Privacy tools - Wachtwoordkluis
Accounts en wachtwoorden
Accounts en wachtwoorden, je lijkt er nooit genoeg te hebben. Nieuwe webshop ontdekt? Je krijgt er gratis een account bij. Nieuwe app testen op je telefoon? Eerst een accountje maken.
Gemiddeld verzamelen we zo'n 100 tot 150 accounts, waarvan er een 10-tal regelmatig gebruikt worden.
Om die hoeveelheid mentaal aan te kunnen, zullen veel mensen dezelfde combinatie van e-mailadres of gebruikersnaam en wachtwoord voor veel van die accounts gebruiken. Hooguit de meest belangrijke accounts (denk aan bank of je primaire e-mail) krijgen een ander wachtwoord. (Maar dan nog is de kans groot dat het niet zo veel verschilt van je favoriete wachtwoord.)
Sommige mensen zullen nu denken: "Ah, maar ik heb een systeem bedacht zodat ik overal een ander wachtwoord heb en dat ik ze toch allemaal kan onthouden!"
Zoals ik in het artikel over privacy mindset beschrijf, geef je het beheer van je informatie uit handen elke keer je beslist om ze aan een andere partij te overhandigen. Het aanmaken van een account met wachtwoord is niet anders.
Er is een gezegde dat gaat: "Er zijn 2 soorten bedrijven: degene die al gehackt zijn en degene die nog gehackt moeten worden."
Je moet er dus van uit gaan dat jouw gegevens ooit op de digitale straat terecht komen. Niet alleen alle informatie die in je accounts zit, maar ook (en vooral) de accountgegevens zelf. Niet alle partijen versleutelen jouw gegevens even goed, dus je kan er op aan dat je e-mailadres en wachtwoord er nu en dan ook bij zullen zijn.
En wat kan er gebeuren als jij overal hetzelfde e-mailadres en wachtwoord gebruikt? Of hoe goed is jouw 'systeem' om overal een 'ander' wachtwoord te gebruiken als één of enkele van die wachtwoorden in platte tekst te lezen zijn? Ben je zeker dat één of andere slimmerik jouw systeem niet kan ontcijferen?
Wanneer ook jouw e-mailadres gelekt is, kan je gif op innemen dat eerst geprobeerd zal worden toegang te krijgen tot dat account. Het kan immers bijna altijd gebruikt worden om een wachtwoord van een ander account te wijzigen wanneer je dat wachtwoord vergeten bent. Ook om toegang te krijgen tot accounts 'zonder' wachtwoord (waar je inlogt via een tijdelijke magische link die je in je inbox krijgt), is je e-mail-account de toegangspoort.
Herken je jouw relatie met accounts en wachtwoorden in wat ik hierboven beschrijf? Dan is er werk aan de winkel!
Maar geen paniek, dit artikel helpt je al een heel eind op weg!
Wachtwoordkluis of password manager
De oplossing die je helpt om al je accounts beter te beheren, is een wachtwoordkluis of password manager. Zoals de naam het al wat zegt, is dit software of 'een app' die een digitale kluis vormt om (in de eerste plaats) jouw meest gevoelige digitale gegevens in te bewaren.
Deze kluis is op zijn beurt beveiligd met een (je raadt het al) wachtwoord. Dit wachtwoord noemen we je 'hoofdwachtwoord' of 'master password'. Vanaf nu is dit het meest belangrijke (en binnenkort hopelijk het enige) wachtwoord dat je nog zal moeten onthouden.
Dat wil zeggen dat je van dit wachtwoord wel even 'je werk' moet maken. Geen simpele (of minder simpele) gelijkenissen aan je, tot nu toe, favoriete wachtwoord! Geen kort, snel in te geven woordje.
Ons 'master password' moet onze kluis beschermen tegen 'brute force' aanvallen (computers die 'elke' mogelijke combinatie in sneltempo proberen) en tegen personen die het master password proberen te raden, maar jij moet het gemakkelijk kunnen onthouden.
Dit moet iets zijn dat écht goed is.
