Keeping passwords secure
You often need passwords for the computer systems and websites you use in both your personal and professional life. But this creates a security risk, and it can be difficult to remember all the different passwords.
Saving your passwords on paper or in a document is a not a good idea. This article explains how to create a strong and secure password, how to double-check that your password is strong and secure, and what a password manager is and how to use it.
How to keep passwords secure?
Use strong and secure passwords
Many of us use obvious passwords that are easy to remember. After all, you want to be able to log in quickly and not make things hard for yourself. And it’s never nice to discover that you can’t remember your password yet again, and need to click the infamous ‘forgotten password’ button for the umpteenth time. But this approach usually results in poor password choices – such as ‘123456’, ‘password’, ‘qwerty’ or a combination of your name and birthday – which aren’t secure because they’re much easier for computer programs to crack.
The Safeonweb.be website, an initiative by the Belgian Government, provides a series of useful tips for creating strong and secure passwords.
What you definitely SHOULD do:
- Use a combination of uppercase and lowercase letters with numbers, symbols and punctuation marks.
Using numbers, uppercase letters, symbols and punctuation marks makes your password harder to crack because it dramatically increases the number of possible combinations. You can use numbers, uppercase letters and symbols anywhere in your password or passphrase.
- Use a long password
Use a password that contains at least 13 characters. It’s often easier to remember a passphrase than a password, but you should choose a phrase or sentence that is meaningful only to you and does not consist only of existing words that are easy to guess – making up your own words or writing words backwards, for example, makes your passphrases much stronger. Obvious phrases, such as ‘iloveyou’, are therefore not a good choice.
What you definitely SHOULDN’T do:
- Do not use a predictable password.
- Do not use personal details, such as your name and year of birth (e.g. ‘YourName1985’).
- Do not use common expressions, such as ‘seizetheday’.
- Do not use a serial number, such as ‘seizetheday1’, ‘seizetheday2’, ‘seizetheday3’...
- Do not just use repeat characters (e.g. ‘aaabbbccc’).
- Do not use the same password for different accounts.
Using the same password for different accounts is inadvisable. If cybercriminals crack your password for one website, they could then try to use that same password for other websites too. It is therefore recommended to use long and completely different passwords for different applications, especially for accounts that include payment or personal details.
- Do not share any passwords.
Sharing passwords is unwise as you never know what might happen with them. If you do want to share a password, however, make sure you use a password manager or vault (see below) to do so securely.
- Do not save passwords in such a way that they are visible.
- Do not save your passwords anywhere they can be seen near your computer – so not on a piece of paper stuck to your screen or desk, for example. It’s also best not to save passwords in an email or document on your computer, smartphone or tablet.
- Do not use the same password for a long period of time.
It is recommended to change your passwords regularly: at least every year for your personal accounts, and even more often for your professional accounts. If one of your accounts gets hacked, you need to change all your passwords immediately. When you change your password, always check that any issues with the website have already been resolved first; you could very well be changing your password in vain if they haven’t.
- Do not use any ‘secret questions’.
Sometimes people use an answer to a question as their password (e.g. what’s your pet’s name?) Try to avoid secret questions like this as the answers can often be found on the internet.
Check your password is strong and secure
Want to find out if you’re already using a strong password? You can test how fast hackers can crack your password on the How Secure Is My Password website. The longer it takes for hackers to crack your password, the better. Enter your password on the website to do the test.
We tested the website by entering ‘azerty’, and it says that this password can be discovered instantly because it’s one of the top 10 most used passwords. The website also uses the colour red to indicate that it’s not a strong password.
If we enter ‘nastasia’, the website says that it can be found in about five seconds, because it’s possibly a word or name. It also says that adding numbers and symbols could make the password more secure. Entering ‘nastasia1’ as a password increases the time it would take a computer to crack it to 42 minutes, and even just changing the first character to uppercase (‘Nastasia1’) increases the time taken for a computer to crack it to three days.
Changing the password to ‘Nastasia1!’ further increases the time it would take for a computer to crack it to 5 years.
We kiezen voor een langer wachtwoord, en gaan voor een wachtzin. Dat is een volledige zin in plaats van een korte opeenvolging van letters, cijfers en tekens bij een wachtwoord. Een voordeel van een wachtzin is de lengte. Meestal is een wachtzin ook makkelijker te onthouden. We opteren voor ‘KoffieIsLekker’. De tool geeft aan dat het een computer 837.000 jaar zou kosten om dat wachtwoord te raden.
