en gelukkig zijn ze daar ook mee bezig, zie hier en hier). Daarnaast is security awareness vanuit het bedrijfsleven (zoiets als dit) ook een voorbeeld. Uiteindelijk komt het neer op de term die ik het liefst gebruik: gezond boeren verstand.
Wachtwoorden en bescherming
Je kunt voor jezelf een banale risico analyse neerzetten: Stel dat mijn account wordt gehackt, wat ben ik dan kwijt? Hoe vervelender je het antwoordt vindt, hoe sterker je je wachtwoord moet maken. Om een concreet voorbeeld neer te zetten zal ik deels open kaart spelen. De volgende categorieën gebruik ik:
- Voor nieuwssites en vergelijkbaar gebruik ik geen echte gegevens:
Een fantasierijke loginnaam en een eenvoudig kort wachtwoord (Hoofdletter – kleine letters – cijfers en een leesteken)
Bijvoorbeeld: HeldOpSokken met als wachtwoord: Harry123?
Dit wachtwoord gebruik ik voor meerdere sites. Mijn wachtwoord beschermt mijn fantasierijke e-mail adres (wijkt af van andere adressen) en wat vals ingevulde informatie. Daarnaast verander ik dit wachtwoord een keer per jaar naar iets net zo gemakkelijks.
- Voor sites waarbij ik informatie over mijzelf weergeef, zoals Facebook (welke eigenlijk een categorie hoger valt omdat ze tegenwoordig gebruikt kan worden als identificatie middel), YouTube en nog wat andere zaken (bijv. gaming accounts):
Bij deze categorie hanteer ik een ander beleid. Mijn tweede e-mail adres (of accountnaam) is nog steeds fantasierijk (niet te herleiden naar mijn persoon) en de wachtwoorden zijn subtiel verschillend van elkaar en langer.
Bijvoorbeeld: SokkenHeld met als wachtwoord 1M2a3t4s5R6o7s@YT.nl voor YouTube en 1M2a3t4s5R6o7s@FB.nl voor Facebook. Dit wil niet zeggen dat het wachtwoord altijd matched met de dienst, maar heel gek is het niet.
Deze wachtwoorden verander ik met een regelmaat van 6 maanden. - De derde categorie gebruik ik alleen voor de belangrijke zaken zoals bankzaken, DigiD, zorgverzekeringsaccount etc. Accounts met wachtwoorden die belangrijke informatie over mij beschermen. Voor deze accounts heb ik een derde e-mail adres in gebruik, met informatie in de titel herleidbaar naar mij bijvoorbeeld met mijn naam of initialen erin. Mijn gebruikersnamen hier zijn meestal nergens naartoe herleidbaar maar soms met mijn naam erin (als deze is toegewezen). Elke gebruikersnaam verschilt van elkaar en elk wachtwoord is compleet anders, langer en complexer.
Bijvoorbeeld: ros@heldopsokken.nl met accountnaam FCKGW-RHQQ2 met wachtwoord: DitWachtwoordGebruikIkVoorDeBankSinds01-01-2016!
Het wachtwoord is lang en complex maar toch enigszins gemakkelijk te onthouden.
Deze wachtwoorden verander ik naar gelang eens in de 3 maanden.
Natuurlijk gebruik ik mijn gezonde verstand en zorg ik ervoor dat ik geen gemakkelijk target ben; vanwege mijn professie als security consultant loop ik al meer risico dan de gemiddelde bloemist, maar ik ben op zich een minder target dan Hillary Clinton (zie hier, hier en hier) als president kandidaat van de VS.
Tooling voor wachtwoorden
Of ik tooling gebruik om mij te helpen met het beheren van mijn wachtwoorden? Ja dat wel, maar let op! Alleen voor categorie 1 & 2. De derde categorie blijf ik altijd zelf invullen (dus auto-invullen) staat ook uit voor zowel gebruikersnaam als wachtwoord. KeePass en LastPass zijn aan te raden.
Uiteraard zullen er legio mensen zijn die hun eigen kijk hierop hebben, maar de belangrijkste vraag  blijft: wat beschermt jouw wachtwoord?