"Maar wat is dan een goed wachtwoord?", hoor ik je vragen. Daarover zijn de meningen verdeeld, maar het is veilig om te stellen dat een wachtwoord beter wordt naar mate het langer wordt. Het is niet noodzakelijk om er een hoop speciale tekens aan toe te voegen om het 'beter' te maken. Een concept als een wachtwoordzin of 'passphrase' biedt hier de oplossing.
Wanneer je enkele (liefst niet gerelateerde) woorden combineert, kan je de lengte van je passphrase al snel vergroten. Als je die woorden koppelt met een spatie, een koppelteken of een underscore, heb je meteen een 'speciaal' teken. Begin het eerste woord (of elk woord) met een hoofdletter en je hebt al een combinatie van 3 soorten karakters. En om af te ronden, kan je eindigen met een cijfer.
Het resultaat is een wachtwoordzin die lang is en bestaat uit hoofdletters, kleine letters, cijfers en speciale tekens, maar die ook nog eens gemakkelijk te onthouden is.
Een voorbeeld kan zijn: Rozenstruik-Hamster-Beker-Vloertegel-6Autos (5 woorden, totale lengte: 43)
Gebruik dit wachtwoord niet!
Nu is het jouw beurt, verzin jouw 'master passphrase'.
Wat is een goede password manager?
Nu je weet hoe je je wachtwoordkluis moet beveiligen, kunnen we gaan onderzoeken wat nu een goede wachtwoordkluis is.
Er zijn enorm veel password managers beschikbaar en daaruit 'de goeie' kiezen is bijna onmogelijk. Om te beginnen, verschillen persoonlijke noden voor iedereen. Ik geef hieronder enkele punten die ik belangrijk vind om een goede uit te kiezen.
Om te beginnen, gaat de voorkeur steeds uit naar Open Source Software. Dit is software waarvan de code vrij in te kijken is voor iedereen die dat wenst. Dat wil niet zeggen dat wij al die code gaan onderzoeken om te zien wat er gebeurt. Maar dat wil wel zeggen dat security researchers en enthousiasten dit kunnen doen. Het verplicht de makers van de software om integer te zijn, als ze op hun website iets beweren dat niet overeenstemt met wat de code doet, kan dat gemakkelijk ontdekt worden.
Daarnaast is er een duidelijk onderscheid te maken tussen 'online' en 'offline' password managers. Met andere woorden, is het gemakkelijk om je wachtwoorden te synchroniseren tussen verschillende toestellen of vraagt het wat meer effort?
Online password managers maken veelal gebruik van de infrastructuur van het bedrijf dat ze aanbiedt om de synchronisatiefunctionaliteit in te richten (mogelijks met bijhorende kosten). Offline password managers zijn programma's die je installeert op je toestel en die de wachtwoordkluis alleen op dat toestel beschikbaar stellen. Synchronisatie kan in dit geval ook, maar die moet je dan zelf inrichten. Je maakt in dit geval geen gebruik van andermans infrastructuur en hebt bijna tot geen extra kosten.
Tenslotte heb je ook nog de verschillende features of functionaliteiten die een bepaalde password manager heeft. Zijn er integraties met browsers mogelijk om gemakkelijk je gegevens te laten invullen? Biedt je wachtwoordkluis de mogelijkheid om 2FA (two factor authentication of tweestapsverificatie) codes te genereren? Kan de password manager zelf goede wachtwoorden / wachtzinnen genereren? Hoe krijg je toegang tot je kluis? Moet je telkens je 'master passphrase' ingeven of kan er gebruik gemaakt worden van de beveiliging van toestel (denk vingerafdruk of gezichtsscan van je telefoon)?
Online password manager
Een open-source online wachtwoordkluis met een goede reputatie is Bitwarden. Ze bieden verschillende abonnementsplannen aan voor zowel persoonlijk als zakelijk gebruik, elk met meer functionaliteiten naarmate de maandelijkse prijs hoger wordt. Ze bieden ook een gratis plan aan, dat in de belangrijkste noden voorziet.
Je maakt een account aan op hun server (ze bieden een optie voor EU en US, om aan de verschillende regelgeving te voldoen) en download de applicatie(s) die je nodig hebt: desktop, mobiel, browser extensie. In elk van die applicaties log je in met je account (denk er aan om een goede 'master passphrase' te kiezen!) en je kan beschikken over je wachtwoordkluis.