Als we vervolgens nog cijfers en tekens toevoegen en er ‘K0ff1e1sLekker!’ van maken, zou het zelfs zestien miljard jaar duren voor een computer het wachtwoord raadt. Tekens en cijfers zijn echter niet noodzakelijk. ‘Debrunchwaslekker’ vraagt 118 miljard jaar van een computer om de wachtzin te vinden.
Op de website https://haveibeenpwned.com/ kun je controleren of je al eens slachtoffer geweest ben van een datalek. Indien dat het geval is, verander je best je wachtwoord.
Gebruik verificatie in twee stappen
Een aanvullende manier om veiliger met wachtwoorden om te gaan is het gebruik van verificatie in twee stappen. Daarbij wordt meestal gebruik gemaakt van iets dat je weet (bv. een wachtwoord) en iets dat je hebt (bv. een gsm) of iets dat je 'bent' (bv. vingerafdruk). Het gebruik van verificatie in twee stappen is eenvoudig.
In de eerste stap log je met je wachtwoord in bij je account (vb. Facebook, Twitter, Google, Microsoft). In de tweede stap stuurt de website een code naar je gsm die je invult om toegang te krijgen tot je account. Er zijn ook andere manieren voor verificatie in twee stappen zoals bv. de Google Authenticator App of fysieke keys.
Gebruik een password manager of wachtwoordkluis
Als je veel complexe wachtwoorden hebt die je moet onthouden, is het een goed idee om een password manager of wachtwoordkluis te gebruiken. Password managers of wachtwoordmanagers zijn gemaakt om op een veilige manier je accounts en hun bijbehorende wachtwoorden veilig op te slaan in de vorm van een versleutelde databank. De wachtwoordkluis zelf beveilig je met een sterk wachtwoord. Het voordeel daarvan is dat je snel en relatief veilig aan je wachtwoorden kan en dat je in principe maar één wachtwoord moet onthouden. Dat is meteen een belangrijk aandachtspunt. Je versleutelt immers al je wachtwoorden met één wachtwoord. Zorg dus dat je hoofdwachtwoord voldoende lang is en uit hoofdletters, kleine letters, cijfers en leestekens bestaat.
Er zijn verschillende soorten wachtwoordmanagers, die elk hun eigen voor- en nadelen hebben:
- hardwarematige wachtwoordmanager;
- softwarematige wachtwoordmanagers;
- online wachtwoordmanagers.
Hardwarematige wachtwoordmanagers hebben de vorm van een USB-stick, die als fysieke sleutel dient. Het nadeel is dat je die sleutel kan verliezen en dat hij gestolen kan worden. Het voordeel is dat je wachtwoorden offline bijgehouden worden, en ze in principe gevrijwaard blijven van beveiligingsrisico’s die kunnen ontstaan door verbinding met het internet of door andere software.
Softwarematige wachtwoordmanagers worden als een programma geïnstalleerd op je computer. Een programma dat loopt op je computer is mogelijk kwetsbaar doordat andere software je computer kan doen vastlopen, of je databank corrupt of onbeschikbaar kan maken. Een voorbeeld van een opensourcewachtwoordmanager is KeePass. Dat die wachtwoordmanager opensource is, impliceert dat zijn broncode kan worden ingekeken. Dat is geen overbodige luxe bij software die al je wachtwoorden beheert. Het laat ontwikkelaars ook toe om de broncode te gebruiken opdat de wachtwoordmanager op diverse besturingssystemen en webbrowsers kan draaien (bv. Linux, Windows, MacOS, Firefox en Chrome).
Online wachtwoordmanagers kun je enkel via je webbrowser bereiken. Ze hebben als voordeel dat je wachtwoorden overal bereikbaar zijn. Het nadeel is wel dat je de controle uit handen geeft, en geen zekerheid hebt over wat er met je data (opgeslagen in je wachtwoordendatabank) gebeurt. LastPass en Dashlane zijn voorbeelden van online wachtwoordmanagers. Ze werken als een cloud service waarbij je inlogt met je hoofdwachtwoord en je wachtwoorden vervolgens via het internet worden doorgestuurd naar je computer, smartphone of tablet. Meestal wordt LastPass gebruikt als een extensie/add-on van je webbrowser, of als mobiele app. Dashlane biedt ook een lokale installatie aan. Het verschil met softwarematige wachtwoordmanagers zit in het feit dat alle functies gratis kunnen gebruikt worden.
In onderstaande handleidingen worden KeePassXC en Tusk besproken.
Auteur: Lode Scheers (meemoo), Nastasia Vanderperren (meemoo) en Rony Vissers (meemoo)