Column: Ik weet mijn wachtwoord niet, gelukkig

Ik heb accounts bij zeker tweehonderd websites en een handvol mobiele apps. Van geen enkele ken ik mijn wachtwoord en daar ben ik dolgelukkig mee. 

Waar let je op als je van huis gaat? Bij de meeste mensen zijn dat twee dingen: sleutels en de telefoon. De rest kun je wel een dag missen of onderweg wel kopen. Die twee onmisbare zaken zijn beiden om deuren mee te openen, letterlijk en figuurlijk. Als je die niet bij je hebt dan je een toeschouwer van wat er die dag gebeurt. Geen deelnemer.

Je sleutels kun je dan nog wel missen, maar je telefoon? Het is heel makkelijk te testen hoe emotioneel mensen daarover zijn. Vraag je partner maar eens of je zijn/haar telefoon een dagje mag lenen. Zomaar, bij wijze van proef. Je weet direct dat het echte liefde is als je hem direct krijgt zonder ook maar één vraag. Maar probeer eens de telefoon van een collega of een vriend een dag te lenen. Dat zal heel wat lastiger blijken. Ok, velen mogen graag zeggen dat ze niets te verbergen hebben maar vertrouwen is toch een rekkelijk begrip. 

Slordig met wachtwoorden

Waarom zijn mensen dan zo slordig, zo vreselijk slordig, met hun wachtwoorden? 's Werelds meestgebruikte wachtwoord is '123456', gevolgd door 'password', '12345678' en 'qwerty'. Dat is natuurlijk vrágen om problemen. Niet omdat een hacker per se op zoek is naar jou maar wel naar mensen zoals jij. Mensen die niets om hun veiligheid geven of daar op zijn minst niet naar handelen. Dan ben je de zwakste schakel en lig je er als eerste uit. Verloren op punten, technische knockout, niet geschikt om mee te doen. Kortom, beveilig jezelf.

Wachtwoordbeleid

Om dat punt nog maar eens duidelijk te maken deze twee voorbeelden van afgelopen week. Eén: fitnessbedrijf Under Armour meldde de 150 miljoen gebruikers van zijn MyFitnessPal dat vreemdelingen toegang hadden tot de accountgegevens. Twee: het AD zag hoe inloggegevens van miljoenen Nederlanders - tja - eigenlijk op straat liggen. De enigen die dat niet zien zijn jij en ik. De steeldieven lachen in hun vuistje. Je hebt recht op een privé domein en dat moet je beschermen. Zoveel is nu wel duidelijk. Zoals je een goed slot op je deur hebt, misschien wel een beveiligingscamera hebt, zo moet je ook een wachtwoordbeleid hebben. Dat is de reden dat ik geen van mijn wachtwoorden weet.

Wachtwoordmanager en tweestapsverificatie

Hoe dit werkt? Ik gebruik 1Password om unieke wachtwoorden te genereren en te onthouden. Net zo makkelijk zijn Dashlane en Keepass. Een tweede stap om boeven buiten de deur te houden is tweestapsverificatie te gebruiken wanneer mogelijk. Google, Facebook, Dropbox, Twitter en andere techpartijen bieden deze optie*. Daarbij moet je bij het inloggen nog een extra 'wachtwoord' intikken, iets dat je krijgt per SMS, Google Authenticator of een Yubikey of Nitrokey. Als extra beveiliging kun je een VPN gebruiken. ProtonVPN is gratis maar overweeg een abonnement te nemen. Ze hebben het geld nodig en doen er goede dingen mee. 

Al deze maatregelen bieden geen honderd procent garantie dat je nooit digitaal slachtoffer wordt. Wel weet je zeker dat je geen laaghangend fruit meer bent in de wereld van de nietsontziende cybercriminelen. 

* Red.: Bij veel e-mailproviders is het beveiligen met tweestapsverificatie vrij gemakkelijk, maar niet bij allemaal. Ziggo biedt het nog niet aan, tot frustratie van sommige klanten. Volgens een woordvoerster gaat die optie 'ergens later dit jaar' ingebouwd worden.