Je wachtwoordkluis wordt automatisch gesynchroniseerd tussen je verschillende apparaten en eens ze gesynchroniseerd is, hoef je niet altijd online te zijn om ze te raadplegen. Om items toe te voegen, moet je wel online zijn zodat ze meteen in je centrale kluis opgeslagen kunnen worden.
Om van start te gaan met Bitwarden, heb ik enkele filmpjes gemaakt die je kan bekijken. Ze helpen je op weg om een account te maken, de browser extensie te installeren en de mobiele app op Android te installeren.
Bitwarden heeft een heel sterk gestroomlijnde gebruikerservaring, dus installatie en configuratie op iPhones is zeer gelijkaardig.
Offline password manager
Een goede open-source offline password is KeePassXC (voor desktop en laptop), KeePassDX (voor Android) en Strongbox (voor iOS). Elk van deze applicaties is geschikt om een wachtwoordkluis te openen die met een van de andere applicaties is aangemaakt. Ze zijn elk verbeterde versie van het originele KeePass.
Zoals gezegd, hoef je alleen de applicatie te installeren en je kan van start gaan met een nieuwe kluis. Die kluis is een beveiligd bestand (denk er weer aan om een goede 'master passphrase' te kiezen!) dat op je computer of smartphone leeft.
Niet in 'de cloud' dus.
Geen automatische backups.
Geen klantendienst om je te helpen als je er niet meer in kan.
Maar dus ook geen gegevens die door een derde partij beheerd worden en daar eventueel gehackt kunnen worden.
Geen maandelijkse kosten voor een abonnement en dus ook geen betaalgegevens die opgeslagen moeten worden.
Geen derde partij die kan beslissen of jij toegang krijgt tot je eigen wachtwoorden.
Geen organisatie die weet wanneer en van waar jij jouw wachtwoorden raadpleegt.
Door te kiezen voor een offline password manager worden die dingen dus allemaal je eigen verantwoordelijkheid. Jij bepaalt waar je de wachtwoordkluis bewaart, jij bepaalt wanneer en hoeveel backups je neemt en waar je die backups bewaart. Jij bepaalt welke kluis je op welk toestel beschikbaar hebt, want niets of niemand houdt je tegen om meerdere van die kluizen aan te maken.
Voor het dagelijkse gebruik staan dezelfde componenten in als wanneer je Bitwarden gebruikt: de browser extensie gebruik je om je wachtwoorden te laten invullen op je computer (die extensie linkt zich aan de KeePassXC applicatie die op je computer draait) en de mobiele app kan gebruik maken van de 'autofill' functionaliteiten van je smartphone.
Filmpjes voor KeePassXC/DX en Strongbox heb ik (momenteel) niet, maar ik moedig je aan om eens rond te surfen en de software te verkennen. Het gebruik ervan valt reuze mee!
Hoe moet het nu verder?
Nu je wachtwoordkluis klaar is voor gebruik, is dat wat je ook moet beginnen doen: ze gebruiken.
Ik raad je ten zeerste af om meteen al je accounts af te lopen en je wachtwoorden in de kluis te stoppen, dat is een (onprettig) werkje dat enorm veel geduld (en tijd) vraagt.
In plaats daarvan, zou ik je aanraden om je belangrijkste en meestgebruikte accounts er in te stoppen. Log in op je account, ga naar je accountinstellingen en kies om je wachtwoord te wijzigen. Je nieuwe wachtwoord laat je genereren door je wachtwoordkluis en sla je daar op, samen met de gebruikersnaam en het e-mailadres voor dat account. Bekijk de velden die je ter beschikking hebt en vul eventuele andere belangrijke accountinformatie ook in.
Elke volgende keer dat je inlogt op een account dat nog niet in je wachtwoordkluis zit, doe je hetzelfde: wachtwoord wijzigen en opslaan in je password manager.
Op die manier spreid je de benodigde tijd en moeite en uiteindelijk worden je accounts stap voor stap weer wat veiliger.
Veel succes!